Linux 用 Microsoft Defender for Endpoint のプライバシー
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Microsoft は、Linux 上で Defender for Endpoint を使用している場合にデータを収集および使用する方法について選択するために必要な情報と制御を提供するよう努めます。
この記事では、製品内で使用できるプライバシーコントロール、ポリシー設定を使用してこれらのコントロールを管理する方法、収集されるデータ イベントの詳細について説明します。
Microsoft Defender for Endpoint on Linux でのプライバシー制御の概要
このセクションでは、Defender for Endpoint on Linux によって収集されるさまざまな種類のデータのプライバシー制御について説明します。
診断ログ
診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。
診断データには、必須のものとオプションのものがあります。 組織のポリシー設定などのプライバシー制御を使用して、必要な診断データまたはオプションの診断データを送信するかどうかを選択できます。
Defender for Endpoint クライアント ソフトウェアの診断データには、次の 2 つのレベルから選択できます。
- 必須: Defender for Endpoint をセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小データ。
- 省略可能: Microsoft が製品の改善に役立ち、問題の検出、診断、修復に役立つ強化された情報を提供するその他のデータ。
既定では、必要な診断データのみが Microsoft に送信されます。
クラウドで提供される保護データ
クラウド提供の保護は、クラウド内の最新の保護データにアクセスして、保護を強化し、より迅速に提供するために使用されます。
クラウド配信の保護サービスを有効にすることはオプションですが、エンドポイントやネットワーク全体でマルウェアに対する重要な保護を提供するため、強くお勧めします。
サンプル データ
サンプル データは、分析できるように Microsoft の不審なサンプルを送信することで、製品の保護機能を向上させるために使用されます。 自動サンプル送信の有効化は省略可能です。
サンプルの送信を制御するには、次の 3 つのレベルがあります。
- なし: 疑わしいサンプルは Microsoft に送信されません。
- 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは既定の値です。
- すべて: すべての疑わしいサンプルが Microsoft に送信されます。
ポリシーの設定でプライバシー コントロールを管理します
IT 管理者の場合は、これらのコントロールをエンタープライズ レベルで構成できます。
前のセクションで説明したさまざまな種類のデータのプライバシー制御については、「 Linux 上の Defender for Endpoint の基本設定を設定する」で詳しく説明します。
新しいポリシー設定と同様に、制限された制御された環境で慎重にテストし、構成した設定が目的の効果を得られるようにしてから、organizationでポリシー設定をより広く実装する必要があります。
診断データ イベント
このセクションでは、必要な診断データと見なされる内容と、オプションの診断データと見なされる内容と、収集されるイベントとフィールドの説明について説明します。
すべてのイベントに共通するデータ フィールド
カテゴリやデータ サブタイプに関係なく、すべてのイベントに共通するイベントに関する情報があります。
次のフィールドは、すべてのイベントに共通と見なされます。
フィールド | 説明 |
---|---|
platform | アプリが実行されているプラットフォームの広範な分類。 問題が発生している可能性のあるプラットフォームを Microsoft が特定して、問題を正しく優先順位付けできるようにします。 |
machine_guid | デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
sense_guid | デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
org_id | デバイスが属するエンタープライズに関連付けられている一意の識別子。 Microsoft は、問題が一連の企業に影響を与えているかどうか、および影響を受ける企業の数を特定できます。 |
hostname | ローカル デバイス名 (DNS サフィックスなし)。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
product_guid | 製品の一意識別子。 Microsoft が製品のさまざまなフレーバーに影響を与える問題を区別できるようにします。 |
app_version | Linux 上の Defender for Endpoint アプリケーションのバージョン。 Microsoft は、問題が表示されている製品のバージョンを特定して、正しく優先順位を付けることができます。 |
sig_version | セキュリティ インテリジェンス データベースのバージョン。 Microsoft が問題を示しているセキュリティ インテリジェンスのバージョンを特定して、正しく優先順位を付けることができます。 |
supported_compressions | アプリケーションでサポートされている圧縮アルゴリズムの一覧 (例: ['gzip'] )。 アプリケーションと通信するときに使用できる圧縮の種類を Microsoft が理解できるようにします。 |
release_ring | デバイスが関連付けられているリング (Insider Fast、Insider Slow、Production など)。 問題が発生している可能性のあるリリース リングを Microsoft が特定して、問題を正しく優先できるようにします。 |
必須診断データ
必要な診断データ は、Defender for Endpoint をセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータです。
必要な診断データは、デバイスまたはソフトウェアの構成に関連する可能性があるMicrosoft Defender for Endpointに関する問題を特定するのに役立ちます。 たとえば、特定のオペレーティング システムバージョンで Defender for Endpoint 機能が頻繁にクラッシュするかどうか、新しく導入された機能、または特定の Defender for Endpoint 機能が無効になっているかどうかを判断するのに役立ちます。 必要な診断データは、Microsoft がこれらの問題をより迅速に検出、診断、修正し、ユーザーまたは組織への影響を軽減するのに役立ちます。
ソフトウェアのセットアップと在庫データ イベント
インストール/アンインストールMicrosoft Defender for Endpoint:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
correlation_id | インストールに関連付けられている一意の識別子。 |
version | パッケージのバージョン。 |
severity | メッセージの重大度 (Informational など)。 |
code | 操作を記述するコード。 |
テキスト | 製品のインストールに関連する追加情報。 |
Microsoft Defender for Endpoint構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
antivirus_engine.enable_real_time_protection | デバイスでリアルタイム保護が有効かどうか。 |
antivirus_engine.passive_mode | デバイスでパッシブ モードが有効かどうか。 |
cloud_service.enabled | クラウド配信保護がデバイスで有効かどうか。 |
cloud_service.timeout | アプリケーションが Defender for Endpoint クラウドと通信するとタイムアウトします。 |
cloud_service.heartbeat_interval | 製品によってクラウドに送信される連続するハートビート間の間隔。 |
cloud_service.service_uri | クラウドとの通信に使用される URI。 |
cloud_service.diagnostic_level | デバイスの診断レベル (必須、省略可能)。 |
cloud_service.automatic_sample_submission | デバイスの自動サンプル送信レベル (なし、安全、すべて)。 |
cloud_service.automatic_definition_update_enabled | 定義の自動更新が有効になっているかどうか。 |
edr.early_preview | デバイスで EDR 早期プレビュー機能を実行するかどうか。 |
edr.group_id | 検出と応答コンポーネントによって使用されるグループ識別子。 |
edr.tags | ユーザー定義タグ。 |
顔立ち。[省略可能な機能名] | プレビュー機能の一覧と、有効かどうか。 |
製品とサービスの利用状況データ イベント
セキュリティ インテリジェンスの更新レポート:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
from_version | 元のセキュリティ インテリジェンス バージョン。 |
to_version | 新しいセキュリティ インテリジェンス バージョン。 |
status | 成功または失敗を示す更新プログラムの状態。 |
using_proxy | 更新がプロキシ経由で行われたかどうか。 |
error | 更新に失敗した場合のエラー コード。 |
理由 | 更新に失敗した場合のエラー メッセージ。 |
必要な診断データの製品とサービスのパフォーマンス データ イベント
カーネル拡張機能の統計:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
version | Linux 上の Defender for Endpoint のバージョン。 |
instance_id | カーネル拡張機能の起動時に生成される一意の識別子。 |
trace_level | カーネル拡張機能のトレース レベル。 |
サブシステム | リアルタイム保護に使用される基になるサブシステム。 |
ipc.connects | カーネル拡張機能によって受信された接続要求の数。 |
ipc.rejects | カーネル拡張機能によって拒否された接続要求の数。 |
ipc.connected | カーネル拡張機能へのアクティブな接続があるかどうか。 |
サポート データ
診断ログ:
診断ログは、フィードバック送信機能の一部としてユーザーの同意を得た場合にのみ収集されます。 次のファイルは、サポート ログの一部として収集されます。
- /var/log/microsoft/mdatp のすべてのファイル
- Linux 上の Defender for Endpoint によって作成および使用される /etc/opt/microsoft/mdatp の下のファイルのサブセット
- /var/log/microsoft/mdatp/*.logの下の製品のインストールとアンインストールのログ
オプションの診断データ
オプションの診断データ は、Microsoft が製品を改善するのに役立つ追加データであり、問題の検出、診断、修正に役立つ強化された情報を提供します。
オプションの診断データを送信するよう選択した場合は、必須の診断データも含まれています。
オプションの診断データの例としては、Microsoft が製品構成に関して収集したデータ (デバイスに設定されている除外の数など) や製品のパフォーマンス (製品のコンポーネントのパフォーマンスに関する集計メジャー) などがあります。
オプションの診断データのソフトウェアセットアップとインベントリ データ イベント
Microsoft Defender for Endpoint構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
connection_retry_timeout | クラウドとの通信時の接続再試行タイムアウト。 |
file_hash_cache_maximum | 製品キャッシュのサイズ。 |
crash_upload_daily_limit | 毎日アップロードされるクラッシュ ログの制限。 |
antivirus_engine.exclusions[].is_directory | スキャンからの除外がディレクトリであるかどうか。 |
antivirus_engine.exclusions[].path | スキャンから除外されたパス。 |
antivirus_engine.exclusions[].extension | スキャンから除外された拡張機能。 |
antivirus_engine.exclusions[].name | スキャンから除外されたファイルの名前。 |
antivirus_engine.scan_cache_maximum | 製品キャッシュのサイズ。 |
antivirus_engine.maximum_scan_threads | スキャンに使用されるスレッドの最大数。 |
antivirus_engine.threat_restoration_exclusion_time | 検疫から復元されたファイルを再度検出する前にタイムアウトします。 |
antivirus_engine.threat_type_settings | 製品によって異なる脅威の種類がどのように処理されるかの構成。 |
filesystem_scanner.full_scan_directory | フル スキャン ディレクトリ。 |
filesystem_scanner.quick_scan_directories | クイック スキャンで使用されるディレクトリの一覧。 |
edr.latency_mode | 検出と応答コンポーネントで使用される待機時間モード。 |
edr.proxy_address | 検出と応答コンポーネントによって使用されるプロキシ アドレス。 |
Microsoft Auto-Update の構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
how_to_check | 製品更新プログラムのチェック方法を決定します (自動や手動など)。 |
channel_name | デバイスに関連付けられているチャネルを更新します。 |
manifest_server | 更新プログラムのダウンロードに使用されるサーバー。 |
update_cache | 更新プログラムの格納に使用されるキャッシュの場所。 |
製品とサービスの使用
診断ログのアップロード開始レポート
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
sha256 | サポート ログの SHA256 識別子。 |
size | サポート ログのサイズ。 |
original_path | サポート ログへのパス (常に /var/opt/microsoft/mdatp/wdavdiag/の下)。 |
format | サポート ログの形式。 |
診断ログのアップロード完了レポート
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
request_id | サポート ログアップロード要求の関連付け ID。 |
sha256 | サポート ログの SHA256 識別子。 |
blob_sas_uri | アプリケーションがサポート ログをアップロードするために使用する URI。 |
製品サービスと使用状況に関する製品とサービスのパフォーマンス データ イベント
予期しないアプリケーションの終了 (クラッシュ):
原因不明のアプリケーションの終了とその発生時のアプリケーションの状態。
カーネル拡張機能の統計:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
pkt_ack_timeout | 次のプロパティは、カーネル拡張機能の起動後に発生したイベントの数を表す、集計された数値です。 |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
リソース
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。