Dela via


Sekretess för Microsoft Defender för Endpoint i Linux

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Microsoft strävar efter att ge dig den information och de kontroller du behöver för att göra val om hur dina data samlas in och används när du använder Defender för Endpoint i Linux.

Den här artikeln beskriver de sekretesskontroller som är tillgängliga i produkten, hur du hanterar dessa kontroller med principinställningar och mer information om de datahändelser som samlas in.

Översikt över sekretesskontroller i Microsoft Defender för Endpoint i Linux

I det här avsnittet beskrivs sekretesskontrollerna för de olika typer av data som samlas in av Defender för Endpoint i Linux.

Diagnostikdata

Diagnostikdata används för att hålla Defender för Endpoint säkert och uppdaterat, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar.

Vissa diagnostiska data är obligatoriska, medan andra diagnostiska data är valfria. Vi ger dig möjlighet att välja om du vill skicka obligatoriska eller valfria diagnostikdata med hjälp av sekretesskontroller, till exempel principinställningar för organisationer.

Det finns två nivåer av diagnostikdata för Klientprogramvara för Defender för Endpoint som du kan välja mellan:

  • Obligatoriskt: De minsta data som krävs för att hålla Defender för Endpoint säkert, uppdaterat och fungerar som förväntat på den enhet som den är installerad på.
  • Valfritt: Andra data som hjälper Microsoft att göra produktförbättringar och ger förbättrad information för att identifiera, diagnostisera och åtgärda problem.

Som standard skickas endast obligatoriska diagnostikdata till Microsoft.

Molnleverering av skyddsdata

Molnbaserat skydd används för att ge ökat och snabbare skydd med åtkomst till de senaste skyddsdata i molnet.

Det är valfritt att aktivera den molnlevererad skyddstjänsten, men det rekommenderas starkt eftersom det ger ett viktigt skydd mot skadlig kod på dina slutpunkter och i hela nätverket.

Exempeldata

Exempeldata används för att förbättra produktens skyddsfunktioner genom att skicka misstänkta Microsoft-exempel så att de kan analyseras. Det är valfritt att aktivera automatisk sändning av exempel.

Det finns tre nivåer för att kontrollera sändning av exempel:

  • Ingen: inga misstänkta exempel skickas till Microsoft.
  • Säker: endast misstänkta exempel som inte innehåller personligt identifierbar information (PII) skickas automatiskt. Det här är standardvärdet.
  • Alla: alla misstänkta exempel skickas till Microsoft.

Hantera sekretesskontroller med principinställningar

Om du är IT-administratör kanske du vill konfigurera dessa kontroller på företagsnivå.

Sekretesskontrollerna för de olika typer av data som beskrivs i föregående avsnitt beskrivs i detalj i Ange inställningar för Defender för Endpoint på Linux.

Precis som med alla nya principinställningar bör du noggrant testa dem i en begränsad, kontrollerad miljö för att säkerställa att de inställningar som du konfigurerar har önskad effekt innan du implementerar principinställningarna i större utsträckning i din organisation.

Diagnostikdatahändelser

I det här avsnittet beskrivs vad som anses vara obligatoriska diagnostikdata och vad som anses vara valfria diagnostikdata, tillsammans med en beskrivning av de händelser och fält som samlas in.

Datafält som är gemensamma för alla händelser

Det finns viss information om händelser som är gemensamma för alla aktiviteter, oavsett kategori eller dataundertyp.

Följande fält anses vara vanliga för alla händelser:

Fält Beskrivning
plattform Den breda klassificeringen av plattformen där appen körs. Gör att Microsoft kan identifiera på vilka plattformar ett problem kan uppstå så att det kan prioriteras korrekt.
machine_guid Unik identifierare som är associerad med enheten. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas.
sense_guid Unik identifierare som är associerad med enheten. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas.
org_id Unik identifierare som är associerad med det företag som enheten tillhör. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning företag och hur många företag som påverkas.
värdnamn Lokalt enhetsnamn (utan DNS-suffix). Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas.
product_guid Unik identifierare för produkten. Gör att Microsoft kan särskilja problem som påverkar olika varianter av produkten.
app_version Version av Defender för Endpoint i Linux-programmet. Gör att Microsoft kan identifiera vilka versioner av produkten som visar ett problem så att det kan prioriteras korrekt.
sig_version Version av säkerhetsinformationsdatabasen. Gör att Microsoft kan identifiera vilka versioner av säkerhetsinformationen som visar ett problem så att det kan prioriteras korrekt.
supported_compressions Lista över komprimeringsalgoritmer som stöds av programmet, till exempel ['gzip']. Gör att Microsoft kan förstå vilka typer av komprimeringar som kan användas när de kommunicerar med programmet.
release_ring Ring att enheten är associerad med (till exempel Insider Fast, Insider Slow, Production). Gör att Microsoft kan identifiera vilken versionsring ett problem kan uppstå på så att det kan prioriteras korrekt.

Obligatoriska diagnostikdata

Obligatoriska diagnostikdata är de minsta data som krävs för att hålla Defender för Endpoint säkert, uppdaterat och prestera som förväntat på den enhet som den är installerad på.

Obligatoriska diagnostikdata hjälper till att identifiera problem med Microsoft Defender för Endpoint som kan vara relaterade till en enhets- eller programvarukonfiguration. Det kan till exempel hjälpa dig att avgöra om en Defender för Endpoint-funktion kraschar oftare på en viss version av operativsystemet, med nyligen introducerade funktioner eller när vissa Defender för Endpoint-funktioner är inaktiverade. Obligatoriska diagnostikdata hjälper Microsoft att identifiera, diagnostisera och åtgärda dessa problem snabbare så att påverkan på användare eller organisationer minskar.

Programvaruinstallation och lagringshändelser

Microsoft Defender för Endpoint installation/avinstallation:

Följande fält samlas in:

Fält Beskrivning
correlation_id Unik identifierare som är associerad med installationen.
version Version av paketet.
stränghet Allvarlighetsgrad för meddelandet (till exempel Information).
kod Kod som beskriver åtgärden.
SMS Ytterligare information som är associerad med produktinstallationen.

Microsoft Defender för Endpoint konfiguration:

Följande fält samlas in:

Fält Beskrivning
antivirus_engine.enable_real_time_protection Om realtidsskydd är aktiverat på enheten eller inte.
antivirus_engine.passive_mode Om passivt läge är aktiverat på enheten eller inte.
cloud_service.enabled Om molnlevererat skydd är aktiverat på enheten eller inte.
cloud_service.timeout Tidsgräns när programmet kommunicerar med Defender för Endpoint-molnet.
cloud_service.heartbeat_interval Intervall mellan efterföljande pulsslag som skickas av produkten till molnet.
cloud_service.service_uri URI som används för att kommunicera med molnet.
cloud_service.diagnostic_level Diagnostiknivå för enheten (obligatoriskt, valfritt).
cloud_service.automatic_sample_submission Automatisk överföringsnivå för enheten (ingen, säker, alla).
cloud_service.automatic_definition_update_enabled Om automatisk definitionsuppdatering är aktiverad eller inte.
edr.early_preview Om enheten ska köra funktioner för tidig förhandsversion av EDR.
edr.group_id Gruppidentifierare som används av identifierings- och svarskomponenten.
edr.tags Användardefinierade taggar.
Funktioner. [valfritt funktionsnamn] Lista över förhandsgranskningsfunktioner, tillsammans med om de är aktiverade eller inte.

Produkt- och tjänstanvändningshändelser

Uppdateringsrapport för säkerhetsinformation:

Följande fält samlas in:

Fält Beskrivning
from_version Ursprunglig säkerhetsinformationsversion.
to_version Ny säkerhetsinformationsversion.
status Status för uppdateringen som anger lyckat eller misslyckat.
using_proxy Om uppdateringen gjordes via en proxy.
fel Felkod om uppdateringen misslyckades.
orsak Felmeddelande om uppdateringen misslyckades.

Datahändelser för produkt- och tjänstprestanda för obligatoriska diagnostikdata

Statistik för kerneltillägg:

Följande fält samlas in:

Fält Beskrivning
version Version av Defender för Endpoint i Linux.
instance_id Unik identifierare som genereras vid start av kerneltillägg.
trace_level Spårningsnivå för kerneltillägget.
delsystem Det underliggande undersystemet som används för realtidsskydd.
ipc.connects Antal anslutningsbegäranden som tagits emot av kerneltillägget.
ipc.rejects Antal anslutningsbegäranden som avvisas av kerneltillägget.
ipc.connected Om det finns någon aktiv anslutning till kerneltillägget.

Supportdata

Diagnostikloggar:

Diagnostikloggar samlas endast in med användarens medgivande som en del av funktionen för feedbacköverföring. Följande filer samlas in som en del av supportloggarna:

  • Alla filer under /var/log/microsoft/mdatp
  • Delmängd av filer under /etc/opt/microsoft/mdatp som skapas och används av Defender för Endpoint i Linux
  • Produktinstallations- och avinstallationsloggar under /var/log/microsoft/mdatp/*.log

Valfria diagnostikdata

Valfria diagnostikdata är ytterligare data som hjälper Microsoft att göra produktförbättringar och ger förbättrad information för att identifiera, diagnostisera och åtgärda problem.

Om du väljer att skicka valfria diagnostikdata omfattas även obligatoriska diagnostikdata.

Exempel på valfria diagnostikdata är data som Microsoft samlar in om produktkonfiguration (till exempel antal undantag som angetts på enheten) och produktprestanda (aggregerade mått om produktens komponenters prestanda).

Programvaruinstallation och inventeringsdatahändelser för valfria diagnostikdata

Microsoft Defender för Endpoint konfiguration:

Följande fält samlas in:

Fält Beskrivning
connection_retry_timeout Tidsgränsen för anslutningens återförsök vid kommunikation med molnet.
file_hash_cache_maximum Storleken på produktcachen.
crash_upload_daily_limit Gräns för kraschloggar som laddas upp dagligen.
antivirus_engine.exclusions[].is_directory Om undantaget från genomsökning är en katalog eller inte.
antivirus_engine.exclusions[].path Sökväg som inte har genomsökts.
antivirus_engine.exclusions[].extension Tillägget undantas från genomsökning.
antivirus_engine.exclusions[].name Namnet på filen som undantas från genomsökning.
antivirus_engine.scan_cache_maximum Storleken på produktcachen.
antivirus_engine.maximum_scan_threads Maximalt antal trådar som används för genomsökning.
antivirus_engine.threat_restoration_exclusion_time Tidsgränsen uppnås innan en fil som återställs från karantänen kan identifieras igen.
antivirus_engine.threat_type_settings Konfiguration för hur olika hottyper hanteras av produkten.
filesystem_scanner.full_scan_directory Fullständig genomsökningskatalog.
filesystem_scanner.quick_scan_directories Lista över kataloger som används vid snabbgenomsökning.
edr.latency_mode Svarstidsläge som används av identifierings- och svarskomponenten.
edr.proxy_address Proxyadress som används av identifierings- och svarskomponenten.

Microsofts konfiguration för automatisk uppdatering:

Följande fält samlas in:

Fält Beskrivning
how_to_check Avgör hur produktuppdateringar kontrolleras (till exempel automatiskt eller manuellt).
channel_name Uppdatera kanalen som är associerad med enheten.
manifest_server Server som används för att ladda ned uppdateringar.
update_cache Platsen för cachen som används för att lagra uppdateringar.

Produkt- och tjänstanvändning

Rapport om start av diagnostiklogg

Följande fält samlas in:

Fält Beskrivning
sha256 SHA256-identifierare för supportloggen.
storlek Storleken på supportloggen.
original_path Sökväg till supportloggen (alltid under /var/opt/microsoft/mdatp/wdavdiag/).
format Format för supportloggen.

Diagnostikloggens slutförda rapport för uppladdning av diagnostiklogg

Följande fält samlas in:

Fält Beskrivning
request_id Korrelations-ID för begäran om uppladdning av supportlogg.
sha256 SHA256-identifierare för supportloggen.
blob_sas_uri URI som används av programmet för att ladda upp supportloggen.

Datahändelser för produkt- och tjänstprestanda för produkttjänst och användning

Oväntat programavslut (krasch):

Oväntat programavslut (krasch) och tillståndet för programmet när det händer.

Statistik för kerneltillägg:

Följande fält samlas in:

Fält Beskrivning
pkt_ack_timeout Följande egenskaper är aggregerade numeriska värden som representerar antalet händelser som inträffat sedan kerneltillägget startades.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Resurser

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.