Sekretess för Microsoft Defender för Endpoint i LinuxPrivacy for Microsoft Defender for Endpoint on Linux

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Microsoft strävar efter att tillhandahålla den information och de kontroller som du behöver för att göra val kring hur dina data samlas in och används när du använder Defender för slutpunkt på Linux.Microsoft is committed to providing you with the information and controls you need to make choices about how your data is collected and used when you’re using Defender for Endpoint on Linux.

I det här avsnittet beskrivs vilka sekretesskontroller som är tillgängliga i produkten, hur du hanterar kontrollerna med principinställningar och mer information om datahändelser som samlas in.This topic describes the privacy controls available within the product, how to manage these controls with policy settings and more details on the data events that are collected.

Översikt över sekretesskontroller i Microsoft Defender för Endpoint i LinuxOverview of privacy controls in Microsoft Defender for Endpoint on Linux

I det här avsnittet beskrivs sekretesskontroller för olika typer av data som samlas in av Defender för Endpoint på Linux.This section describes the privacy controls for the different types of data collected by Defender for Endpoint on Linux.

DiagnostikdataDiagnostic data

Diagnostikdata används för att hålla Defender för Slutpunkt säker och uppdaterad, identifiera, diagnostisera och åtgärda problem samt göra produktförbättringar.Diagnostic data is used to keep Defender for Endpoint secure and up-to-date, detect, diagnose and fix problems, and also make product improvements.

Vissa diagnostiska data är obligatoriska, medan andra diagnostiska data är valfria.Some diagnostic data is required, while some diagnostic data is optional. Du kan välja om du vill skicka obligatoriska eller valfria diagnostikdata genom att använda sekretesskontroller, till exempel principinställningar för organisationer.We give you the ability to choose whether to send us required or optional diagnostic data through the use of privacy controls, such as policy settings for organizations.

Det finns två nivåer av diagnostikdata för Defender för endpoint-klientprogramvara som du kan välja bland:There are two levels of diagnostic data for Defender for Endpoint client software that you can choose from:

  • Obligatoriskt: De data som krävs för att hålla Defender för Slutpunkt säker, uppdaterad och fungerar som förväntat på den enhet som den är installerad på.Required: The minimum data necessary to help keep Defender for Endpoint secure, up-to-date, and performing as expected on the device it’s installed on.

  • Valfritt: Ytterligare data som hjälper Microsoft göra produktförbättringar och ger förbättrad information som hjälper till att identifiera, diagnostisera och åtgärda problem.Optional: Additional data that helps Microsoft make product improvements and provides enhanced information to help detect, diagnose, and remediate issues.

Som standard skickas endast obligatoriska diagnostikdata till Microsoft.By default, only required diagnostic data is sent to Microsoft.

Data för moln levererat skyddCloud delivered protection data

Moln levererat skydd används för att ge ett bättre och snabbare skydd med tillgång till de senaste skyddsdata i molnet.Cloud delivered protection is used to provide increased and faster protection with access to the latest protection data in the cloud.

Aktivering av den molnbaserade skyddstjänsten är valfri, men vi rekommenderar starkt att den skyddar mot skadlig programvara på slutpunkter och i nätverket.Enabling the cloud-delivered protection service is optional, however it is highly recommended because it provides important protection against malware on your endpoints and across your network.

ExempeldataSample data

Exempeldata används för att förbättra skyddsfunktioner i produkten genom att skicka misstänkta exempel till Microsoft så att de kan analyseras.Sample data is used to improve the protection capabilities of the product, by sending Microsoft suspicious samples so they can be analyzed. Det är valfritt att aktivera automatisk exempelinskickning.Enabling automatic sample submission is optional.

Det finns tre nivåer för kontroll av exempelinskick:There are three levels for controlling sample submission:

  • Ingen: inga misstänkta exempel skickas till Microsoft.None: no suspicious samples are submitted to Microsoft.
  • Kassaskåp: endast misstänkta exempel som inte innehåller personligt identifierbar information skickas automatiskt.Safe: only suspicious samples that do not contain personally identifiable information (PII) are submitted automatically. Det här är standardvärdet för den här inställningen.This is the default value for this setting.
  • Alla: alla misstänkta exempel skickas till Microsoft.All: all suspicious samples are submitted to Microsoft.

Hantera sekretesskontroller med principinställningarManage privacy controls with policy settings

Om du är IT-administratör kanske du vill konfigurera kontrollerna på företagsnivå.If you're an IT administrator, you might want to configure these controls at the enterprise level.

Sekretesskontrollerna för de olika typerna av data som beskrivs i föregående avsnitt beskrivs i detalj i Ange inställningar för Defender för Slutpunkt i Linux.The privacy controls for the various types of data described in the preceding section are described in detail in Set preferences for Defender for Endpoint on Linux.

Precis som med alla nya principinställningar bör du noggrant testa dem i en begränsad, kontrollerad miljö för att säkerställa att de inställningar som du konfigurerar har önskad effekt innan du implementerar principinställningarna i en större utsträckning i organisationen.As with any new policy settings, you should carefully test them out in a limited, controlled environment to ensure the settings that you configure have the desired effect before you implement the policy settings more widely in your organization.

DiagnostikdatahändelserDiagnostic data events

I det här avsnittet beskrivs vad som krävs för diagnostikdata och vad som betraktas som valfria diagnostikdata, tillsammans med en beskrivning av händelser och fält som samlas in.This section describes what is considered required diagnostic data and what is considered optional diagnostic data, along with a description of the events and fields that are collected.

Datafält som är gemensamma för alla händelserData fields that are common for all events

Det finns viss information om händelser som är gemensamma för alla aktiviteter, oavsett kategori eller dataundertyp.There is some information about events that is common to all events, regardless of category or data subtype.

Följande fält är gemensamma för alla händelser:The following fields are considered common for all events:

FältField BeskrivningDescription
plattformplatform Den breda klassificeringen för den plattform där appen körs.The broad classification of the platform on which the app is running. Gör att Microsoft kan identifiera på vilka plattformar ett problem kan uppstå så att det kan prioriteras korrekt.Allows Microsoft to identify on which platforms an issue may be occurring so that it can correctly be prioritized.
machine_guidmachine_guid Unikt ID associerat med enheten.Unique identifier associated with the device. Gör att Microsoft kan identifiera huruvida problem påverkar en uppsättning utvalda installationer och hur många användare som påverkas.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
sense_guidsense_guid Unikt ID associerat med enheten.Unique identifier associated with the device. Gör att Microsoft kan identifiera huruvida problem påverkar en uppsättning utvalda installationer och hur många användare som påverkas.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
org_idorg_id Unikt ID associerat med företaget som enheten tillhör.Unique identifier associated with the enterprise that the device belongs to. Microsoft kan identifiera om problem påverkar en uppsättning utvalda företag och hur många företag som påverkas.Allows Microsoft to identify whether issues are impacting a select set of enterprises and how many enterprises are impacted.
hostnamehostname Namn på lokal enhet (utan DNS-suffix).Local device name (without DNS suffix). Gör att Microsoft kan identifiera huruvida problem påverkar en uppsättning utvalda installationer och hur många användare som påverkas.Allows Microsoft to identify whether issues are impacting a select set of installs and how many users are impacted.
product_guidproduct_guid Unikt ID för produkten.Unique identifier of the product. Gör att Microsoft kan särskilja problem som påverkar olika typer av produkten.Allows Microsoft to differentiate issues impacting different flavors of the product.
app_versionapp_version Version av Defender för Slutpunkt i Linux.Version of the Defender for Endpoint on Linux application. Gör att Microsoft kan identifiera vilka versioner av produkten som visar ett problem så att det kan prioriteras korrekt.Allows Microsoft to identify which versions of the product are showing an issue so that it can correctly be prioritized.
sig_versionsig_version Version av databasen för säkerhetsintelligens.Version of security intelligence database. Gör att Microsoft kan identifiera vilka versioner av säkerhetsinformation som visar ett problem så att det kan prioriteras korrekt.Allows Microsoft to identify which versions of the security intelligence are showing an issue so that it can correctly be prioritized.
supported_compressionssupported_compressions Lista över komprimeringsalgoritmer som stöds av programmet, till exempel ['gzip'] .List of compression algorithms supported by the application, for example ['gzip']. Gör att Microsoft förstår vilka typer av komprimering som kan användas när de kommunicerar med programmet.Allows Microsoft to understand what types of compressions can be used when it communicates with the application.
release_ringrelease_ring Ring som enheten är kopplad till (till exempel Insider – snabbt, Insider – långsamt, Produktion).Ring that the device is associated with (for example Insider Fast, Insider Slow, Production). Gör att Microsoft kan identifiera vilken version som ett problem kan inträffa så att det kan prioriteras korrekt.Allows Microsoft to identify on which release ring an issue may be occurring so that it can correctly be prioritized.

Obligatoriska diagnostikdataRequired diagnostic data

Obligatoriska diagnostikdata är de lägsta data som krävs för att hålla Defender för Slutpunkt säker, uppdaterad och utför den som förväntat på den enhet som den är installerad på.Required diagnostic data is the minimum data necessary to help keep Defender for Endpoint secure, up-to-date, and perform as expected on the device it’s installed on.

Obligatoriska diagnostikdata hjälper till att identifiera problem med Microsoft Defender för Endpoint som kan vara relaterade till en enhet eller programvarukonfiguration.Required diagnostic data helps to identify problems with Microsoft Defender for Endpoint that may be related to a device or software configuration. Den kan till exempel hjälpa till att avgöra om en Defender för Slutpunkt-funktion kraschar oftare på en viss version av operativsystemet, med nyligen använda funktioner eller när vissa Defender för Slutpunkt-funktioner är inaktiverade.For example, it can help determine if a Defender for Endpoint feature crashes more frequently on a particular operating system version, with newly introduced features, or when certain Defender for Endpoint features are disabled. Obligatoriska diagnostikdata hjälper Microsoft identifiera, diagnostisera och åtgärda dessa problem snabbare så att påverkan på användare eller organisationer minskas.Required diagnostic data helps Microsoft detect, diagnose, and fix these problems more quickly so the impact to users or organizations is reduced.

Programvaruinstallation och lagringshändelserSoftware setup and inventory data events

Installation/avinstallation av Microsoft Defender för slutpunktMicrosoft Defender for Endpoint installation / uninstallation

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
correlation_idcorrelation_id Unikt ID associerat med installationen.Unique identifier associated with the installation.
versionversion Version av paketet.Version of the package.
allvarlighetsgradseverity Meddelandets allvarlighetsgrad (till exempel information).Severity of the message (for example Informational).
kodcode Kod som beskriver åtgärden.Code that describes the operation.
texttext Ytterligare information associerad med produktinstallationen.Additional information associated with the product installation.

Microsoft Defender för slutpunktskonfigurationMicrosoft Defender for Endpoint configuration

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
antivirus_engine.enable_real_time_protectionantivirus_engine.enable_real_time_protection Om realtidsskydd är aktiverat på enheten eller inte.Whether real-time protection is enabled on the device or not.
antivirus_engine.passivt_lägeantivirus_engine.passive_mode Oavsett om passivt läge är aktiverat på enheten eller inte.Whether passive mode is enabled on the device or not.
cloud_service.enabledcloud_service.enabled Om moln levererat skydd är aktiverat på enheten eller inte.Whether cloud delivered protection is enabled on the device or not.
cloud_service.timeoutcloud_service.timeout Time out when the application communicates with the Defender for Endpoint cloud.Time out when the application communicates with the Defender for Endpoint cloud.
cloud_service.heartbeat_intervalcloud_service.heartbeat_interval Intervall mellan flera hjärtslag som skickas av produkten till molnet.Interval between consecutive heartbeats sent by the product to the cloud.
cloud_service.service_uricloud_service.service_uri URI som används för att kommunicera med molnet.URI used to communicate with the cloud.
cloud_service.diagnostic_levelcloud_service.diagnostic_level Diagnostiknivå för enheten (obligatoriskt, valfritt).Diagnostic level of the device (required, optional).
cloud_service.automatic_sample_submissioncloud_service.automatic_sample_submission Automatisk exempelinskickningsnivå för enheten (ingen, säker, alla).Automatic sample submission level of the device (none, safe, all).
edr.early_previewedr.early_preview Om enheten ska köra EDR-funktioner för tidig förhandsgranskning.Whether the device should run EDR early preview features.
edr.group_idedr.group_id Gruppidentifierare som används av identifierings- och svarskomponenten.Group identifier used by the detection and response component.
edr.tagsedr.tags Användardefinierade taggar.User-defined tags.
funktioner. [ valfritt funktionsnamn]features.[optional feature name] Lista över förhandsgranskningsfunktioner, tillsammans med huruvida de är aktiverade eller inte.List of preview features, along with whether they are enabled or not.

Produkt- och tjänstanvändningshändelserProduct and service usage data events

SäkerhetsintelligensuppdateringsrapportSecurity intelligence update report

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
from_versionfrom_version Ursprunglig säkerhetsintelligensversion.Original security intelligence version.
to_versionto_version Ny säkerhetsintelligensversion.New security intelligence version.
statusstatus Status för uppdateringen som anger framgång eller fel.Status of the update indicating success or failure.
using_proxyusing_proxy Om uppdateringen gjordes via en proxyserver.Whether the update was done over a proxy.
felerror Felkod om uppdateringen misslyckades.Error code if the update failed.
orsakreason Felmeddelande om uppdateringen misslyckades.Error message if the update failed.

Datahändelser för produkt- och tjänstprestandaProduct and service performance data events

Statistik över Kernel-tilläggKernel extension statistics

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
versionversion Version av Defender för Slutpunkt på Linux.Version of Defender for Endpoint on Linux.
instance_idinstance_id Unikt ID som genererades vid start av kernel-tillägg.Unique identifier generated on kernel extension startup.
trace_leveltrace_level Spårningsnivån för kernel-tillägget.Trace level of the kernel extension.
undersystemsubsystem Det underliggande undersystemet som används för realtidsskydd.The underlying subsystem used for real-time protection.
ipc.connectsipc.connects Antal anslutningsförfrågningar som mottagits av kernel-tilläggen.Number of connection requests received by the kernel extension.
ipc.rejectsipc.rejects Antal anslutningsbegäranden som avvisats av kernel-tillägget.Number of connection requests rejected by the kernel extension.
ipc.connectedipc.connected Om det finns någon aktiv anslutning till kernel-tilläggen.Whether there is any active connection to the kernel extension.

SupportdataSupport data

DiagnostikloggarDiagnostic logs

Diagnostikloggar samlas bara in med användarens medgivande som en del av funktionen för feedbackinskick.Diagnostic logs are collected only with the consent of the user as part of the feedback submission feature. Följande filer samlas in som en del av supportloggarna:The following files are collected as part of the support logs:

  • Alla filer under /var/log/microsoft/mdatpAll files under /var/log/microsoft/mdatp
  • Delmängd filer under /etc/opt/microsoft/mdatp som skapas och används av Defender för Slutpunkt i LinuxSubset of files under /etc/opt/microsoft/mdatp that are created and used by Defender for Endpoint on Linux
  • Produktinstallations- och avinstallationsloggar under /var/log/microsoft_mdatp_ * .logProduct installation and uninstallation logs under /var/log/microsoft_mdatp_*.log

Valfria diagnostikdataOptional diagnostic data

Valfria diagnostikdata är ytterligare data som hjälper Microsoft göra produktförbättringar och ger förbättrad information som hjälper till att identifiera, diagnostisera och åtgärda problem.Optional diagnostic data is additional data that helps Microsoft make product improvements and provides enhanced information to help detect, diagnose, and fix issues.

Om du väljer att skicka valfria diagnostikdata omfattas även obligatoriska diagnostikdata.If you choose to send us optional diagnostic data, required diagnostic data is also included.

Exempel på valfria diagnostikdata är data som Microsoft samlar in om produktkonfiguration (till exempel antal undantag som angetts på enheten) och produktprestanda (mängdåtgärder om prestanda för komponenter i produkten).Examples of optional diagnostic data include data Microsoft collects about product configuration (for example number of exclusions set on the device) and product performance (aggregate measures about the performance of components of the product).

Programvaruinstallation och lagringshändelserSoftware setup and inventory data events

Microsoft Defender för slutpunktskonfigurationMicrosoft Defender for Endpoint configuration

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
connection_retry_timeoutconnection_retry_timeout Anslutningen försöker time out igen när anslutningen kommunicerar med molnet.Connection retry time-out when communication with the cloud.
file_hash_cache_maximumfile_hash_cache_maximum Storleken på produktcachen.Size of the product cache.
crash_upload_daily_limitcrash_upload_daily_limit Begränsningen för kraschloggar som laddas upp dagligen.Limit of crash logs uploaded daily.
antivirus_engine.exclusions[].is_directoryantivirus_engine.exclusions[].is_directory Om undantaget från genomsökning är en katalog eller inte.Whether the exclusion from scanning is a directory or not.
antivirus_engine.exclusions[].pathantivirus_engine.exclusions[].path Sökväg som uteslöts från genomsökning.Path that was excluded from scanning.
antivirus_engine.exclusions[].extensionantivirus_engine.exclusions[].extension Tillägget är inte till förskanning.Extension excluded from scanning.
antivirus_engine.exclusions[].nameantivirus_engine.exclusions[].name Namnet på filen som undantas från genomsökning.Name of the file excluded from scanning.
antivirus_engine.scan_cache_maximumantivirus_engine.scan_cache_maximum Storleken på produktcachen.Size of the product cache.
antivirus_engine.maximum_scan_threadsantivirus_engine.maximum_scan_threads Maximalt antal trådar som används för genomsökning.Maximum number of threads used for scanning.
antivirus_engine.threat_restoration_exclusion_timeantivirus_engine.threat_restoration_exclusion_time Time out before a file restored from the quarantine can beected again.Time out before a file restored from the quarantine can be detected again.
filesystem_scanner.full_scan_directoryfilesystem_scanner.full_scan_directory Fullständig genomsökningskatalog.Full scan directory.
filesystem_scanner.quick_scan_directoriesfilesystem_scanner.quick_scan_directories Lista med kataloger som används i snabbsökning.List of directories used in quick scan.
edr.latency_modeedr.latency_mode Svarstidsläge som används av identifierings- och svarskomponenten.Latency mode used by the detection and response component.
edr.proxy_addressedr.proxy_address Proxyadress som används av identifierings- och svarskomponenten.Proxy address used by the detection and response component.

Konfiguration av Microsoft Auto-UpdateMicrosoft Auto-Update configuration

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
how_to_checkhow_to_check Avgör hur produktuppdateringar kontrolleras (till exempel automatiskt eller manuellt).Determines how product updates are checked (for example automatic or manual).
channel_namechannel_name Uppdatera kanal som är kopplad till enheten.Update channel associated with the device.
manifest_servermanifest_server Den server som används för att ladda ned uppdateringar.Server used for downloading updates.
update_cacheupdate_cache Platsen för cachen som används för att lagra uppdateringar.Location of the cache used to store updates.

Produkt- och tjänstanvändningProduct and service usage

Rapporten Startad diagnostiklogguppladdningDiagnostic log upload started report

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
sha256sha256 SHA256-identifierare för supportloggen.SHA256 identifier of the support log.
storleksize Storlek på supportloggen.Size of the support log.
original_pathoriginal_path Sökväg till supportloggen (alltid under /var/opt/microsoft/mdatp/wdavdiag/).Path to the support log (always under /var/opt/microsoft/mdatp/wdavdiag/).
formatformat Format för supportloggen.Format of the support log.

Rapport om slutförd diagnostiklogguppladdningDiagnostic log upload completed report

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
request_idrequest_id Korrelations-ID för begäran om uppladdning av supportlogg.Correlation ID for the support log upload request.
sha256sha256 SHA256-identifierare för supportloggen.SHA256 identifier of the support log.
blob_sas_uriblob_sas_uri URI som används av programmet för att ladda upp supportloggen.URI used by the application to upload the support log.

Datahändelser för produkt- och tjänstprestandaProduct and service performance data events

Oväntat programavslut (kraschar)Unexpected application exit (crash)

Oväntat programavslut (krasch) och tillståndet för programmet när det händer.Unexpected application exits and the state of the application when that happens.

Statistik över Kernel-tilläggKernel extension statistics

Följande fält samlas in:The following fields are collected:

FältField BeskrivningDescription
pkt_ack_timeoutpkt_ack_timeout Följande egenskaper är aggregerade numeriska värden som representerar antalet händelser som inträffat sedan kernel-tilläggen startades.The following properties are aggregated numerical values, representing count of events that happened since kernel extension startup.
pkt_ack_conn_timeoutpkt_ack_conn_timeout
ipc.ack_pktsipc.ack_pkts
ipc.nack_pktsipc.nack_pkts
ipc.send.ack_no_connipc.send.ack_no_conn
ipc.send.nack_no_connipc.send.nack_no_conn
ipc.send.ack_no_qsqipc.send.ack_no_qsq
ipc.send.nack_no_qsqipc.send.nack_no_qsq
ipc.ack.no_spaceipc.ack.no_space
ipc.ack.timeoutipc.ack.timeout
ipc.ack.ackd_fastipc.ack.ackd_fast
ipc.ack.ackdipc.ack.ackd
ipc.recv.bad_pkt_lenipc.recv.bad_pkt_len
ipc.recv.bad_reply_lenipc.recv.bad_reply_len
ipc.recv.no_waiteripc.recv.no_waiter
ipc.recv.copy_failedipc.recv.copy_failed
ipc.thth.vnode.maskipc.kauth.vnode.mask
ipc.thth.vnode.readipc.kauth.vnode.read
ipc.thth.vnode.writeipc.kauth.vnode.write
ipc.kauth.vnode.execipc.kauth.vnode.exec
ipc.thth.vnode.delipc.kauth.vnode.del
ipc.kauth.vnode.read_attripc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attripc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attripc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attripc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_secipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_secipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_ownipc.kauth.vnode.take_own
ipc.kauth.vnode.linkipc.kauth.vnode.link
ipc.thth.vnode.createipc.kauth.vnode.create
ipc.thth.vnode.moveipc.kauth.vnode.move
ipc.thth.vnode.mountipc.kauth.vnode.mount
ipc.thth.vnode.deniedipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadlineipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadlineipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maskipc.kauth.file_op.mask
ipc.kauth_file_op.openipc.kauth_file_op.open
ipc.kauth.file_op.closeipc.kauth.file_op.close
ipc.kauth.file_op.close_modifiedipc.kauth.file_op.close_modified
ipc.kauth.file_op.moveipc.kauth.file_op.move
ipc.kauth.file_op.linkipc.kauth.file_op.link
ipc.kauth.file_op.execipc.kauth.file_op.exec
ipc.kauth.file_op.removeipc.kauth.file_op.remove
ipc.kauth.file_op.unmountipc.kauth.file_op.unmount
ipc.kauth.file_op.forkipc.kauth.file_op.fork
ipc.kauth.file_op.createipc.kauth.file_op.create

ResurserResources