Prywatność Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- serwer Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender dla serwerów
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Firma Microsoft zobowiązuje się do udostępniania informacji i kontrolek potrzebnych do dokonywania wyborów dotyczących sposobu zbierania i używania danych podczas korzystania z usługi Defender for Endpoint w systemie Linux.
W tym artykule opisano mechanizmy kontroli prywatności dostępne w ramach produktu, sposób zarządzania tymi kontrolkami przy użyciu ustawień zasad oraz więcej szczegółowych informacji na temat zbieranych zdarzeń danych.
Omówienie mechanizmów kontroli prywatności w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
W tej sekcji opisano mechanizmy kontroli prywatności dla różnych typów danych zbieranych przez usługę Defender for Endpoint w systemie Linux.
Dane diagnostyczne
Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu.
Niektóre dane diagnostyczne są wymagane, zaś inne dane diagnostyczne — opcjonalne. Dajemy Ci możliwość wyboru, czy wysyłać nam wymagane, czy opcjonalne dane diagnostyczne przy użyciu mechanizmów kontroli prywatności, takich jak ustawienia zasad dla organizacji.
Istnieją dwa poziomy danych diagnostycznych dla oprogramowania klienckiego usługi Defender for Endpoint, które można wybrać:
- Wymagane: minimalne dane niezbędne do zapewnienia bezpieczeństwa, aktualności i aktualności usługi Defender for Endpoint na urządzeniu, na jakim jest zainstalowany.
- Opcjonalnie: Inne dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i korygowanie problemów.
Domyślnie do firmy Microsoft są wysyłane tylko wymagane dane diagnostyczne.
Dane ochrony dostarczanej w chmurze
Ochrona dostarczana w chmurze służy do zapewnienia zwiększonej i szybszej ochrony dzięki dostępowi do najnowszych danych ochrony w chmurze.
Włączenie usługi ochrony dostarczanej w chmurze jest opcjonalne, jednak jest wysoce zalecane, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem w punktach końcowych i w sieci.
Przykładowe dane
Przykładowe dane służą do poprawy możliwości ochrony produktu, wysyłając podejrzane próbki firmy Microsoft, aby można je było przeanalizować. Włączenie automatycznego przesyłania przykładów jest opcjonalne.
Istnieją trzy poziomy kontroli przesyłania przykładów:
- Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
- Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna.
- Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.
Zarządzanie mechanizmami ochrony prywatności za pomocą ustawień zasad
Jeśli jesteś administratorem IT, możesz skonfigurować te kontrolki na poziomie przedsiębiorstwa.
Mechanizmy kontroli prywatności dla różnych typów danych opisane w poprzedniej sekcji zostały szczegółowo opisane w temacie Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.
Podobnie jak w przypadku nowych ustawień zasad, należy dokładnie przetestować je w ograniczonym, kontrolowanym środowisku, aby upewnić się, że skonfigurowane ustawienia mają żądany efekt przed wdrożeniem ustawień zasad szerzej w organizacji.
Zdarzenia danych diagnostycznych
W tej sekcji opisano, co jest uważane za wymagane dane diagnostyczne i co jest uważane za opcjonalne dane diagnostyczne, wraz z opisem zdarzeń i pól, które są zbierane.
Pola danych, które są wspólne dla wszystkich zdarzeń
Istnieje kilka informacji o wydarzeniach wspólnych dla wszystkich zdarzeń niezależnie od kategorii lub podtypu danych.
Następujące pola są uważane za typowe dla wszystkich zdarzeń:
Pole | Opis |
---|---|
podest | Szeroka klasyfikacja platformy, na której działa aplikacja. Umożliwia firmie Microsoft określenie, na których platformach może wystąpić problem, aby można było poprawnie określić jego priorytety. |
machine_guid | Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
sense_guid | Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
org_id | Unikatowy identyfikator skojarzony z przedsiębiorstwem, do którego należy urządzenie. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw przedsiębiorstw i ilu przedsiębiorstw ma wpływ. |
nazwa hosta | Nazwa urządzenia lokalnego (bez sufiksu DNS). Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
product_guid | Unikatowy identyfikator produktu. Umożliwia firmie Microsoft rozróżnianie problemów wpływających na różne smaki produktu. |
app_version | Wersja aplikacji Defender for Endpoint w systemie Linux. Umożliwia firmie Microsoft określenie, które wersje produktu wykazują problem, aby można było poprawnie określić jego priorytety. |
sig_version | Wersja bazy danych analizy zabezpieczeń. Umożliwia firmie Microsoft określenie, które wersje analizy zabezpieczeń wykazują problem, aby można było prawidłowo określić jego priorytety. |
supported_compressions | Lista algorytmów kompresji obsługiwanych przez aplikację, na przykład ['gzip'] . Umożliwia firmie Microsoft zrozumienie, jakich typów kompresji można używać podczas komunikowania się z aplikacją. |
release_ring | Pierścień skojarzony z urządzeniem (na przykład Insider Fast, Insider Slow, Production). Umożliwia firmie Microsoft określenie, na którym pierścieniu wydania może wystąpić problem, aby można było prawidłowo określić jego priorytet. |
Wymagane dane diagnostyczne
Wymagane dane diagnostyczne to minimalne dane niezbędne do zapewnienia bezpieczeństwa, aktualności i aktualności usługi Defender for Endpoint na zainstalowanym urządzeniu.
Wymagane dane diagnostyczne pomagają zidentyfikować problemy z Ochrona punktu końcowego w usłudze Microsoft Defender, które mogą być związane z konfiguracją urządzenia lub oprogramowania. Może to na przykład pomóc w ustaleniu, czy funkcja defender for Endpoint częściej ulega awarii w określonej wersji systemu operacyjnego, z nowo wprowadzonymi funkcjami lub gdy niektóre funkcje punktu końcowego usługi Defender for Endpoint są wyłączone. Wymagane dane diagnostyczne pomagają firmie Microsoft szybciej wykrywać, diagnozować i rozwiązywać te problemy, aby zmniejszyć wpływ na użytkowników lub organizacje.
Konfiguracja oprogramowania i zdarzenia danych zapasów
Ochrona punktu końcowego w usłudze Microsoft Defender instalacji/odinstalowywania:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
correlation_id | Unikatowy identyfikator skojarzony z instalacją. |
Wersja | Wersja pakietu. |
dotkliwość | Ważność komunikatu (na przykład Informacje). |
kod | Kod opisujący operację. |
Tekst | Dodatkowe informacje skojarzone z instalacją produktu. |
konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
antivirus_engine.enable_real_time_protection | Czy ochrona w czasie rzeczywistym jest włączona na urządzeniu, czy nie. |
antivirus_engine.passive_mode | Czy tryb pasywny jest włączony na urządzeniu, czy nie. |
cloud_service.enabled | Czy na urządzeniu włączono ochronę dostarczaną przez chmurę, czy nie. |
cloud_service.limit czasu | Limit czasu, gdy aplikacja komunikuje się z chmurą usługi Defender for Endpoint. |
cloud_service.heartbeat_interval | Interwał między kolejnymi pulsami wysyłanych przez produkt do chmury. |
cloud_service.service_uri | Identyfikator URI używany do komunikacji z chmurą. |
cloud_service.diagnostic_level | Poziom diagnostyczny urządzenia (wymagany, opcjonalny). |
cloud_service.automatic_sample_submission | Poziom automatycznego przesyłania przykładów urządzenia (brak, bezpieczny, wszystkie). |
cloud_service.automatic_definition_update_enabled | Czy automatyczna aktualizacja definicji jest włączona, czy nie. |
edr.early_preview | Czy na urządzeniu powinny działać funkcje wczesnej wersji zapoznawczej EDR. |
edr.group_id | Identyfikator grupy używany przez składnik wykrywania i odpowiedzi. |
edr.tags | Tagi zdefiniowane przez użytkownika. |
Funkcje. [opcjonalna nazwa funkcji] | Lista funkcji w wersji zapoznawczej wraz z tym, czy są włączone, czy nie. |
Zdarzenia danych dotyczące użycia produktów i usług
Raport aktualizacji analizy zabezpieczeń:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
from_version | Oryginalna wersja analizy zabezpieczeń. |
to_version | Nowa wersja analizy zabezpieczeń. |
stan | Stan aktualizacji wskazujący powodzenie lub niepowodzenie. |
using_proxy | Czy aktualizacja została wykonana za pośrednictwem serwera proxy. |
błąd | Kod błędu, jeśli aktualizacja nie powiodła się. |
powód | Komunikat o błędzie, jeśli aktualizacja nie powiodła się. |
Zdarzenia danych wydajności produktu i usługi dla wymaganych danych diagnostycznych
Statystyki rozszerzeń jądra:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
Wersja | Wersja usługi Defender dla punktu końcowego w systemie Linux. |
instance_id | Unikatowy identyfikator wygenerowany podczas uruchamiania rozszerzenia jądra. |
trace_level | Poziom śledzenia rozszerzenia jądra. |
Podsystemu | Bazowy podsystem używany do ochrony w czasie rzeczywistym. |
ipc.connects | Liczba żądań połączenia odebranych przez rozszerzenie jądra. |
ipc.rejects | Liczba żądań połączenia odrzuconych przez rozszerzenie jądra. |
ipc.connected | Czy istnieje aktywne połączenie z rozszerzeniem jądra. |
Dane pomocy technicznej
Dzienniki diagnostyczne:
Dzienniki diagnostyczne są zbierane tylko za zgodą użytkownika w ramach funkcji przesyłania opinii. Następujące pliki są zbierane w ramach dzienników pomocy technicznej:
- Wszystkie pliki w obszarze /var/log/microsoft/mdatp
- Podzbiór plików w obszarze /etc/opt/microsoft/mdatp , które są tworzone i używane przez usługę Defender for Endpoint w systemie Linux
- Dzienniki instalacji i dezinstalacji produktu w obszarze /var/log/microsoft/mdatp/*.log
Opcjonalne dane diagnostyczne
Opcjonalne dane diagnostyczne to dodatkowe dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i rozwiązywanie problemów.
Jeśli zdecydujesz się wysłać nam opcjonalne dane diagnostyczne, wymagane dane diagnostyczne również zostaną dołączone.
Przykłady opcjonalnych danych diagnostycznych obejmują dane zbierane przez firmę Microsoft na temat konfiguracji produktu (na przykład liczby wykluczeń ustawionych na urządzeniu) i wydajności produktu (zagregowane miary dotyczące wydajności składników produktu).
Zdarzenia konfiguracji oprogramowania i danych spisu dla opcjonalnych danych diagnostycznych
konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
connection_retry_timeout | Limit czasu ponawiania próby połączenia podczas komunikacji z chmurą. |
file_hash_cache_maximum | Rozmiar pamięci podręcznej produktu. |
crash_upload_daily_limit | Limit dzienników awarii przekazywanych codziennie. |
antivirus_engine.exclusions[].is_directory | Czy wykluczenie ze skanowania jest katalogiem, czy nie. |
antivirus_engine.exclusions[].path | Ścieżka, która została wykluczona ze skanowania. |
antivirus_engine.exclusions[].extension | Rozszerzenie wykluczone ze skanowania. |
antivirus_engine.exclusions[].name | Nazwa pliku wykluczonego ze skanowania. |
antivirus_engine.scan_cache_maximum | Rozmiar pamięci podręcznej produktu. |
antivirus_engine.maximum_scan_threads | Maksymalna liczba wątków używanych do skanowania. |
antivirus_engine.threat_restoration_exclusion_time | Przekroczono limit czasu przed ponownym wykryciem pliku przywróconego z kwarantanny. |
antivirus_engine.threat_type_settings | Konfiguracja sposobu obsługi różnych typów zagrożeń przez produkt. |
filesystem_scanner.full_scan_directory | Pełny katalog skanowania. |
filesystem_scanner.quick_scan_directories | Lista katalogów używanych w szybkim skanowaniu. |
edr.latency_mode | Tryb opóźnienia używany przez składnik wykrywania i odpowiedzi. |
edr.proxy_address | Adres proxy używany przez składnik wykrywania i odpowiedzi. |
Konfiguracja automatycznej aktualizacji firmy Microsoft:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
how_to_check | Określa, jak są sprawdzane aktualizacje produktów (na przykład automatyczne lub ręczne). |
channel_name | Zaktualizuj kanał skojarzony z urządzeniem. |
manifest_server | Serwer używany do pobierania aktualizacji. |
update_cache | Lokalizacja pamięci podręcznej używanej do przechowywania aktualizacji. |
Użycie produktów i usług
Rozpoczęty raport dotyczący przekazywania dziennika diagnostycznego
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
sha256 | Identyfikator SHA256 dziennika pomocy technicznej. |
rozmiar | Rozmiar dziennika pomocy technicznej. |
original_path | Ścieżka do dziennika pomocy technicznej (zawsze w obszarze /var/opt/microsoft/mdatp/wdavdiag/). |
format | Format dziennika pomocy technicznej. |
Ukończono przekazywanie dziennika diagnostycznego
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
request_id | Identyfikator korelacji dla żądania przekazania dziennika pomocy technicznej. |
sha256 | Identyfikator SHA256 dziennika pomocy technicznej. |
blob_sas_uri | Identyfikator URI używany przez aplikację do przekazywania dziennika pomocy technicznej. |
Zdarzenia danych wydajności produktów i usług dla usługi i użycia produktu
Nieoczekiwane zamknięcie aplikacji (awaria):
Niespodziewane zakończenie działania aplikacji oraz stan aplikacji w momencie takiego zdarzenia.
Statystyki rozszerzeń jądra:
Zbierane są dane z następujących pól:
Pole | Opis |
---|---|
pkt_ack_timeout | Następujące właściwości to zagregowane wartości liczbowe reprezentujące liczbę zdarzeń, które wystąpiły od czasu uruchomienia rozszerzenia jądra. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.maska | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.rozwidlenie | |
ipc.kauth.file_op.create |
Zasoby
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.