Privacidad de Microsoft Defender para endpoint en LinuxPrivacy for Microsoft Defender for Endpoint on Linux

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Microsoft se compromete a proporcionarle la información y los controles que necesita para tomar decisiones sobre cómo se recopilan y usan los datos cuando usa Defender para Endpoint en Linux.Microsoft is committed to providing you with the information and controls you need to make choices about how your data is collected and used when you’re using Defender for Endpoint on Linux.

En este tema se describen los controles de privacidad disponibles en el producto, cómo administrar estos controles con la configuración de directiva y más detalles sobre los eventos de datos que se recopilan.This topic describes the privacy controls available within the product, how to manage these controls with policy settings and more details on the data events that are collected.

Información general sobre los controles de privacidad en Microsoft Defender para Endpoint en LinuxOverview of privacy controls in Microsoft Defender for Endpoint on Linux

En esta sección se describen los controles de privacidad de los diferentes tipos de datos recopilados por Defender para Endpoint en Linux.This section describes the privacy controls for the different types of data collected by Defender for Endpoint on Linux.

Datos de diagnósticoDiagnostic data

Los datos de diagnóstico se usan para mantener Defender for Endpoint seguro y actualizado, detectar, diagnosticar y corregir problemas y también realizar mejoras en el producto.Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements.

Algunos datos de diagnóstico son necesarios, mientras que otros son opcionales.Some diagnostic data is required, while some diagnostic data is optional. Le damos la posibilidad de elegir si enviarnos datos de diagnóstico necesarios u opcionales mediante los controles de privacidad, como la configuración de directiva para las organizaciones.We give you the ability to choose whether to send us required or optional diagnostic data through the use of privacy controls, such as policy settings for organizations.

Hay dos niveles de datos de diagnóstico para el software cliente de Defender for Endpoint entre los que puede elegir:There are two levels of diagnostic data for Defender for Endpoint client software that you can choose from:

  • Obligatorio: los datos mínimos necesarios para mantener Defender for Endpoint seguros, actualizados y funcionando según lo esperado en el dispositivo en el que está instalado.Required: The minimum data necessary to help keep Defender for Endpoint secure, up-to-date, and performing as expected on the device it’s installed on.

  • Opcional: datos adicionales que ayudan a Microsoft a realizar mejoras en el producto y proporcionan información mejorada para ayudar a detectar, diagnosticar y corregir problemas.Optional: Additional data that helps Microsoft make product improvements and provides enhanced information to help detect, diagnose, and remediate issues.

De forma predeterminada, solo se envían los datos de diagnóstico necesarios a Microsoft.By default, only required diagnostic data is sent to Microsoft.

Datos de protección entregados en la nubeCloud delivered protection data

La protección entregada en la nube se usa para proporcionar una mayor y más rápida protección con acceso a los últimos datos de protección en la nube.Cloud delivered protection is used to provide increased and faster protection with access to the latest protection data in the cloud.

Habilitar el servicio de protección entregado en la nube es opcional, pero es muy recomendable porque proporciona protección importante contra malware en los puntos de conexión y en toda la red.Enabling the cloud-delivered protection service is optional, however it is highly recommended because it provides important protection against malware on your endpoints and across your network.

Datos de ejemploSample data

Los datos de ejemplo se usan para mejorar las capacidades de protección del producto, enviando muestras sospechosas de Microsoft para que se puedan analizar.Sample data is used to improve the protection capabilities of the product, by sending Microsoft suspicious samples so they can be analyzed. Habilitar el envío automático de ejemplo es opcional.Enabling automatic sample submission is optional.

Existen tres niveles para controlar el envío de muestra:There are three levels for controlling sample submission:

  • Ninguno: no se envían muestras sospechosas a Microsoft.None: no suspicious samples are submitted to Microsoft.
  • Seguro: solo se envían automáticamente muestras sospechosas que no contienen información de identificación personal (PII).Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. Este es el valor predeterminado para esta configuración.This is the default value for this setting.
  • All: todas las muestras sospechosas se envían a Microsoft.All: all suspicious samples are submitted to Microsoft.

Administre los controles de privacidad con la configuración de directivaManage privacy controls with policy settings

Si es administrador de TI, es posible que desee configurar estos controles en el nivel de empresa.If you're an IT administrator, you might want to configure these controls at the enterprise level.

Los controles de privacidad de los distintos tipos de datos descritos en la sección anterior se describen detalladamente en Establecer preferencias para Defender para endpoint en Linux.The privacy controls for the various types of data described in the preceding section are described in detail in Set preferences for Defender for Endpoint on Linux.

Al igual que con cualquier configuración de directiva nueva, debe probarlas cuidadosamente en un entorno limitado y controlado para asegurarse de que la configuración que configure tenga el efecto deseado antes de implementar la configuración de directiva más ampliamente en su organización.As with any new policy settings, you should carefully test them out in a limited, controlled environment to ensure the settings that you configure have the desired effect before you implement the policy settings more widely in your organization.

Eventos de datos de diagnósticoDiagnostic data events

En esta sección se describen los datos de diagnóstico necesarios y los que se consideran datos de diagnóstico opcionales, junto con una descripción de los eventos y campos recopilados.This section describes what is considered required diagnostic data and what is considered optional diagnostic data, along with a description of the events and fields that are collected.

Campos de datos comunes para todos los eventosData fields that are common for all events

Hay cierta información acerca de los eventos que es común a todos, independientemente del subtipo de datos o la categoría.There is some information about events that is common to all events, regardless of category or data subtype.

Los siguientes campos se consideran comunes para todos los eventos:The following fields are considered common for all events:

FieldField DescripciónDescription
plataformaplatform La clasificación general de la plataforma en la que se ejecuta la aplicación.The broad classification of the platform on which the app is running. Permite a Microsoft identificar en qué plataformas se puede producir un problema para que se pueda priorizar correctamente.Allows Microsoft to identify on which platforms an issue may be occurring so that it can correctly be prioritized.
machine_guidmachine_guid Identificador único asociado al dispositivo.Unique identifier associated with the device. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se verán afectados.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
sense_guidsense_guid Identificador único asociado al dispositivo.Unique identifier associated with the device. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se verán afectados.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
org_idorg_id Identificador único asociado a la empresa a la que pertenece el dispositivo.Unique identifier associated with the enterprise that the device belongs to. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de empresas y cuántas empresas se verán afectadas.Allows Microsoft to identify whether issues are impacting a select set of enterprises and how many enterprises are impacted.
nombre de hosthostname Nombre de dispositivo local (sin sufijo DNS).Local device name (without DNS suffix). Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se verán afectados.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
product_guidproduct_guid Identificador único del producto.Unique identifier of the product. Permite a Microsoft diferenciar los problemas que afectan a diferentes sabores del producto.Allows Microsoft to differentiate issues impacting different flavors of the product.
app_versionapp_version Versión de la aplicación Defender para endpoint en Linux.Version of the Defender for Endpoint on Linux application. Permite a Microsoft identificar qué versiones del producto muestran un problema para que se pueda priorizar correctamente.Allows Microsoft to identify which versions of the product are showing an issue so that it can correctly be prioritized.
sig_versionsig_version Versión de la base de datos de inteligencia de seguridad.Version of security intelligence database. Permite a Microsoft identificar qué versiones de la inteligencia de seguridad muestran un problema para que se pueda priorizar correctamente.Allows Microsoft to identify which versions of the security intelligence are showing an issue so that it can correctly be prioritized.
supported_compressionssupported_compressions Lista de algoritmos de compresión admitidos por la aplicación, por ejemplo ['gzip'] .List of compression algorithms supported by the application, for example ['gzip']. Permite a Microsoft comprender qué tipos de compresión se pueden usar cuando se comunica con la aplicación.Allows Microsoft to understand what types of compressions can be used when it communicates with the application.
release_ringrelease_ring Anillo al que está asociado el dispositivo (por ejemplo, Insider Fast, Insider Slow, Production).Ring that the device is associated with (for example Insider Fast, Insider Slow, Production). Permite a Microsoft identificar en qué anillo de lanzamiento puede producirse un problema para que se pueda priorizar correctamente.Allows Microsoft to identify on which release ring an issue may be occurring so that it can correctly be prioritized.

Datos de diagnósticos necesariosRequired diagnostic data

Los datos de diagnóstico necesarios son los datos mínimos necesarios para mantener Defender for Endpoint seguro, actualizado y con el rendimiento esperado en el dispositivo en el que está instalado.Required diagnostic data is the minimum data necessary to help keep Defender for Endpoint secure, up-to-date, and perform as expected on the device it’s installed on.

Los datos de diagnóstico necesarios ayudan a identificar problemas con Microsoft Defender para endpoint que pueden estar relacionados con una configuración de dispositivo o software.Required diagnostic data helps to identify problems with Microsoft Defender for Endpoint that may be related to a device or software configuration. Por ejemplo, puede ayudar a determinar si una característica defender para endpoint se bloquea con más frecuencia en una versión determinada del sistema operativo, con características recién introducidas o cuando determinadas características de Defender for Endpoint están deshabilitadas.For example, it can help determine if a Defender for Endpoint feature crashes more frequently on a particular operating system version, with newly introduced features, or when certain Defender for Endpoint features are disabled. Los datos de diagnóstico necesarios ayudan a Microsoft a detectar, diagnosticar y solucionar estos problemas con mayor rapidez para reducir el impacto para los usuarios u organizaciones.Required diagnostic data helps Microsoft detect, diagnose, and fix these problems more quickly so the impact to users or organizations is reduced.

Eventos de datos de inventario y configuración de softwareSoftware setup and inventory data events

Instalación y desinstalación de Microsoft Defender para endpointMicrosoft Defender for Endpoint installation / uninstallation

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
correlation_idcorrelation_id Identificador único asociado a la instalación.Unique identifier associated with the installation.
versionversion Versión del paquete.Version of the package.
severityseverity Gravedad del mensaje (por ejemplo, Informativo).Severity of the message (for example Informational).
códigocode Código que describe la operación.Code that describes the operation.
texttext Información adicional asociada a la instalación del producto.Additional information associated with the product installation.

Configuración de Microsoft Defender para punto de conexiónMicrosoft Defender for Endpoint configuration

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
antivirus_engine.enable_real_time_protectionantivirus_engine.enable_real_time_protection Si la protección en tiempo real está habilitada en el dispositivo o no.Whether real-time protection is enabled on the device or not.
antivirus_engine.passive_modeantivirus_engine.passive_mode Si el modo pasivo está habilitado en el dispositivo o no.Whether passive mode is enabled on the device or not.
cloud_service.enabledcloud_service.enabled Si la protección entregada en la nube está habilitada en el dispositivo o no.Whether cloud delivered protection is enabled on the device or not.
cloud_service.timeoutcloud_service.timeout Tiempo de espera cuando la aplicación se comunica con la nube de Defender for Endpoint.Time out when the application communicates with the Defender for Endpoint cloud.
cloud_service.heartbeat_intervalcloud_service.heartbeat_interval Intervalo entre latidos consecutivos enviados por el producto a la nube.Interval between consecutive heartbeats sent by the product to the cloud.
cloud_service.service_uricloud_service.service_uri URI usado para comunicarse con la nube.URI used to communicate with the cloud.
cloud_service.diagnostic_levelcloud_service.diagnostic_level Nivel de diagnóstico del dispositivo (obligatorio, opcional).Diagnostic level of the device (required, optional).
cloud_service.automatic_sample_submissioncloud_service.automatic_sample_submission Nivel de envío de muestra automático del dispositivo (ninguno, seguro, todo).Automatic sample submission level of the device (none, safe, all).
edr.early_previewedr.early_preview Si el dispositivo debe ejecutar características de vista previa de EDR.Whether the device should run EDR early preview features.
edr.group_idedr.group_id Identificador de grupo usado por el componente de detección y respuesta.Group identifier used by the detection and response component.
edr.tagsedr.tags Etiquetas definidas por el usuario.User-defined tags.
características. [ nombre de característica opcional]features.[optional feature name] Lista de características de vista previa, junto con si están habilitadas o no.List of preview features, along with whether they are enabled or not.

Eventos de datos de uso de productos y serviciosProduct and service usage data events

Informe de actualización de inteligencia de seguridadSecurity intelligence update report

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
from_versionfrom_version Versión original de inteligencia de seguridad.Original security intelligence version.
to_versionto_version Nueva versión de inteligencia de seguridad.New security intelligence version.
statusstatus Estado de la actualización que indica el éxito o error.Status of the update indicating success or failure.
using_proxyusing_proxy Si la actualización se ha realizado a través de un proxy.Whether the update was done over a proxy.
errorerror Código de error si se produjo un error en la actualización.Error code if the update failed.
motivoreason Mensaje de error si se produjo un error en la actualización.Error message if the update failed.

Eventos de datos de rendimiento de productos y serviciosProduct and service performance data events

Estadísticas de extensión de kernelKernel extension statistics

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
versionversion Versión de Defender para Endpoint en Linux.Version of Defender for Endpoint on Linux.
instance_idinstance_id Identificador único generado en el inicio de extensión de kernel.Unique identifier generated on kernel extension startup.
trace_leveltrace_level Nivel de seguimiento de la extensión del kernel.Trace level of the kernel extension.
subsistemasubsystem Subsistema subyacente usado para la protección en tiempo real.The underlying subsystem used for real-time protection.
ipc.connectsipc.connects Número de solicitudes de conexión recibidas por la extensión del kernel.Number of connection requests received by the kernel extension.
ipc.rejectsipc.rejects Número de solicitudes de conexión rechazadas por la extensión del kernel.Number of connection requests rejected by the kernel extension.
ipc.connectedipc.connected Si hay alguna conexión activa a la extensión del kernel.Whether there is any active connection to the kernel extension.

Datos de soporte técnicoSupport data

Registros de diagnósticoDiagnostic logs

Los registros de diagnóstico solo se recopilan con el consentimiento del usuario como parte de la característica de envío de comentarios.Diagnostic logs are collected only with the consent of the user as part of the feedback submission feature. Los siguientes archivos se recopilan como parte de los registros de soporte técnico:The following files are collected as part of the support logs:

  • Todos los archivos en /var/log/microsoft/mdatpAll files under /var/log/microsoft/mdatp
  • Subconjunto de archivos en /etc/opt/microsoft/mdatp creados y usados por Defender para Endpoint en LinuxSubset of files under /etc/opt/microsoft/mdatp that are created and used by Defender for Endpoint on Linux
  • Registros de instalación y desinstalación de productos en /var/log/microsoft_mdatp_ * .logProduct installation and uninstallation logs under /var/log/microsoft_mdatp_*.log

Datos de diagnóstico opcionalesOptional diagnostic data

Los datos de diagnóstico opcionales son datos adicionales que ayudan a Microsoft a realizar mejoras en el producto y proporcionan información mejorada para ayudar a detectar, diagnosticar y solucionar problemas.Optional diagnostic data is additional data that helps Microsoft make product improvements and provides enhanced information to help detect, diagnose, and fix issues.

Si elige enviarnos sus datos de diagnóstico opcionales, también se incluyen los datos de diagnósticos requeridos.If you choose to send us optional diagnostic data, required diagnostic data is also included.

Algunos ejemplos de datos de diagnóstico opcionales incluyen datos que Microsoft recopila sobre la configuración del producto (por ejemplo, el número de exclusiones establecidas en el dispositivo) y el rendimiento del producto (medidas agregadas sobre el rendimiento de los componentes del producto).Examples of optional diagnostic data include data Microsoft collects about product configuration (for example number of exclusions set on the device) and product performance (aggregate measures about the performance of components of the product).

Eventos de datos de inventario y configuración de softwareSoftware setup and inventory data events

Configuración de Microsoft Defender para punto de conexiónMicrosoft Defender for Endpoint configuration

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
connection_retry_timeoutconnection_retry_timeout Tiempo de espera de reintento de conexión cuando se comunica con la nube.Connection retry time-out when communication with the cloud.
file_hash_cache_maximumfile_hash_cache_maximum Tamaño de la memoria caché del producto.Size of the product cache.
crash_upload_daily_limitcrash_upload_daily_limit Límite de registros de bloqueo cargados diariamente.Limit of crash logs uploaded daily.
antivirus_engine.exclusions[].is_directoryantivirus_engine.exclusions[].is_directory Si la exclusión del examen es un directorio o no.Whether the exclusion from scanning is a directory or not.
antivirus_engine.exclusions[].pathantivirus_engine.exclusions[].path Ruta de acceso que se excluyó del examen.Path that was excluded from scanning.
antivirus_engine.exclusions[].extensionantivirus_engine.exclusions[].extension Extensión excluida del examen.Extension excluded from scanning.
antivirus_engine.exclusions[].nameantivirus_engine.exclusions[].name Nombre del archivo excluido del examen.Name of the file excluded from scanning.
antivirus_engine.scan_cache_maximumantivirus_engine.scan_cache_maximum Tamaño de la memoria caché del producto.Size of the product cache.
antivirus_engine.maximum_scan_threadsantivirus_engine.maximum_scan_threads Número máximo de subprocesos usados para el examen.Maximum number of threads used for scanning.
antivirus_engine.threat_restoration_exclusion_timeantivirus_engine.threat_restoration_exclusion_time Tiempo de espera antes de que se pueda detectar de nuevo un archivo restaurado desde la cuarentena.Time out before a file restored from the quarantine can be detected again.
filesystem_scanner.full_scan_directoryfilesystem_scanner.full_scan_directory Directorio de examen completo.Full scan directory.
filesystem_scanner.quick_scan_directoriesfilesystem_scanner.quick_scan_directories Lista de directorios usados en el examen rápido.List of directories used in quick scan.
edr.latency_modeedr.latency_mode Modo de latencia usado por el componente de detección y respuesta.Latency mode used by the detection and response component.
edr.proxy_addressedr.proxy_address Dirección de proxy usada por el componente de detección y respuesta.Proxy address used by the detection and response component.

Configuración de Actualización automática de MicrosoftMicrosoft Auto-Update configuration

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
how_to_checkhow_to_check Determina cómo se comprueban las actualizaciones de productos (por ejemplo, automáticas o manuales).Determines how product updates are checked (for example automatic or manual).
channel_namechannel_name Actualizar canal asociado al dispositivo.Update channel associated with the device.
manifest_servermanifest_server Servidor usado para descargar actualizaciones.Server used for downloading updates.
update_cacheupdate_cache Ubicación de la memoria caché usada para almacenar actualizaciones.Location of the cache used to store updates.

Uso de productos y serviciosProduct and service usage

Informe de carga iniciada del registro de diagnósticoDiagnostic log upload started report

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
sha256sha256 Identificador SHA256 del registro de soporte técnico.SHA256 identifier of the support log.
sizesize Tamaño del registro de soporte técnico.Size of the support log.
original_pathoriginal_path Ruta de acceso al registro de soporte técnico (siempre en /var/opt/microsoft/mdatp/wdavdiag/).Path to the support log (always under /var/opt/microsoft/mdatp/wdavdiag/).
formatformat Formato del registro de soporte técnico.Format of the support log.

Informe completado de carga de registro de diagnósticoDiagnostic log upload completed report

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
request_idrequest_id Identificador de correlación para la solicitud de carga del registro de soporte técnico.Correlation ID for the support log upload request.
sha256sha256 Identificador SHA256 del registro de soporte técnico.SHA256 identifier of the support log.
blob_sas_uriblob_sas_uri URI usado por la aplicación para cargar el registro de soporte técnico.URI used by the application to upload the support log.

Eventos de datos de rendimiento de productos y serviciosProduct and service performance data events

Cierre inesperado de la aplicación (bloqueo)Unexpected application exit (crash)

Cierres de aplicación inesperados y el estado de la aplicación cuando esto ocurre.Unexpected application exits and the state of the application when that happens.

Estadísticas de extensión de kernelKernel extension statistics

Se recopilan los campos siguientes: The following fields are collected:

FieldField DescripciónDescription
pkt_ack_timeoutpkt_ack_timeout Las siguientes propiedades son valores numéricos agregados, que representan el recuento de eventos que se han producido desde el inicio de la extensión del kernel.The following properties are aggregated numerical values, representing count of events that happened since kernel extension startup.
pkt_ack_conn_timeoutpkt_ack_conn_timeout
ipc.ack_pktsipc.ack_pkts
ipc.nack_pktsipc.nack_pkts
ipc.send.ack_no_connipc.send.ack_no_conn
ipc.send.nack_no_connipc.send.nack_no_conn
ipc.send.ack_no_qsqipc.send.ack_no_qsq
ipc.send.nack_no_qsqipc.send.nack_no_qsq
ipc.ack.no_spaceipc.ack.no_space
ipc.ack.timeoutipc.ack.timeout
ipc.ack.ackd_fastipc.ack.ackd_fast
ipc.ack.ackdipc.ack.ackd
ipc.recv.bad_pkt_lenipc.recv.bad_pkt_len
ipc.recv.bad_reply_lenipc.recv.bad_reply_len
ipc.recv.no_waiteripc.recv.no_waiter
ipc.recv.copy_failedipc.recv.copy_failed
ipc.kauth.vnode.maskipc.kauth.vnode.mask
ipc.kauth.vnode.readipc.kauth.vnode.read
ipc.kauth.vnode.writeipc.kauth.vnode.write
ipc.kauth.vnode.execipc.kauth.vnode.exec
ipc.kauth.vnode.delipc.kauth.vnode.del
ipc.kauth.vnode.read_attripc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attripc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attripc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attripc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_secipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_secipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_ownipc.kauth.vnode.take_own
ipc.kauth.vnode.linkipc.kauth.vnode.link
ipc.kauth.vnode.createipc.kauth.vnode.create
ipc.kauth.vnode.moveipc.kauth.vnode.move
ipc.kauth.vnode.mountipc.kauth.vnode.mount
ipc.kauth.vnode.deniedipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadlineipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadlineipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maskipc.kauth.file_op.mask
ipc.kauth_file_op.openipc.kauth_file_op.open
ipc.kauth.file_op.closeipc.kauth.file_op.close
ipc.kauth.file_op.close_modifiedipc.kauth.file_op.close_modified
ipc.kauth.file_op.moveipc.kauth.file_op.move
ipc.kauth.file_op.linkipc.kauth.file_op.link
ipc.kauth.file_op.execipc.kauth.file_op.exec
ipc.kauth.file_op.removeipc.kauth.file_op.remove
ipc.kauth.file_op.unmountipc.kauth.file_op.unmount
ipc.kauth.file_op.forkipc.kauth.file_op.fork
ipc.kauth.file_op.createipc.kauth.file_op.create

RecursosResources