Freigeben über


Datenschutz für Microsoft Defender for Endpoint unter macOS

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Microsoft ist bestrebt, Ihnen die Informationen und Kontrollen zur Verfügung zu stellen, die Sie benötigen, um Entscheidungen darüber zu treffen, wie Ihre Daten gesammelt und verwendet werden, wenn Sie Microsoft Defender for Endpoint unter macOS verwenden.

In diesem Thema werden die im Produkt verfügbaren Datenschutzsteuerelemente, die Verwaltung dieser Steuerelemente mit Richtlinieneinstellungen und weitere Details zu den gesammelten Datenereignissen beschrieben.

Übersicht über Datenschutzsteuerelemente in Microsoft Defender for Endpoint unter macOS

In diesem Abschnitt werden die Datenschutzsteuerelemente für die verschiedenen Arten von Daten beschrieben, die von Microsoft Defender for Endpoint unter macOS gesammelt werden.

Diagnosedaten

Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen.

Einige Diagnosedaten sind erforderlich, während andere Diagnosedaten optional sind. Durch die Verwendung von Datenschutzsteuerelementen wie Richtlinieneinstellungen für Organisationen bieten wir Ihnen die Möglichkeit auszuwählen, ob Sie uns erforderliche oder optionale Diagnosedaten senden wollen oder nicht.

Es gibt zwei Ebenen von Diagnosedaten für Microsoft Defender for Endpoint Clientsoftware, aus denen Sie wählen können:

  • Erforderlich: Die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und die erwartete Leistung auf dem Gerät zu gewährleisten, auf dem es installiert ist.

  • Optional: Zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen, und erweiterte Informationen zur Erkennung, Diagnose und Behebung von Problemen bieten.

Standardmäßig werden nur erforderliche Diagnosedaten an Microsoft gesendet.

Von der Cloud bereitgestellte Schutzdaten

Der von der Cloud bereitgestellte Schutz wird verwendet, um einen höheren und schnelleren Schutz mit Zugriff auf die neuesten Schutzdaten in der Cloud bereitzustellen.

Das Aktivieren des von der Cloud bereitgestellten Schutzdiensts ist optional. Es wird jedoch dringend empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im gesamten Netzwerk bietet.

Beispieldaten

Beispieldaten werden verwendet, um die Schutzfunktionen des Produkts zu verbessern, indem verdächtige Microsoft-Proben gesendet werden, damit sie analysiert werden können. Das Aktivieren der automatischen Beispielübermittlung ist optional.

Wenn dieses Feature aktiviert ist und das gesammelte Beispiel wahrscheinlich persönliche Informationen enthält, wird der Benutzer zur Zustimmung aufgefordert.

Verwalten von Datenschutzsteuerelementen mit Richtlinieneinstellungen

Wenn Sie IT-Administrator sind, sollten Sie diese Steuerelemente auf Unternehmensebene konfigurieren.

Die Datenschutzsteuerelemente für die verschiedenen Im vorherigen Abschnitt beschriebenen Datentypen werden unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS ausführlich beschrieben.

Wie bei allen neuen Richtlinieneinstellungen sollten Sie sie sorgfältig in einer eingeschränkten, kontrollierten Umgebung testen, um sicherzustellen, dass die von Ihnen konfigurierten Einstellungen die gewünschte Wirkung haben, bevor Sie die Richtlinieneinstellungen in Ihrem organization umfassender implementieren.

Diagnosedatenereignisse

In diesem Abschnitt wird beschrieben, was als erforderliche Diagnosedaten betrachtet wird und was als optionale Diagnosedaten betrachtet wird, zusammen mit einer Beschreibung der Ereignisse und Felder, die gesammelt werden.

Datenfelder, die für alle Ereignisse gemeinsam sind

Es gibt einige Informationen über Ereignisse, die allen Ereignissen gemeinsam sind, unabhängig von der Kategorie oder dem Untertyp der Daten.

Die folgenden Felder gelten als allgemein für alle Ereignisse:

Feld Beschreibung
Plattform Die allgemeine Klassifizierung der Plattform, auf der die App ausgeführt wird. Ermöglicht Es Microsoft, zu ermitteln, auf welchen Plattformen ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.
machine_guid Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
sense_guid Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
org_id Eindeutiger Bezeichner, der dem Unternehmen zugeordnet ist, zu dem das Gerät gehört. Ermöglicht Es Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Unternehmen auswirken und wie viele Unternehmen betroffen sind.
Hostname Lokaler Gerätename (ohne DNS-Suffix). Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
product_guid Eindeutiger Bezeichner des Produkts. Ermöglicht Es Microsoft, Probleme zu unterscheiden, die sich auf verschiedene Varianten des Produkts auswirken.
app_version Version der Microsoft Defender for Endpoint unter macOS-Anwendung. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen des Produkts ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
sig_version Version der Security Intelligence-Datenbank. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen der Sicherheitsintelligenz ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
supported_compressions Liste der von der Anwendung unterstützten Komprimierungsalgorithmen, z. B ['gzip']. . Ermöglicht Microsoft zu verstehen, welche Arten von Komprimierungen verwendet werden können, wenn es mit der Anwendung kommuniziert.
release_ring Ring, dem das Gerät zugeordnet ist (z. B. Insider Fast, Insider Slow, Production). Ermöglicht Es Microsoft, zu ermitteln, in welchem Releasering ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.

Erforderliche Diagnosedaten

Erforderliche Diagnosedaten sind die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und auf dem Gerät, auf dem es installiert ist, wie erwartet ausgeführt wird.

Erforderliche Diagnosedaten helfen beim Identifizieren von Problemen mit Microsoft Defender for Endpoint, die möglicherweise mit einer Geräte- oder Softwarekonfiguration zusammenhängen. So kann beispielsweise ermittelt werden, ob ein Microsoft Defender for Endpoint Feature bei einer bestimmten Betriebssystemversion mit neu eingeführten Features häufiger abstürzt oder wenn bestimmte Microsoft Defender for Endpoint Features deaktiviert sind. Die erforderlichen Diagnosedaten helfen Microsoft, diese Probleme schneller zu erkennen, zu diagnostizieren und zu beheben, sodass die Auswirkungen auf Benutzer oder Organisationen reduziert werden.

Softwaresetup und Inventurdatenereignisse

Microsoft Defender for Endpoint Installation/Deinstallation:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
correlation_id Eindeutiger Bezeichner, der der Installation zugeordnet ist.
Version Version des Pakets.
Schweregrad Schweregrad der Nachricht (z. B. Information).
code Code, der den Vorgang beschreibt.
text Zusätzliche Informationen im Zusammenhang mit der Produktinstallation.

Microsoft Defender for Endpoint Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
antivirus_engine.enable_real_time_protection Gibt an, ob der Echtzeitschutz auf dem Gerät aktiviert ist oder nicht.
antivirus_engine.passive_mode Gibt an, ob der passive Modus auf dem Gerät aktiviert ist.
cloud_service.enabled Gibt an, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht.
cloud_service.timeout Timeout, wenn die Anwendung mit der Microsoft Defender for Endpoint Cloud kommuniziert.
cloud_service.heartbeat_interval Intervall zwischen aufeinander folgenden Heartbeats, die vom Produkt an die Cloud gesendet werden.
cloud_service.service_uri URI, der für die Kommunikation mit der Cloud verwendet wird.
cloud_service.diagnostic_level Diagnoseebene des Geräts (erforderlich, optional).
cloud_service.automatic_sample_submission Gibt an, ob die automatische Stichprobenübermittlung aktiviert ist oder nicht.
cloud_service.automatic_definition_update_enabled Gibt an, ob die automatische Definitionsaktualisierung aktiviert ist.
edr.early_preview Gibt an, ob auf dem Gerät EDR Early Preview-Features ausgeführt werden sollen.
edr.group_id Gruppenbezeichner, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.tags Benutzerdefinierte Tags.
Funktionen. [optionaler Featurename] Liste der Vorschaufeatures, zusammen mit der Angabe, ob sie aktiviert sind oder nicht.

Produkt- und Dienstverwendungsdatenereignisse

Security Intelligence-Updatebericht:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
from_version Ursprüngliche Security Intelligence-Version.
to_version Neue Security Intelligence-Version.
status Status des Updates, der den Erfolg oder Fehler angibt.
using_proxy Gibt an, ob das Update über einen Proxy durchgeführt wurde.
error Fehlercode, wenn das Update fehlgeschlagen ist.
reason Fehlermeldung, wenn die aktualisierte Datei abgelegt wurde.

Produkt- und Dienstleistungsdatenereignisse für erforderliche Diagnosedaten

Unerwarteter Anwendungsausgang (Absturz)::

Erfasst Systeminformationen und den Status einer Anwendung, wenn eine Anwendung unerwartet beendet wird.

Die folgenden Felder werden gesammelt:

Feld Beschreibung
v1_crash_count Anzahl der Abstürze des V1-Engine-Prozesses pro Stunde auf dem Clientcomputer
v2_crash_count Anzahl der Stündlich abgestürzten V2-Engine-Prozesse auf dem Clientcomputer
EDR_crash_count Anzahl von Stündlich abgestürzten EDR-Prozessen auf dem Clientcomputer

Kernelerweiterungsstatistiken:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
Version Version von Microsoft Defender for Endpoint unter macOS.
instance_id Eindeutiger Bezeichner, der beim Start der Kernelerweiterung generiert wird.
trace_level Ablaufverfolgungsebene der Kernelerweiterung.
Subsystem Das zugrunde liegende Subsystem, das für den Echtzeitschutz verwendet wird.
ipc.connects Anzahl der von der Kernelerweiterung empfangenen Verbindungsanforderungen.
ipc.rejects Anzahl von Verbindungsanforderungen, die von der Kernelerweiterung abgelehnt wurden.
ipc.connected Gibt an, ob eine aktive Verbindung mit der Kernelerweiterung besteht.

Supportdaten

Diagnoseprotokolle:

Diagnoseprotokolle werden nur mit zustimmung des Benutzers im Rahmen der Feedbackübermittlungsfunktion gesammelt. Die folgenden Dateien werden als Teil der Supportprotokolle gesammelt:

  • Alle Dateien unter /Library/Logs/Microsoft/mdatp/
  • Teilmenge der Dateien unter /Library/Application Support/Microsoft/Defender/, die von Microsoft Defender for Endpoint unter macOS erstellt und verwendet werden
  • Teilmenge der Dateien unter "/Library/Managed Preferences", die von Microsoft Defender for Endpoint unter macOS verwendet werden
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Optionale Diagnosedaten

Optionale Diagnosedaten sind zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen bereitzustellen, um Probleme zu erkennen, zu diagnostizieren und zu beheben.

Wenn Sie sich dafür entscheiden, uns optionale Diagnosedaten zu senden, werden auch die erforderlichen Diagnosedaten mitgeliefert.

Beispiele für optionale Diagnosedaten sind Daten, die Microsoft über die Produktkonfiguration (z. B. die Anzahl der auf dem Gerät festgelegten Ausschlüsse) und die Produktleistung (aggregierte Measures zur Leistung von Komponenten des Produkts) sammelt.

Softwareeinrichtung und Inventurdatenereignisse für optionale Diagnosedaten

Microsoft Defender for Endpoint Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
connection_retry_timeout Bei der Kommunikation mit der Cloud tritt ein Timeout für verbindungsreprobte Wiederholungen auf.
file_hash_cache_maximum Größe des Produktcaches.
crash_upload_daily_limit Limit der täglich hochgeladenen Absturzprotokolle.
antivirus_engine.exclusions[].is_directory Gibt an, ob der Ausschluss von der Überprüfung ein Verzeichnis ist oder nicht.
antivirus_engine.exclusions[].path Pfad, der von der Überprüfung ausgeschlossen wurde.
antivirus_engine.exclusions[].extension Erweiterung vom Scannen ausgeschlossen.
antivirus_engine.exclusions[].name Der Name der Datei, die von der Überprüfung ausgeschlossen ist.
antivirus_engine.scan_cache_maximum Größe des Produktcaches.
antivirus_engine.maximum_scan_threads Maximale Anzahl von Threads, die für die Überprüfung verwendet werden.
antivirus_engine.threat_restoration_exclusion_time Timeout, bevor eine aus der Quarantäne wiederhergestellte Datei wieder erkannt werden kann.
antivirus_engine.threat_type_settings Konfiguration, wie verschiedene Bedrohungstypen vom Produkt behandelt werden.
filesystem_scanner.full_scan_directory Verzeichnis der vollständigen Überprüfung.
filesystem_scanner.quick_scan_directories Liste der Verzeichnisse, die bei der Schnellüberprüfung verwendet werden.
edr.latency_mode Latenzmodus, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.proxy_address Proxyadresse, die von der Erkennungs- und Antwortkomponente verwendet wird.

Microsoft Auto-Update-Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
how_to_check Bestimmt, wie Produktupdates überprüft werden (z. B. automatisch oder manuell).
channel_name Updatekanal, der dem Gerät zugeordnet ist.
manifest_server Server, der zum Herunterladen von Updates verwendet wird.
update_cache Speicherort des Caches, der zum Speichern von Updates verwendet wird.

Produkt- und Dienstnutzung

Bericht zum Hochladen des Diagnoseprotokolls wurde gestartet

Die folgenden Felder werden gesammelt:

Feld Beschreibung
sha256 SHA256-Bezeichner des Supportprotokolls.
size Größe des Supportprotokolls.
original_path Pfad zum Supportprotokoll (immer unter /Library/Application Support/Microsoft/Defender/wdavdiag/).
Format Format des Supportprotokolls.
Metadaten Informationen zum Inhalt des Supportprotokolls.

Abgeschlossener Bericht zum Hochladen des Diagnoseprotokolls

Die folgenden Felder werden gesammelt:

Feld Beschreibung
request_id Korrelations-ID für die Anforderung zum Hochladen des Supportprotokolls.
sha256 SHA256-Bezeichner des Supportprotokolls.
blob_sas_uri URI, der von der Anwendung zum Hochladen des Supportprotokolls verwendet wird.

Produkt- und Dienstleistungsdatenereignisse für die Produkt- und Dienstnutzung

Unerwarteter Anwendungsausgang (Absturz)::

Unerwartete Anwendungsbeendungen und der Anwendungsstatus zum Zeitpunkt des Beendung.

Kernelerweiterungsstatistiken:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
pkt_ack_timeout Die folgenden Eigenschaften sind aggregierte numerische Werte, die die Anzahl der Ereignisse darstellen, die seit dem Start der Kernelerweiterung aufgetreten sind.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ressourcen

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.