Udostępnij za pośrednictwem


Prywatność Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Firma Microsoft zobowiązuje się do udostępniania informacji i kontrolek potrzebnych do dokonywania wyborów dotyczących sposobu zbierania i używania danych podczas korzystania z usługi Defender for Endpoint w systemie Linux.

W tym artykule opisano mechanizmy kontroli prywatności dostępne w ramach produktu, sposób zarządzania tymi kontrolkami przy użyciu ustawień zasad oraz więcej szczegółowych informacji na temat zbieranych zdarzeń danych.

Omówienie mechanizmów kontroli prywatności w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

W tej sekcji opisano mechanizmy kontroli prywatności dla różnych typów danych zbieranych przez usługę Defender for Endpoint w systemie Linux.

Dane diagnostyczne

Dane diagnostyczne służą do zapewnienia bezpieczeństwa i aktualności usługi Defender for Endpoint, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu.

Niektóre dane diagnostyczne są wymagane, zaś inne dane diagnostyczne — opcjonalne. Dajemy Ci możliwość wyboru, czy wysyłać nam wymagane, czy opcjonalne dane diagnostyczne przy użyciu mechanizmów kontroli prywatności, takich jak ustawienia zasad dla organizacji.

Istnieją dwa poziomy danych diagnostycznych dla oprogramowania klienckiego usługi Defender for Endpoint, które można wybrać:

  • Wymagane: minimalne dane niezbędne do zapewnienia bezpieczeństwa, aktualności i aktualności usługi Defender for Endpoint na urządzeniu, na jakim jest zainstalowany.
  • Opcjonalnie: Inne dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i korygowanie problemów.

Domyślnie do firmy Microsoft są wysyłane tylko wymagane dane diagnostyczne.

Dane ochrony dostarczanej w chmurze

Ochrona dostarczana w chmurze służy do zapewnienia zwiększonej i szybszej ochrony dzięki dostępowi do najnowszych danych ochrony w chmurze.

Włączenie usługi ochrony dostarczanej w chmurze jest opcjonalne, jednak jest wysoce zalecane, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem w punktach końcowych i w sieci.

Przykładowe dane

Przykładowe dane służą do poprawy możliwości ochrony produktu, wysyłając podejrzane próbki firmy Microsoft, aby można je było przeanalizować. Włączenie automatycznego przesyłania przykładów jest opcjonalne.

Istnieją trzy poziomy kontroli przesyłania przykładów:

  • Brak: firma Microsoft nie przesyła żadnych podejrzanych przykładów.
  • Bezpieczne: tylko podejrzane próbki, które nie zawierają danych osobowych, są przesyłane automatycznie. Jest to wartość domyślna.
  • Wszystkie: wszystkie podejrzane przykłady są przesyłane do firmy Microsoft.

Zarządzanie mechanizmami ochrony prywatności za pomocą ustawień zasad

Jeśli jesteś administratorem IT, możesz skonfigurować te kontrolki na poziomie przedsiębiorstwa.

Mechanizmy kontroli prywatności dla różnych typów danych opisane w poprzedniej sekcji zostały szczegółowo opisane w temacie Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.

Podobnie jak w przypadku nowych ustawień zasad, należy dokładnie przetestować je w ograniczonym, kontrolowanym środowisku, aby upewnić się, że skonfigurowane ustawienia mają żądany efekt przed wdrożeniem ustawień zasad szerzej w organizacji.

Zdarzenia danych diagnostycznych

W tej sekcji opisano, co jest uważane za wymagane dane diagnostyczne i co jest uważane za opcjonalne dane diagnostyczne, wraz z opisem zdarzeń i pól, które są zbierane.

Pola danych, które są wspólne dla wszystkich zdarzeń

Istnieje kilka informacji o wydarzeniach wspólnych dla wszystkich zdarzeń niezależnie od kategorii lub podtypu danych.

Następujące pola są uważane za typowe dla wszystkich zdarzeń:

Pole Opis
podest Szeroka klasyfikacja platformy, na której działa aplikacja. Umożliwia firmie Microsoft określenie, na których platformach może wystąpić problem, aby można było poprawnie określić jego priorytety.
machine_guid Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ.
sense_guid Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ.
org_id Unikatowy identyfikator skojarzony z przedsiębiorstwem, do którego należy urządzenie. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw przedsiębiorstw i ilu przedsiębiorstw ma wpływ.
nazwa hosta Nazwa urządzenia lokalnego (bez sufiksu DNS). Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ.
product_guid Unikatowy identyfikator produktu. Umożliwia firmie Microsoft rozróżnianie problemów wpływających na różne smaki produktu.
app_version Wersja aplikacji Defender for Endpoint w systemie Linux. Umożliwia firmie Microsoft określenie, które wersje produktu wykazują problem, aby można było poprawnie określić jego priorytety.
sig_version Wersja bazy danych analizy zabezpieczeń. Umożliwia firmie Microsoft określenie, które wersje analizy zabezpieczeń wykazują problem, aby można było prawidłowo określić jego priorytety.
supported_compressions Lista algorytmów kompresji obsługiwanych przez aplikację, na przykład ['gzip']. Umożliwia firmie Microsoft zrozumienie, jakich typów kompresji można używać podczas komunikowania się z aplikacją.
release_ring Pierścień skojarzony z urządzeniem (na przykład Insider Fast, Insider Slow, Production). Umożliwia firmie Microsoft określenie, na którym pierścieniu wydania może wystąpić problem, aby można było prawidłowo określić jego priorytet.

Wymagane dane diagnostyczne

Wymagane dane diagnostyczne to minimalne dane niezbędne do zapewnienia bezpieczeństwa, aktualności i aktualności usługi Defender for Endpoint na zainstalowanym urządzeniu.

Wymagane dane diagnostyczne pomagają zidentyfikować problemy z Ochrona punktu końcowego w usłudze Microsoft Defender, które mogą być związane z konfiguracją urządzenia lub oprogramowania. Może to na przykład pomóc w ustaleniu, czy funkcja defender for Endpoint częściej ulega awarii w określonej wersji systemu operacyjnego, z nowo wprowadzonymi funkcjami lub gdy niektóre funkcje punktu końcowego usługi Defender for Endpoint są wyłączone. Wymagane dane diagnostyczne pomagają firmie Microsoft szybciej wykrywać, diagnozować i rozwiązywać te problemy, aby zmniejszyć wpływ na użytkowników lub organizacje.

Konfiguracja oprogramowania i zdarzenia danych zapasów

Ochrona punktu końcowego w usłudze Microsoft Defender instalacji/odinstalowywania:

Zbierane są dane z następujących pól:

Pole Opis
correlation_id Unikatowy identyfikator skojarzony z instalacją.
Wersja Wersja pakietu.
dotkliwość Ważność komunikatu (na przykład Informacje).
kod Kod opisujący operację.
Tekst Dodatkowe informacje skojarzone z instalacją produktu.

konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:

Zbierane są dane z następujących pól:

Pole Opis
antivirus_engine.enable_real_time_protection Czy ochrona w czasie rzeczywistym jest włączona na urządzeniu, czy nie.
antivirus_engine.passive_mode Czy tryb pasywny jest włączony na urządzeniu, czy nie.
cloud_service.enabled Czy na urządzeniu włączono ochronę dostarczaną przez chmurę, czy nie.
cloud_service.limit czasu Limit czasu, gdy aplikacja komunikuje się z chmurą usługi Defender for Endpoint.
cloud_service.heartbeat_interval Interwał między kolejnymi pulsami wysyłanych przez produkt do chmury.
cloud_service.service_uri Identyfikator URI używany do komunikacji z chmurą.
cloud_service.diagnostic_level Poziom diagnostyczny urządzenia (wymagany, opcjonalny).
cloud_service.automatic_sample_submission Poziom automatycznego przesyłania przykładów urządzenia (brak, bezpieczny, wszystkie).
cloud_service.automatic_definition_update_enabled Czy automatyczna aktualizacja definicji jest włączona, czy nie.
edr.early_preview Czy na urządzeniu powinny działać funkcje wczesnej wersji zapoznawczej EDR.
edr.group_id Identyfikator grupy używany przez składnik wykrywania i odpowiedzi.
edr.tags Tagi zdefiniowane przez użytkownika.
Funkcje. [opcjonalna nazwa funkcji] Lista funkcji w wersji zapoznawczej wraz z tym, czy są włączone, czy nie.

Zdarzenia danych dotyczące użycia produktów i usług

Raport aktualizacji analizy zabezpieczeń:

Zbierane są dane z następujących pól:

Pole Opis
from_version Oryginalna wersja analizy zabezpieczeń.
to_version Nowa wersja analizy zabezpieczeń.
stan Stan aktualizacji wskazujący powodzenie lub niepowodzenie.
using_proxy Czy aktualizacja została wykonana za pośrednictwem serwera proxy.
błąd Kod błędu, jeśli aktualizacja nie powiodła się.
powód Komunikat o błędzie, jeśli aktualizacja nie powiodła się.

Zdarzenia danych wydajności produktu i usługi dla wymaganych danych diagnostycznych

Statystyki rozszerzeń jądra:

Zbierane są dane z następujących pól:

Pole Opis
Wersja Wersja usługi Defender dla punktu końcowego w systemie Linux.
instance_id Unikatowy identyfikator wygenerowany podczas uruchamiania rozszerzenia jądra.
trace_level Poziom śledzenia rozszerzenia jądra.
Podsystemu Bazowy podsystem używany do ochrony w czasie rzeczywistym.
ipc.connects Liczba żądań połączenia odebranych przez rozszerzenie jądra.
ipc.rejects Liczba żądań połączenia odrzuconych przez rozszerzenie jądra.
ipc.connected Czy istnieje aktywne połączenie z rozszerzeniem jądra.

Dane pomocy technicznej

Dzienniki diagnostyczne:

Dzienniki diagnostyczne są zbierane tylko za zgodą użytkownika w ramach funkcji przesyłania opinii. Następujące pliki są zbierane w ramach dzienników pomocy technicznej:

  • Wszystkie pliki w obszarze /var/log/microsoft/mdatp
  • Podzbiór plików w obszarze /etc/opt/microsoft/mdatp , które są tworzone i używane przez usługę Defender for Endpoint w systemie Linux
  • Dzienniki instalacji i dezinstalacji produktu w obszarze /var/log/microsoft/mdatp/*.log

Opcjonalne dane diagnostyczne

Opcjonalne dane diagnostyczne to dodatkowe dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i rozwiązywanie problemów.

Jeśli zdecydujesz się wysłać nam opcjonalne dane diagnostyczne, wymagane dane diagnostyczne również zostaną dołączone.

Przykłady opcjonalnych danych diagnostycznych obejmują dane zbierane przez firmę Microsoft na temat konfiguracji produktu (na przykład liczby wykluczeń ustawionych na urządzeniu) i wydajności produktu (zagregowane miary dotyczące wydajności składników produktu).

Zdarzenia konfiguracji oprogramowania i danych spisu dla opcjonalnych danych diagnostycznych

konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:

Zbierane są dane z następujących pól:

Pole Opis
connection_retry_timeout Limit czasu ponawiania próby połączenia podczas komunikacji z chmurą.
file_hash_cache_maximum Rozmiar pamięci podręcznej produktu.
crash_upload_daily_limit Limit dzienników awarii przekazywanych codziennie.
antivirus_engine.exclusions[].is_directory Czy wykluczenie ze skanowania jest katalogiem, czy nie.
antivirus_engine.exclusions[].path Ścieżka, która została wykluczona ze skanowania.
antivirus_engine.exclusions[].extension Rozszerzenie wykluczone ze skanowania.
antivirus_engine.exclusions[].name Nazwa pliku wykluczonego ze skanowania.
antivirus_engine.scan_cache_maximum Rozmiar pamięci podręcznej produktu.
antivirus_engine.maximum_scan_threads Maksymalna liczba wątków używanych do skanowania.
antivirus_engine.threat_restoration_exclusion_time Przekroczono limit czasu przed ponownym wykryciem pliku przywróconego z kwarantanny.
antivirus_engine.threat_type_settings Konfiguracja sposobu obsługi różnych typów zagrożeń przez produkt.
filesystem_scanner.full_scan_directory Pełny katalog skanowania.
filesystem_scanner.quick_scan_directories Lista katalogów używanych w szybkim skanowaniu.
edr.latency_mode Tryb opóźnienia używany przez składnik wykrywania i odpowiedzi.
edr.proxy_address Adres proxy używany przez składnik wykrywania i odpowiedzi.

Konfiguracja automatycznej aktualizacji firmy Microsoft:

Zbierane są dane z następujących pól:

Pole Opis
how_to_check Określa, jak są sprawdzane aktualizacje produktów (na przykład automatyczne lub ręczne).
channel_name Zaktualizuj kanał skojarzony z urządzeniem.
manifest_server Serwer używany do pobierania aktualizacji.
update_cache Lokalizacja pamięci podręcznej używanej do przechowywania aktualizacji.

Użycie produktów i usług

Rozpoczęty raport dotyczący przekazywania dziennika diagnostycznego

Zbierane są dane z następujących pól:

Pole Opis
sha256 Identyfikator SHA256 dziennika pomocy technicznej.
rozmiar Rozmiar dziennika pomocy technicznej.
original_path Ścieżka do dziennika pomocy technicznej (zawsze w obszarze /var/opt/microsoft/mdatp/wdavdiag/).
format Format dziennika pomocy technicznej.

Ukończono przekazywanie dziennika diagnostycznego

Zbierane są dane z następujących pól:

Pole Opis
request_id Identyfikator korelacji dla żądania przekazania dziennika pomocy technicznej.
sha256 Identyfikator SHA256 dziennika pomocy technicznej.
blob_sas_uri Identyfikator URI używany przez aplikację do przekazywania dziennika pomocy technicznej.

Zdarzenia danych wydajności produktów i usług dla usługi i użycia produktu

Nieoczekiwane zamknięcie aplikacji (awaria):

Niespodziewane zakończenie działania aplikacji oraz stan aplikacji w momencie takiego zdarzenia.

Statystyki rozszerzeń jądra:

Zbierane są dane z następujących pól:

Pole Opis
pkt_ack_timeout Następujące właściwości to zagregowane wartości liczbowe reprezentujące liczbę zdarzeń, które wystąpiły od czasu uruchomienia rozszerzenia jądra.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maska
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.rozwidlenie
ipc.kauth.file_op.create

Zasoby

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.