次の方法で共有


Linux 用 Microsoft Defender for Endpoint のプライバシー

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Microsoft は、Linux 上で Defender for Endpoint を使用している場合にデータを収集および使用する方法について選択するために必要な情報と制御を提供するよう努めます。

この記事では、製品内で使用できるプライバシーコントロール、ポリシー設定を使用してこれらのコントロールを管理する方法、収集されるデータ イベントの詳細について説明します。

Microsoft Defender for Endpoint on Linux でのプライバシー制御の概要

このセクションでは、Defender for Endpoint on Linux によって収集されるさまざまな種類のデータのプライバシー制御について説明します。

診断ログ

診断データは、Defender for Endpoint を安全かつ最新の状態に保ち、問題を検出、診断、修正し、製品を改善するために使用されます。

診断データには、必須のものとオプションのものがあります。 組織のポリシー設定などのプライバシー制御を使用して、必要な診断データまたはオプションの診断データを送信するかどうかを選択できます。

Defender for Endpoint クライアント ソフトウェアの診断データには、次の 2 つのレベルから選択できます。

  • 必須: Defender for Endpoint をセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小データ。
  • 省略可能: Microsoft が製品の改善に役立ち、問題の検出、診断、修復に役立つ強化された情報を提供するその他のデータ。

既定では、必要な診断データのみが Microsoft に送信されます。

クラウドで提供される保護データ

クラウド提供の保護は、クラウド内の最新の保護データにアクセスして、保護を強化し、より迅速に提供するために使用されます。

クラウド配信の保護サービスを有効にすることはオプションですが、エンドポイントやネットワーク全体でマルウェアに対する重要な保護を提供するため、強くお勧めします。

サンプル データ

サンプル データは、分析できるように Microsoft の不審なサンプルを送信することで、製品の保護機能を向上させるために使用されます。 自動サンプル送信の有効化は省略可能です。

サンプルの送信を制御するには、次の 3 つのレベルがあります。

  • なし: 疑わしいサンプルは Microsoft に送信されません。
  • 安全: 個人を特定できる情報 (PII) が含まれていない疑わしいサンプルのみが自動的に送信されます。 これは既定の値です。
  • すべて: すべての疑わしいサンプルが Microsoft に送信されます。

ポリシーの設定でプライバシー コントロールを管理します

IT 管理者の場合は、これらのコントロールをエンタープライズ レベルで構成できます。

前のセクションで説明したさまざまな種類のデータのプライバシー制御については、「 Linux 上の Defender for Endpoint の基本設定を設定する」で詳しく説明します。

新しいポリシー設定と同様に、制限された制御された環境で慎重にテストし、構成した設定が目的の効果を得られるようにしてから、organizationでポリシー設定をより広く実装する必要があります。

診断データ イベント

このセクションでは、必要な診断データと見なされる内容と、オプションの診断データと見なされる内容と、収集されるイベントとフィールドの説明について説明します。

すべてのイベントに共通するデータ フィールド

カテゴリやデータ サブタイプに関係なく、すべてのイベントに共通するイベントに関する情報があります。

次のフィールドは、すべてのイベントに共通と見なされます。

フィールド 説明
platform アプリが実行されているプラットフォームの広範な分類。 問題が発生している可能性のあるプラットフォームを Microsoft が特定して、問題を正しく優先順位付けできるようにします。
machine_guid デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
sense_guid デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
org_id デバイスが属するエンタープライズに関連付けられている一意の識別子。 Microsoft は、問題が一連の企業に影響を与えているかどうか、および影響を受ける企業の数を特定できます。
hostname ローカル デバイス名 (DNS サフィックスなし)。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
product_guid 製品の一意識別子。 Microsoft が製品のさまざまなフレーバーに影響を与える問題を区別できるようにします。
app_version Linux 上の Defender for Endpoint アプリケーションのバージョン。 Microsoft は、問題が表示されている製品のバージョンを特定して、正しく優先順位を付けることができます。
sig_version セキュリティ インテリジェンス データベースのバージョン。 Microsoft が問題を示しているセキュリティ インテリジェンスのバージョンを特定して、正しく優先順位を付けることができます。
supported_compressions アプリケーションでサポートされている圧縮アルゴリズムの一覧 (例: ['gzip'])。 アプリケーションと通信するときに使用できる圧縮の種類を Microsoft が理解できるようにします。
release_ring デバイスが関連付けられているリング (Insider Fast、Insider Slow、Production など)。 問題が発生している可能性のあるリリース リングを Microsoft が特定して、問題を正しく優先できるようにします。

必須診断データ

必要な診断データ は、Defender for Endpoint をセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータです。

必要な診断データは、デバイスまたはソフトウェアの構成に関連する可能性があるMicrosoft Defender for Endpointに関する問題を特定するのに役立ちます。 たとえば、特定のオペレーティング システムバージョンで Defender for Endpoint 機能が頻繁にクラッシュするかどうか、新しく導入された機能、または特定の Defender for Endpoint 機能が無効になっているかどうかを判断するのに役立ちます。 必要な診断データは、Microsoft がこれらの問題をより迅速に検出、診断、修正し、ユーザーまたは組織への影響を軽減するのに役立ちます。

ソフトウェアのセットアップと在庫データ イベント

インストール/アンインストールMicrosoft Defender for Endpoint:

収集されるフィールドは、次のとおりです。

フィールド 説明
correlation_id インストールに関連付けられている一意の識別子。
version パッケージのバージョン。
severity メッセージの重大度 (Informational など)。
code 操作を記述するコード。
テキスト 製品のインストールに関連する追加情報。

Microsoft Defender for Endpoint構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
antivirus_engine.enable_real_time_protection デバイスでリアルタイム保護が有効かどうか。
antivirus_engine.passive_mode デバイスでパッシブ モードが有効かどうか。
cloud_service.enabled クラウド配信保護がデバイスで有効かどうか。
cloud_service.timeout アプリケーションが Defender for Endpoint クラウドと通信するとタイムアウトします。
cloud_service.heartbeat_interval 製品によってクラウドに送信される連続するハートビート間の間隔。
cloud_service.service_uri クラウドとの通信に使用される URI。
cloud_service.diagnostic_level デバイスの診断レベル (必須、省略可能)。
cloud_service.automatic_sample_submission デバイスの自動サンプル送信レベル (なし、安全、すべて)。
cloud_service.automatic_definition_update_enabled 定義の自動更新が有効になっているかどうか。
edr.early_preview デバイスで EDR 早期プレビュー機能を実行するかどうか。
edr.group_id 検出と応答コンポーネントによって使用されるグループ識別子。
edr.tags ユーザー定義タグ。
顔立ち。[省略可能な機能名] プレビュー機能の一覧と、有効かどうか。

製品とサービスの利用状況データ イベント

セキュリティ インテリジェンスの更新レポート:

収集されるフィールドは、次のとおりです。

フィールド 説明
from_version 元のセキュリティ インテリジェンス バージョン。
to_version 新しいセキュリティ インテリジェンス バージョン。
status 成功または失敗を示す更新プログラムの状態。
using_proxy 更新がプロキシ経由で行われたかどうか。
error 更新に失敗した場合のエラー コード。
理由 更新に失敗した場合のエラー メッセージ。

必要な診断データの製品とサービスのパフォーマンス データ イベント

カーネル拡張機能の統計:

収集されるフィールドは、次のとおりです。

フィールド 説明
version Linux 上の Defender for Endpoint のバージョン。
instance_id カーネル拡張機能の起動時に生成される一意の識別子。
trace_level カーネル拡張機能のトレース レベル。
サブシステム リアルタイム保護に使用される基になるサブシステム。
ipc.connects カーネル拡張機能によって受信された接続要求の数。
ipc.rejects カーネル拡張機能によって拒否された接続要求の数。
ipc.connected カーネル拡張機能へのアクティブな接続があるかどうか。

サポート データ

診断ログ:

診断ログは、フィードバック送信機能の一部としてユーザーの同意を得た場合にのみ収集されます。 次のファイルは、サポート ログの一部として収集されます。

  • /var/log/microsoft/mdatp のすべてのファイル
  • Linux 上の Defender for Endpoint によって作成および使用される /etc/opt/microsoft/mdatp の下のファイルのサブセット
  • /var/log/microsoft/mdatp/*.logの下の製品のインストールとアンインストールのログ

オプションの診断データ

オプションの診断データ は、Microsoft が製品を改善するのに役立つ追加データであり、問題の検出、診断、修正に役立つ強化された情報を提供します。

オプションの診断データを送信するよう選択した場合は、必須の診断データも含まれています。

オプションの診断データの例としては、Microsoft が製品構成に関して収集したデータ (デバイスに設定されている除外の数など) や製品のパフォーマンス (製品のコンポーネントのパフォーマンスに関する集計メジャー) などがあります。

オプションの診断データのソフトウェアセットアップとインベントリ データ イベント

Microsoft Defender for Endpoint構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
connection_retry_timeout クラウドとの通信時の接続再試行タイムアウト。
file_hash_cache_maximum 製品キャッシュのサイズ。
crash_upload_daily_limit 毎日アップロードされるクラッシュ ログの制限。
antivirus_engine.exclusions[].is_directory スキャンからの除外がディレクトリであるかどうか。
antivirus_engine.exclusions[].path スキャンから除外されたパス。
antivirus_engine.exclusions[].extension スキャンから除外された拡張機能。
antivirus_engine.exclusions[].name スキャンから除外されたファイルの名前。
antivirus_engine.scan_cache_maximum 製品キャッシュのサイズ。
antivirus_engine.maximum_scan_threads スキャンに使用されるスレッドの最大数。
antivirus_engine.threat_restoration_exclusion_time 検疫から復元されたファイルを再度検出する前にタイムアウトします。
antivirus_engine.threat_type_settings 製品によって異なる脅威の種類がどのように処理されるかの構成。
filesystem_scanner.full_scan_directory フル スキャン ディレクトリ。
filesystem_scanner.quick_scan_directories クイック スキャンで使用されるディレクトリの一覧。
edr.latency_mode 検出と応答コンポーネントで使用される待機時間モード。
edr.proxy_address 検出と応答コンポーネントによって使用されるプロキシ アドレス。

Microsoft Auto-Update の構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
how_to_check 製品更新プログラムのチェック方法を決定します (自動や手動など)。
channel_name デバイスに関連付けられているチャネルを更新します。
manifest_server 更新プログラムのダウンロードに使用されるサーバー。
update_cache 更新プログラムの格納に使用されるキャッシュの場所。

製品とサービスの使用

診断ログのアップロード開始レポート

収集されるフィールドは、次のとおりです。

フィールド 説明
sha256 サポート ログの SHA256 識別子。
size サポート ログのサイズ。
original_path サポート ログへのパス (常に /var/opt/microsoft/mdatp/wdavdiag/の下)。
format サポート ログの形式。

診断ログのアップロード完了レポート

収集されるフィールドは、次のとおりです。

フィールド 説明
request_id サポート ログアップロード要求の関連付け ID。
sha256 サポート ログの SHA256 識別子。
blob_sas_uri アプリケーションがサポート ログをアップロードするために使用する URI。

製品サービスと使用状況に関する製品とサービスのパフォーマンス データ イベント

予期しないアプリケーションの終了 (クラッシュ):

原因不明のアプリケーションの終了とその発生時のアプリケーションの状態。

カーネル拡張機能の統計:

収集されるフィールドは、次のとおりです。

フィールド 説明
pkt_ack_timeout 次のプロパティは、カーネル拡張機能の起動後に発生したイベントの数を表す、集計された数値です。
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

リソース

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。