خصوصية Microsoft Defender لنقطة النهاية على Linux
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
تلتزم Microsoft بتزويدك بالمعلومات وعناصر التحكم التي تحتاجها لاتخاذ خيارات حول كيفية جمع بياناتك واستخدامها عند استخدام Defender لنقطة النهاية على Linux.
توضح هذه المقالة عناصر التحكم في الخصوصية المتوفرة داخل المنتج، وكيفية إدارة عناصر التحكم هذه باستخدام إعدادات النهج، والمزيد من التفاصيل حول أحداث البيانات التي يتم جمعها.
نظرة عامة على عناصر التحكم في الخصوصية في Microsoft Defender لنقطة النهاية على Linux
يصف هذا القسم عناصر التحكم في الخصوصية للأنوع المختلفة من البيانات التي يتم جمعها بواسطة Defender لنقطة النهاية على Linux.
البيانات التشخيصية
يتم استخدام البيانات التشخيصية للحفاظ على أمان Defender لنقطة النهاية وتحديثها، واكتشاف المشكلات وتشخيصها وإصلاحها، وكذلك إجراء تحسينات على المنتج.
بعض البيانات التشخيصية مطلوب، بينما البعض الآخر اختياري. نحن نمنحك القدرة على اختيار ما إذا كنت تريد إرسال البيانات التشخيصية المطلوبة أو الاختيارية لنا باستخدام عناصر التحكم في الخصوصية، مثل إعدادات النهج للمؤسسات.
هناك مستويان من البيانات التشخيصية لبرنامج عميل Defender لنقطة النهاية يمكنك الاختيار من بينهما:
- مطلوب: الحد الأدنى من البيانات اللازمة للمساعدة في الحفاظ على أمان Defender لنقطة النهاية وتحديثه وأدائه كما هو متوقع على الجهاز المثبت عليه.
- اختياري: بيانات أخرى تساعد Microsoft على إجراء تحسينات على المنتجات وتوفر معلومات محسنة للمساعدة في اكتشاف المشكلات وتشخيصها ومعالجتها.
بشكل افتراضي، يتم إرسال البيانات التشخيصية المطلوبة فقط إلى Microsoft.
بيانات الحماية المقدمة من السحابة
يتم استخدام الحماية المقدمة من السحابة لتوفير حماية متزايدة وأسرع مع الوصول إلى أحدث بيانات الحماية في السحابة.
يعد تمكين خدمة الحماية المقدمة من السحابة أمرا اختياريا، ولكن يوصى به بشدة لأنه يوفر حماية مهمة ضد البرامج الضارة على نقاط النهاية وعبر شبكتك.
عينة من البيانات
يتم استخدام بيانات العينة لتحسين قدرات الحماية للمنتج، عن طريق إرسال عينات مريبة من Microsoft حتى يمكن تحليلها. تمكين إرسال العينة التلقائي اختياري.
هناك ثلاثة مستويات للتحكم في إرسال العينة:
- لا شيء: لا يتم إرسال أي عينات مريبة إلى Microsoft.
- آمن: يتم إرسال العينات المشبوهة التي لا تحتوي على معلومات تعريف شخصية (PII) فقط تلقائيا. هذه هي القيمة الافتراضية.
- الكل: يتم إرسال جميع العينات المشبوهة إلى Microsoft.
إدارة عناصر التحكم في الخصوصية باستخدام إعدادات النهج
إذا كنت مسؤول تكنولوجيا المعلومات، فقد تحتاج إلى تكوين عناصر التحكم هذه على مستوى المؤسسة.
يتم وصف عناصر تحكم الخصوصية للأنوع المختلفة من البيانات الموضحة في القسم السابق بالتفصيل في تعيين تفضيلات Defender لنقطة النهاية على Linux.
كما هو الحال مع أي إعدادات نهج جديدة، يجب اختبارها بعناية في بيئة محدودة خاضعة للرقابة لضمان أن الإعدادات التي تقوم بتكوينها لها التأثير المطلوب قبل تنفيذ إعدادات النهج على نطاق أوسع في مؤسستك.
أحداث البيانات التشخيصية
يصف هذا القسم ما يعتبر بيانات تشخيصية مطلوبة وما يعتبر بيانات تشخيصية اختيارية، بالإضافة إلى وصف للأحداث والحقول التي يتم جمعها.
حقول البيانات الشائعة لجميع الأحداث
هناك بعض المعلومات حول الأحداث الشائعة لجميع الأحداث، بغض النظر عن الفئة أو نوع البيانات الفرعي.
تعتبر الحقول التالية شائعة لجميع الأحداث:
| ميدان | الوصف |
|---|---|
| رصيف | التصنيف الواسع للنظام الأساسي الذي يعمل عليه التطبيق. يسمح لشركة Microsoft بتحديد الأنظمة الأساسية التي قد تحدث فيها مشكلة بحيث يمكن ترتيب أولوياتها بشكل صحيح. |
| machine_guid | معرف فريد مقترن بالجهاز. يسمح ل Microsoft بتحديد ما إذا كانت المشكلات تؤثر على مجموعة محددة من التثبيتات وعدد المستخدمين المتأثرين. |
| sense_guid | معرف فريد مقترن بالجهاز. يسمح ل Microsoft بتحديد ما إذا كانت المشكلات تؤثر على مجموعة محددة من التثبيتات وعدد المستخدمين المتأثرين. |
| org_id | المعرف الفريد المقترن بالمؤسسة التي ينتمي إليها الجهاز. يسمح ل Microsoft بتحديد ما إذا كانت المشكلات تؤثر على مجموعة محددة من المؤسسات وعدد المؤسسات المتأثرة. |
| اسم المضيف | اسم الجهاز المحلي (بدون لاحقة DNS). يسمح ل Microsoft بتحديد ما إذا كانت المشكلات تؤثر على مجموعة محددة من التثبيتات وعدد المستخدمين المتأثرين. |
| product_guid | المعرف الفريد للمنتج. يسمح لشركة Microsoft بتمييز المشكلات التي تؤثر على النكهات المختلفة للمنتج. |
| app_version | إصدار Defender لنقطة النهاية على تطبيق Linux. يسمح لشركة Microsoft بتحديد إصدارات المنتج التي تعرض مشكلة بحيث يمكن ترتيب أولوياتها بشكل صحيح. |
| sig_version | إصدار قاعدة بيانات التحليل الذكي للأمان. يسمح لشركة Microsoft بتحديد إصدارات التحليل الذكي للأمان التي تعرض مشكلة بحيث يمكن إعطاء الأولوية لها بشكل صحيح. |
| supported_compressions | قائمة خوارزميات الضغط التي يدعمها التطبيق، على سبيل المثال ['gzip']. يسمح لشركة Microsoft بفهم أنواع الضغطات التي يمكن استخدامها عند اتصالها بالتطبيق. |
| release_ring | رنين يرتبط به الجهاز (على سبيل المثال Insider Fast، Insider Slow، Production). يسمح لشركة Microsoft بتحديد حلقة الإصدار التي قد تحدث مشكلة بحيث يمكن ترتيب أولوياتها بشكل صحيح. |
البيانات التشخيصية المطلوبة
البيانات التشخيصية المطلوبة هي الحد الأدنى من البيانات الضرورية للمساعدة في الحفاظ على أمان Defender لنقطة النهاية وتحديثه وتنفيذه كما هو متوقع على الجهاز المثبت عليه.
تساعد البيانات التشخيصية المطلوبة على تحديد المشاكل المتعلقة Microsoft Defender لنقطة النهاية التي قد تكون مرتبطة بتكوين جهاز أو برنامج. على سبيل المثال، يمكن أن يساعد في تحديد ما إذا كانت ميزة Defender لنقطة النهاية تتعطل بشكل متكرر على إصدار نظام تشغيل معين، أو مع الميزات المقدمة حديثا، أو عند تعطيل بعض ميزات Defender لنقطة النهاية. تساعد البيانات التشخيصية المطلوبة Microsoft على اكتشاف هذه المشكلات وتشخيصها وإصلاحها بسرعة أكبر بحيث يتم تقليل التأثير على المستخدمين أو المؤسسات.
إعداد البرامج وأحداث بيانات المخزون
Microsoft Defender لنقطة النهاية التثبيت / إلغاء التثبيت:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| correlation_id | معرف فريد مقترن بالتثبيت. |
| الإصدار | إصدار الحزمة. |
| شده | خطورة الرسالة (على سبيل المثال معلوماتية). |
| رمز | التعليمات البرمجية التي تصف العملية. |
| نص | معلومات إضافية مرتبطة بتثبيت المنتج. |
تكوين Microsoft Defender لنقطة النهاية:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| antivirus_engine.enable_real_time_protection | ما إذا كانت الحماية في الوقت الحقيقي ممكنة على الجهاز أم لا. |
| antivirus_engine.passive_mode | سواء تم تمكين الوضع السلبي على الجهاز أم لا. |
| cloud_service.enabled | ما إذا كانت الحماية المقدمة من السحابة ممكنة على الجهاز أم لا. |
| cloud_service.timeout | مهلة عندما يتصل التطبيق بسحابة Defender لنقطة النهاية. |
| cloud_service.heartbeat_interval | الفاصل الزمني بين رسائل كشف أخطاء الاتصال المتتالية المرسلة من قبل المنتج إلى السحابة. |
| cloud_service.service_uri | URI المستخدم للتواصل مع السحابة. |
| cloud_service.diagnostic_level | مستوى تشخيص الجهاز (مطلوب، اختياري). |
| cloud_service.automatic_sample_submission | نموذج تلقائي لمستوى إرسال الجهاز (بلا، آمن، الكل). |
| cloud_service.automatic_definition_update_enabled | ما إذا كان التحديث التلقائي للتعريف قيد التشغيل أم لا. |
| edr.early_preview | ما إذا كان يجب على الجهاز تشغيل ميزات المعاينة المبكرة ل EDR. |
| edr.group_id | معرف المجموعة المستخدم من قبل مكون الكشف والاستجابة. |
| edr.tags | العلامات المعرفة من قبل المستخدم. |
| ملامح. [اسم الميزة الاختيارية] | قائمة ميزات المعاينة، إلى جانب ما إذا كانت ممكنة أم لا. |
أحداث بيانات استخدام الخدمات والمنتجات
تقرير تحديث التحليل الذكي للأمان:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| from_version | إصدار التحليل الذكي للأمان الأصلي. |
| to_version | إصدار جديد من التحليل الذكي للأمان. |
| حالة | حالة التحديث تشير إلى النجاح أو الفشل. |
| using_proxy | ما إذا كان التحديث قد تم عبر وكيل. |
| خطأ | رمز الخطأ إذا فشل التحديث. |
| سبب | رسالة خطأ إذا فشل التحديث. |
أحداث بيانات أداء المنتج والخدمة للبيانات التشخيصية المطلوبة
إحصائيات ملحق Kernel:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| الإصدار | إصدار Defender لنقطة النهاية على Linux. |
| instance_id | معرف فريد تم إنشاؤه عند بدء تشغيل ملحق kernel. |
| trace_level | تتبع مستوى ملحق النواة. |
| الفرعي | النظام الفرعي الأساسي المستخدم للحماية في الوقت الحقيقي. |
| ipc.connects | عدد طلبات الاتصال التي يتلقاها ملحق النواة. |
| ipc.rejects | عدد طلبات الاتصال المرفوضة بواسطة ملحق النواة. |
| ipc.connected | ما إذا كان هناك أي اتصال نشط بملحق النواة. |
بيانات الدعم
سجلات التشخيص:
يتم جمع سجلات التشخيص فقط بموافقة المستخدم كجزء من ميزة إرسال الملاحظات. يتم تجميع الملفات التالية كجزء من سجلات الدعم:
- جميع الملفات ضمن /var/log/microsoft/mdatp
- مجموعة فرعية من الملفات ضمن /etc/opt/microsoft/mdatp التي يتم إنشاؤها واستخدامها بواسطة Defender لنقطة النهاية على Linux
- تثبيت المنتج وسجلات إلغاء التثبيت ضمن /var/log/microsoft/mdatp/*.log
البيانات التشخيصية الاختيارية
البيانات التشخيصية الاختيارية هي بيانات إضافية تساعد Microsoft على إجراء تحسينات على المنتجات وتوفر معلومات محسنة للمساعدة في اكتشاف المشكلات وتشخيصها وإصلاحها.
إذا اخترت إرسال البيانات التشخيصية الاختيارية إلينا، فسيتم أيضًا تضمين إلى البيانات التشخيصية المطلوبة.
تتضمن أمثلة البيانات التشخيصية الاختيارية البيانات التي تجمعها Microsoft حول تكوين المنتج (على سبيل المثال عدد الاستثناءات التي تم تعيينها على الجهاز) وأداء المنتج (مقاييس مجمعة حول أداء مكونات المنتج).
أحداث إعداد البرامج وبيانات المخزون للبيانات التشخيصية الاختيارية
تكوين Microsoft Defender لنقطة النهاية:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| connection_retry_timeout | مهلة إعادة محاولة الاتصال عند الاتصال بالسحابة. |
| file_hash_cache_maximum | حجم ذاكرة التخزين المؤقت للمنتج. |
| crash_upload_daily_limit | حد سجلات الأعطال التي يتم تحميلها يوميا. |
| antivirus_engine.exclusions[].is_directory | ما إذا كان الاستبعاد من الفحص دليلا أم لا. |
| antivirus_engine.exclusions[].path | المسار الذي تم استبعاده من الفحص. |
| antivirus_engine.exclusions[].extension | تم استبعاد الملحق من الفحص. |
| antivirus_engine.exclusions[].name | اسم الملف المستبعد من الفحص. |
| antivirus_engine.scan_cache_maximum | حجم ذاكرة التخزين المؤقت للمنتج. |
| antivirus_engine.maximum_scan_threads | الحد الأقصى لعدد مؤشرات الترابط المستخدمة للمسح الضوئي. |
| antivirus_engine.threat_restoration_exclusion_time | مهلة قبل أن يتم الكشف عن ملف تمت استعادته من العزل مرة أخرى. |
| antivirus_engine.threat_type_settings | تكوين كيفية معالجة أنواع التهديدات المختلفة بواسطة المنتج. |
| filesystem_scanner.full_scan_directory | دليل الفحص الكامل. |
| filesystem_scanner.quick_scan_directories | قائمة الدلائل المستخدمة في الفحص السريع. |
| edr.latency_mode | وضع زمن الانتقال المستخدم من قبل مكون الكشف والاستجابة. |
| edr.proxy_address | عنوان الوكيل المستخدم من قبل مكون الكشف والاستجابة. |
تكوين التحديث التلقائي من Microsoft:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| how_to_check | يحدد كيفية التحقق من تحديثات المنتج (على سبيل المثال تلقائي أو يدوي). |
| channel_name | تحديث القناة المقترنة بالجهاز. |
| manifest_server | الخادم المستخدم لتنزيل التحديثات. |
| update_cache | موقع ذاكرة التخزين المؤقت المستخدمة لتخزين التحديثات. |
استخدام المنتجات والخدمات
تقرير بدء تحميل سجل التشخيص
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| sha256 | معرف SHA256 لسجل الدعم. |
| حجم | حجم سجل الدعم. |
| original_path | المسار إلى سجل الدعم (دائما ضمن /var/opt/microsoft/mdatp/wdavdiag/). |
| تنسيق | تنسيق سجل الدعم. |
التقرير المكتمل لتحميل سجل التشخيص
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| request_id | معرف الارتباط لطلب تحميل سجل الدعم. |
| sha256 | معرف SHA256 لسجل الدعم. |
| blob_sas_uri | URI المستخدم من قبل التطبيق لتحميل سجل الدعم. |
أحداث بيانات أداء المنتج والخدمة لخدمة المنتج واستخدامه
إنهاء تطبيق غير متوقع (تعطل):
إنهاء التطبيق بشكل غير متوقع وحالة التطبيق عند حدوث ذلك.
إحصائيات ملحق Kernel:
يتم تجميع الحقول التالية:
| ميدان | الوصف |
|---|---|
| pkt_ack_timeout | الخصائص التالية هي قيم رقمية مجمعة، تمثل عدد الأحداث التي حدثت منذ بدء تشغيل ملحق kernel. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
الموارد
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.