Prywatność dla programu Microsoft Defender dla punktu końcowego w systemie Linux

Dotyczy:

Chcesz mieć dostęp do usługi Defender dla punktu końcowego? Zarejestruj się, aby korzystać z bezpłatnej wersji próbnej.

Firma Microsoft dokłada wszelkich starań, aby zapewnić Ci informacje i mechanizmy kontroli potrzebne do wyboru sposobu gromadzenia i używania danych podczas korzystania z programu Defender for Endpoint w systemie Linux.

W tym artykule opisano mechanizmy kontroli prywatności dostępne w ramach produktu, sposób zarządzania tymi kontrolkami za pomocą ustawień zasad i więcej szczegółowych informacji na temat zbieranych zdarzeń danych.

Omówienie kontroli prywatności w programie Microsoft Defender dla punktu końcowego w systemie Linux

W tej sekcji opisano mechanizmy kontroli prywatności dla różnych typów danych zbieranych przez program Defender for Endpoint w systemie Linux.

Dane diagnostyczne

Dane diagnostyczne są używane w celu zapewnienia, że program Defender for Endpoint jest bezpieczny i aktualny, wykrywa, diagnozuje i naprawia problemy, a także ulepsza produkty.

Niektóre dane diagnostyczne są wymagane, zaś inne dane diagnostyczne — opcjonalne. Umożliwiamy Ci wybranie, czy chcesz wysyłać nam wymagane, czy opcjonalne dane diagnostyczne za pomocą kontrolek prywatności, takich jak ustawienia zasad dla organizacji.

Istnieją dwa poziomy danych diagnostycznych dla programu Defender dla oprogramowania klienckiego punktu końcowego, które można wybrać:

  • Wymagane: Minimalne dane niezbędne, aby zapewnić, że program Defender for Endpoint jest bezpieczny, aktualny i działa zgodnie z oczekiwaniami na urządzeniu, na które jest zainstalowany.
  • Opcjonalnie: Inne dane, które ułatwiają firmie Microsoft w zakresie ulepszeń produktów i zapewniają rozszerzone informacje w celu wykrywania, diagnozowania i rozwiązywania problemów.

Domyślnie do firmy Microsoft są wysyłane tylko wymagane dane diagnostyczne.

Dane ochrony dostarczone w chmurze

Ochrona dostarczana w chmurze służy do zapewnienia zwiększonej i szybszej ochrony za pomocą dostępu do najnowszych danych ochrony w chmurze.

Włączenie usługi ochrony w chmurze jest opcjonalne, jednak jest zdecydowanie zalecane, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem na punktach końcowych i w sieci.

Dane przykładowe

Przykładowe dane są używane w celu zwiększenia możliwości ochrony produktu przez wysyłanie podejrzanych próbek od firmy Microsoft w celu ich analizy. Włączenie automatycznego przesyłania próbek jest opcjonalne.

Istnieją trzy poziomy kontroli przesłania przykładowego:

  • Brak: żadne podejrzane próbki nie są przesyłane do firmy Microsoft.
  • Sejf: automatycznie przesyłane są tylko podejrzane próbki, które nie zawierają danych umożliwiających identyfikację użytkownika. Jest to wartość domyślna.
  • Wszystko: wszystkie podejrzane próbki są przesyłane do firmy Microsoft.

Zarządzanie mechanizmami ochrony prywatności za pomocą ustawień zasad

Jeśli jesteś administratorem IT, możesz chcieć skonfigurować te kontrolki na poziomie przedsiębiorstwa.

Mechanizmy kontroli prywatności dla różnych typów danych opisane w poprzedniej sekcji opisano szczegółowo w sekcji Ustawianie preferencji dla programu Defender dla punktu końcowego w systemie Linux.

Tak jak w przypadku wszystkich nowych ustawień zasad, należy je dokładnie przetestować w ograniczonym, kontrolowanym środowisku, aby przed zaimplementowaniem ustawień zasad w organizacji zapewnić odpowiedni efekt dla skonfigurowanych ustawień.

Zdarzenia danych diagnostycznych

W tej sekcji opisano, co jest uznawane za wymagane dane diagnostyczne, a także co jest uważane za opcjonalne dane diagnostyczne, oraz opisano zdarzenia i pola, które są zbierane.

Pola danych wspólne dla wszystkich zdarzeń

Istnieje kilka informacji o wydarzeniach wspólnych dla wszystkich zdarzeń niezależnie od kategorii lub podtypu danych.

Poniższe pola są uznawane za typowe dla wszystkich zdarzeń:

Pole Opis
platforma Klasyfikacja ogólnie platformy, na której działa aplikacja. Umożliwia firmie Microsoft zidentyfikowanie platform, na których może wystąpić problem, aby można było go poprawnie określić priorytetowo.
machine_guid Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft zidentyfikowanie, czy problemy wpływają na wybór zestawu instalacji oraz na ilu użytkowników to wpływa.
sense_guid Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft zidentyfikowanie, czy problemy wpływają na wybór zestawu instalacji oraz na ilu użytkowników to wpływa.
org_id Unikatowy identyfikator skojarzony z przedsiębiorstwem, do którego należy urządzenie. Umożliwia firmie Microsoft zidentyfikowanie, czy problemy wpływają na wybór zestawu przedsiębiorstw i na ile przedsiębiorstw ma to wpływ.
nazwa hosta Nazwa urządzenia lokalnego (bez sufiksu DNS). Umożliwia firmie Microsoft zidentyfikowanie, czy problemy wpływają na wybór zestawu instalacji oraz na ilu użytkowników to wpływa.
product_guid Unikatowy identyfikator produktu. Umożliwia firmie Microsoft odróżnienie problemów w różnych odmianach produktu.
app_version Wersja aplikacji Defender for Endpoint w systemie Linux. Umożliwia firmie Microsoft zidentyfikowanie wersji produktu, w których występuje problem, aby można było go poprawnie określić priorytetowo.
sig_version Wersja bazy danych analizy zabezpieczeń. Umożliwia firmie Microsoft określenie, które wersje analizy zabezpieczeń pokazują problem, dzięki czemu można je poprawnie określić priorytetowo.
supported_compressions Lista algorytmów kompresji obsługiwanych przez aplikację, na przykład ['gzip']. Umożliwia firmie Microsoft zrozumienie, jakiego typu kompresji można używać podczas komunikowania się z aplikacją.
release_ring Pierścień, z który jest skojarzone urządzenie (na przykład Niejawny program testów szybkich, Niejawny program testów wolnych, Wersja produkcyjna). Umożliwia firmie Microsoft zidentyfikowanie, w którym pierścieniu wydania może wystąpić problem, dzięki czemu można go poprawnie określić priorytet.

Wymagane dane diagnostyczne

Wymagane dane diagnostyczne to minimalne dane potrzebne, aby zapewnić, że program Defender for Endpoint jest bezpieczny, aktualny i działa zgodnie z oczekiwaniami na urządzeniu, na nim jest zainstalowany.

Wymagane dane diagnostyczne pomagają w identyfikowaniu problemów z usługą Microsoft Defender dla punktu końcowego, które mogą być związane z konfiguracją urządzenia lub oprogramowania. Może na przykład pomóc w ustaleniu, czy funkcja programu Defender dla punktu końcowego najczęściej ulega awarii w konkretnej wersji systemu operacyjnego, z nowo wprowadzonymi funkcjami lub gdy pewne funkcje usługi Defender for Endpoint są wyłączone. Wymagane dane diagnostyczne pomagają firmie Microsoft szybciej wykrywać, diagnozować i naprawiać te problemy w celu zmniejszenia wpływu na użytkowników lub organizacje.

Konfiguracja oprogramowania i zdarzenia danych zapasów

Instalacja/odinstalowywanie programu Microsoft Defender for Endpoint:

Zbierane są dane z następujących pól:

Pole Opis
correlation_id Unikatowy identyfikator skojarzony z instalacją.
Wersja Wersja pakietu.
ważność Ważność wiadomości (na przykład Informacje).
kod Kod opisujący operację.
tekst Dodatkowe informacje skojarzone z instalacją produktu.

Konfiguracja programu Microsoft Defender dla punktu końcowego:

Zbierane są dane z następujących pól:

Pole Opis
antivirus_engine.enable_real_time_protection Czy ochrona w czasie rzeczywistym jest włączona na urządzeniu, czy nie.
antivirus_engine.strona_pasywna Czy na urządzeniu włączono tryb pasywny, czy nie.
cloud_service.enabled Czy ochrona w chmurze jest włączona na urządzeniu.
cloud_service.limit czasu Przekieruj czas, w którym aplikacja komunikuje się z chmurą programu Defender for Endpoint.
cloud_service.heartbeat_interval Interwał między kolejnymi pulsami wysyłanymi przez produkt do chmury.
cloud_service.service_uri URI używany do komunikowania się z chmurą.
cloud_service.diagnostic_level Poziom diagnostyczny urządzenia (wymagany, opcjonalny).
cloud_service.automatic_sample_submission Automatyczny przykładowy poziom przesyłania urządzenia (brak, bezpieczne, wszystkie).
cloud_service.automatic_definition_update_enabled Czy automatyczne aktualizowanie definicji jest włączone, czy nie.
edr.early_preview Czy urządzenie ma być uruchamiane w EDR wersji Preview.
edr.group_id Identyfikator grupy używany przez składnik wykrywania i odpowiedzi.
edr.tags Tagi zdefiniowane przez użytkownika.
funkcje.[ opcjonalna nazwa funkcji] Lista funkcji wersji Preview wraz z tym, czy są włączone, czy nie.

Zdarzenia danych dotyczące użycia produktów i usług

Raport aktualizacji analizy zabezpieczeń:

Zbierane są dane z następujących pól:

Pole Opis
from_version Oryginalna wersja analizy zabezpieczeń.
to_version Nowa wersja analizy zabezpieczeń.
stan Stan aktualizacji oznaczający sukces lub niepowodzenie.
using_proxy Czy aktualizacja została wykonana przez serwer proxy.
błąd Kod błędu, jeśli aktualizacja nie powiodła się.
Przyczyna Komunikat o błędzie, jeśli aktualizacja nie powiodła się.

Zdarzenia danych o wydajności produktów i usług dla wymaganych danych diagnostycznych

Statystyka rozszerzenia kernelu:

Zbierane są dane z następujących pól:

Pole Opis
Wersja Wersja programu Defender dla punktu końcowego w systemie Linux.
instance_id Unikatowy identyfikator wygenerowany podczas uruchamiania rozszerzenia kernelu.
trace_level Śledzenie poziomu rozszerzenia kernelu.
podsystem Podsystem używany do ochrony w czasie rzeczywistym.
ipc.connects Liczba żądań połączeń otrzymywanych przez rozszerzenie kernel.
ipc.rejects Liczba żądań połączeń odrzuconych przez rozszerzenie kernel.
ipc.connected Czy istnieje aktywne połączenie z rozszerzeniem kernel.

Dane pomocy technicznej

Dzienniki diagnostyczne:

Dzienniki diagnostyczne są zbierane tylko za zgodą użytkownika w ramach funkcji przesyłania opinii. W dziennikach pomocy technicznej są zbierane następujące pliki:

  • Wszystkie pliki w folderze /var/log/microsoft/mdatp
  • Podzbiór plików w obszarze /etc/opt/microsoft/mdatp , które są tworzone i używane przez program Defender for Endpoint w systemie Linux
  • Dzienniki instalacji i deinstalacji produktu w pliku /var/log/microsoft_mdatp_*.log

Opcjonalne dane diagnostyczne

Opcjonalne dane diagnostyczne to dodatkowe dane, które pomagają firmie Microsoft ulepszać produkty i dostarczać rozszerzone informacje w celu wykrywania, diagnozowania i rozwiązywania problemów.

Jeśli zdecydujesz się wysłać nam opcjonalne dane diagnostyczne, wymagane dane diagnostyczne również zostaną dołączone.

Przykładami opcjonalnych danych diagnostycznych są dane zbierane przez firmę Microsoft dotyczące konfiguracji produktu (na przykład liczba wykluczeń określonych na urządzeniu) i wydajność produktu (zagregowane miary dotyczące wydajności składników produktu).

Konfigurowanie oprogramowania i zdarzenia danych dotyczących zapasów dla opcjonalnych danych diagnostycznych

Konfiguracja programu Microsoft Defender dla punktu końcowego:

Zbierane są dane z następujących pól:

Pole Opis
connection_retry_timeout Po ponowieniem próby czasu połączenia w przypadku komunikacji z chmurą.
file_hash_cache_maximum Rozmiar pamięci podręcznej produktu.
crash_upload_daily_limit Limit dziennych dzienników awarii.
antivirus_engine.exclusions[].is_directory Czy wyłączenie skanowania jest katalogiem, czy nie.
antivirus_engine.exclusions[].path Ścieżka wykluczona z skanowania.
antivirus_engine.exclusions[].extension Rozszerzenie wykluczone z skanowania.
antivirus_engine.exclusions[].name Nazwa pliku wykluczonego z skanowania.
antivirus_engine.scan_cache_maximum Rozmiar pamięci podręcznej produktu.
antivirus_engine.maximum_scan_threads Maksymalna liczba wątków używanych do skanowania.
antivirus_engine.threat_restoration_time Przekierowywają czas, zanim plik przywrócony z kwarantanny będzie ponownie wykrywany.
antivirus_engine.threat_type_settings Konfiguracja obsługi różnych typów zagrożeń przez produkt.
filesystem_scanner.full_scan_directory Pełny katalog skanowania.
filesystem_scanner.quick_scan_directories Lista katalogów używanych podczas szybkiego skanowania.
edr.latency_mode Tryb opóźnienia używany przez składnik wykrywania i odpowiedzi.
edr.proxy_address Adres serwera proxy używany przez składnik wykrywania i odpowiedzi.

Konfiguracja usługi Microsoft Auto-Update:

Zbierane są dane z następujących pól:

Pole Opis
how_to_check Określa sposób sprawdzenia aktualizacji produktu (na przykład automatyczny lub ręczny).
channel_name Zaktualizuj kanał skojarzony z urządzeniem.
manifest_server Serwer używany do pobierania aktualizacji.
update_cache Lokalizacja pamięci podręcznej używanej do przechowywania aktualizacji.

Użycie produktów i usług

Raport rozpoczętego przekazywania dziennika diagnostycznego

Zbierane są dane z następujących pól:

Pole Opis
sha256 Identyfikator SHA256 dziennika pomocy technicznej.
rozmiar Rozmiar dziennika pomocy technicznej.
original_path Ścieżka do dziennika pomocy technicznej (zawsze w obszarze /var/opt/microsoft/mdatp/wdavdiag/).
format Format dziennika pomocy technicznej.

Ukończony raport przekazywania dziennika diagnostycznego

Zbierane są dane z następujących pól:

Pole Opis
request_id Identyfikator korelacji wniosku o przekazanie dziennika pomocy technicznej.
sha256 Identyfikator SHA256 dziennika pomocy technicznej.
blob_sas_uri URI używany przez aplikację do przekazywania dziennika pomocy technicznej.

Zdarzenia danych dotyczących wydajności produktów i usług dla usługi i użycia produktu

Nieoczekiwane zamknięcie aplikacji (awaria):

Niespodziewane zakończenie działania aplikacji oraz stan aplikacji w momencie takiego zdarzenia.

Statystyka rozszerzenia kernelu:

Zbierane są dane z następujących pól:

Pole Opis
pkt_ack_timeout Poniższe właściwości to zagregowane wartości liczbowe reprezentujące liczbę zdarzeń, które miały miejsce od momentu uruchomienia rozszerzenia kernela.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Zasoby