Sdílet prostřednictvím


Ochrana osobních údajů pro Microsoft Defender for Endpoint v Linuxu

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Společnost Microsoft se zavazuje poskytovat vám informace a ovládací prvky, které potřebujete k rozhodování o tom, jak se budou vaše data shromažďovat a používat, když používáte Defender for Endpoint v Linuxu.

Tento článek popisuje ovládací prvky ochrany osobních údajů dostupné v rámci produktu, způsob správy těchto ovládacích prvků pomocí nastavení zásad a další podrobnosti o shromažďovaných událostech dat.

Přehled ovládacích prvků ochrany osobních údajů v Microsoft Defender for Endpoint v Linuxu

Tato část popisuje ovládací prvky ochrany osobních údajů pro různé typy dat, které defender for Endpoint v Linuxu shromažďuje.

Diagnostická data

Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů.

Některá diagnostická data jsou povinná, jiná nepovinná. Pomocí řízení ochrany osobních údajů, jako jsou nastavení zásad pro organizace, vám dáváme možnost zvolit, jestli nám chcete posílat povinná nebo volitelná diagnostická data.

Existují dvě úrovně diagnostických dat pro klientský software Defender for Endpoint, ze které si můžete vybrat:

  • Povinné: Minimální data potřebná k tomu, aby defender for Endpoint byl zabezpečený, aktuální a fungoval podle očekávání na zařízení, na které je nainstalovaný.
  • Volitelné: Další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.

Ve výchozím nastavení se microsoftu odesílají jenom povinná diagnostická data.

Data ochrany před cloudem

Cloudová ochrana se používá k zajištění vyšší a rychlejší ochrany s přístupem k nejnovějším datům ochrany v cloudu.

Povolení cloudové služby ochrany je volitelné, ale důrazně to doporučujeme, protože poskytuje důležitou ochranu před malwarem na koncových bodech a v síti.

Ukázková data

Ukázková data slouží ke zlepšení možností ochrany produktu tím, že microsoftu odesílá podezřelé vzorky, aby je bylo možné analyzovat. Povolení automatického odesílání vzorků je volitelné.

Existují tři úrovně řízení odesílání vzorků:

  • Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
  • Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Tato hodnota je výchozí.
  • Vše: Microsoftu se odesílají všechny podezřelé vzorky.

Správa prvků ochrany osobních údajů pomocí nastavení zásad

Pokud jste správce IT, možná budete chtít nakonfigurovat tyto ovládací prvky na podnikové úrovni.

Ovládací prvky ochrany osobních údajů pro různé typy dat popsané v předchozí části jsou podrobně popsané v tématu Nastavení předvoleb pro Defender for Endpoint v Linuxu.

Stejně jako u všech nových nastavení zásad byste je měli pečlivě otestovat v omezeném řízeném prostředí, abyste se ujistili, že nakonfigurovaná nastavení mají požadovaný účinek před rozsáhlejší implementací nastavení zásad ve vaší organizaci.

Události diagnostických dat

Tato část popisuje, co se považuje za povinná diagnostická data a co se považuje za volitelná diagnostická data, spolu s popisem shromažďovaných událostí a polí.

Datová pole, která jsou společná pro všechny události

Některé informace o událostech jsou společné pro všechny události bez ohledu na kategorii nebo podtyp dat.

Následující pole se považují za společná pro všechny události:

:----- Popis
Platforma Široká klasifikace platformy, na které je aplikace spuštěná. Umožňuje Microsoftu zjistit, na kterých platformách může k problému dojít, aby bylo možné správně určit jeho prioritu.
machine_guid Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
sense_guid Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
org_id Jedinečný identifikátor přidružený k podniku, do kterého zařízení patří. Umožňuje Microsoftu zjistit, jestli problémy mají vliv na vybranou sadu podniků a na kolik podniků se to týká.
Hostname Název místního zařízení (bez přípony DNS) Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
product_guid Jedinečný identifikátor produktu. Umožňuje Microsoftu rozlišovat problémy, které mají vliv na různé varianty produktu.
app_version Verze aplikace Defender for Endpoint v linuxové aplikaci. Umožňuje Microsoftu určit, které verze produktu zobrazují problém, aby bylo možné správně určit jeho prioritu.
sig_version Verze databáze analýzy zabezpečení. Umožňuje Microsoftu určit, které verze inteligentních informací o zabezpečení zobrazují problém, aby mu bylo možné správně určit prioritu.
supported_compressions Seznam algoritmů komprese podporovaných aplikací, například ['gzip']. Umožňuje Microsoftu pochopit, jaké typy kompresí je možné použít při komunikaci s aplikací.
release_ring Vyzvánět, ke kterému je zařízení přidružené (například Insider Fast, Insider Slow, Production). Umožňuje Microsoftu zjistit, ve kterém okruhu verzí může k problému docházet, aby bylo možné správně určit jeho prioritu.

Povinná diagnostická data

Povinná diagnostická data jsou minimální data potřebná k tomu, aby defender for Endpoint byl zabezpečený, aktuální a fungoval podle očekávání na zařízení, na které je nainstalovaný.

Povinná diagnostická data pomáhají identifikovat problémy s Microsoft Defender for Endpoint, které můžou souviset s konfigurací zařízení nebo softwaru. Může například pomoct určit, jestli funkce Defenderu for Endpoint dochází častěji k chybovému ukončení konkrétní verze operačního systému s nově zavedenými funkcemi nebo když jsou některé funkce Defenderu for Endpoint zakázané. Povinná diagnostická data pomáhají Microsoftu zjistit, diagnostikovat a opravit tyto problémy rychleji, aby se snížil dopad na uživatele nebo organizace.

Události týkající se dat instalace a inventáře softwaru

Microsoft Defender for Endpoint instalace / odinstalace:

Shromažďována jsou následující pole:

:----- Popis
correlation_id Jedinečný identifikátor přidružený k instalaci.
Verze Verze balíčku.
Závažnosti Závažnost zprávy (například Informační).
Kód Kód, který popisuje operaci.
Text Další informace související s instalací produktu

konfigurace Microsoft Defender for Endpoint:

Shromažďována jsou následující pole:

:----- Popis
antivirus_engine.enable_real_time_protection Jestli je na zařízení povolená ochrana v reálném čase nebo ne.
antivirus_engine.passive_mode Jestli je na zařízení povolený pasivní režim, nebo ne.
cloud_service.enabled Jestli je na zařízení povolená cloudová ochrana, nebo ne.
cloud_service.timeout Časový limit vyprší, když aplikace komunikuje s cloudem Defenderu for Endpoint.
cloud_service.heartbeat_interval Interval mezi po sobě jdoucími prezenčních signály odeslaných produktem do cloudu
cloud_service.service_uri Identifikátor URI používaný ke komunikaci s cloudem
cloud_service.diagnostic_level Úroveň diagnostiky zařízení (povinná, volitelná)
cloud_service.automatic_sample_submission Úroveň automatického odeslání vzorku zařízení (žádné, bezpečné, vše)
cloud_service.automatic_definition_update_enabled Jestli je automatická aktualizace definic zapnutá nebo ne.
edr.early_preview Jestli má zařízení spouštět funkce EDR v rané verzi Preview.
edr.group_id Identifikátor skupiny používaný komponentou detekce a odpovědi.
edr.tags Uživatelem definované značky.
Funkce. [volitelný název funkce] Seznam funkcí ve verzi Preview spolu s tím, jestli jsou povolené nebo ne.

Události týkající se dat využití produktů a služeb

Sestava aktualizace analýzy zabezpečení:

Shromažďována jsou následující pole:

:----- Popis
from_version Původní verze analýzy zabezpečení.
to_version Nová verze analýzy zabezpečení.
Stav Stav aktualizace označující úspěch nebo selhání.
using_proxy Jestli se aktualizace provedla přes proxy server.
Chyba Kód chyby, pokud aktualizace selhala.
Důvod Pokud aktualizace selhala, zobrazí se chybová zpráva.

Události dat o výkonu produktů a služeb pro povinná diagnostická data

Statistika rozšíření jádra:

Shromažďována jsou následující pole:

:----- Popis
Verze Verze Defenderu for Endpoint v Linuxu
instance_id Jedinečný identifikátor vygenerovaný při spuštění rozšíření jádra.
trace_level Úroveň trasování rozšíření jádra.
Subsystému Základní subsystém používaný k ochraně v reálném čase
ipc.connects Počet žádostí o připojení přijatých rozšířením jádra
ipc.rejects Počet žádostí o připojení odmítnutých rozšířením jádra
ipc.connected Jestli existuje aktivní připojení k rozšíření jádra.

Data podpory

Diagnostické protokoly:

Diagnostické protokoly se shromažďují pouze se souhlasem uživatele v rámci funkce odeslání zpětné vazby. V rámci protokolů podpory se shromažďují následující soubory:

  • Všechny soubory ve složce /var/log/microsoft/mdatp
  • Podmnožina souborů v /etc/opt/microsoft/mdatp , které vytváří a používá Defender for Endpoint v Linuxu
  • Protokoly instalace a odinstalace produktu ve složce /var/log/microsoft/mdatp/*.log

Nepovinná diagnostická data

Volitelná diagnostická data jsou další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.

Pokud se rozhodnete posílat nám volitelná diagnostická data, odešlou se i požadovaná diagnostická data.

Mezi nepovinná diagnostická data patří data, která Microsoft shromažďuje o konfiguraci produktu (například počet vyloučení nastavených na zařízení) a výkon produktu (agregované míry týkající se výkonu součástí produktu).

Události nastavení softwaru a dat inventáře pro volitelná diagnostická data

konfigurace Microsoft Defender for Endpoint:

Shromažďována jsou následující pole:

:----- Popis
connection_retry_timeout Vypršení časového limitu opakování připojení při komunikaci s cloudem
file_hash_cache_maximum Velikost mezipaměti produktu
crash_upload_daily_limit Limit protokolů chybového ukončení nahrávaných denně
antivirus_engine.exclusions[].is_directory Určuje, jestli je vyloučení z kontroly adresářem nebo ne.
antivirus_engine.exclusions[].cesta Cesta, která byla vyloučena z kontroly.
antivirus_engine.exclusions[].extension Rozšíření vyloučené z kontroly.
antivirus_engine.exclusions[].name Název souboru vyloučeného z kontroly
antivirus_engine.scan_cache_maximum Velikost mezipaměti produktu
antivirus_engine.maximum_scan_threads Maximální počet vláken použitých ke skenování.
antivirus_engine.threat_restoration_exclusion_time Časový limit vyprší, než bude možné znovu zjistit soubor obnovený z karantény.
antivirus_engine.threat_type_settings Konfigurace způsobu, jakým produkt zpracovává různé typy hrozeb.
filesystem_scanner.full_scan_directory Adresář úplné kontroly.
filesystem_scanner.quick_scan_directories Seznam adresářů použitých při rychlé kontrole
edr.latency_mode Režim latence používaný komponentou detekce a odpovědi.
edr.proxy_address Adresa proxy serveru používaná komponentou detekce a odpovědi.

Konfigurace automatické aktualizace Microsoftu:

Shromažďována jsou následující pole:

:----- Popis
how_to_check Určuje, jak se kontrolují aktualizace produktů (například automaticky nebo ručně).
channel_name Aktualizujte kanál přidružený k zařízení.
manifest_server Server používaný ke stahování aktualizací.
update_cache Umístění mezipaměti používané k ukládání aktualizací

Využití produktů a služeb

Sestava spuštěných nahrávání diagnostických protokolů

Shromažďována jsou následující pole:

:----- Popis
sha256 SHA256 identifikátor protokolu podpory.
Velikost Velikost protokolu podpory
original_path Cesta k protokolu podpory (vždy pod /var/opt/microsoft/mdatp/wdavdiag/).
Formát Formát protokolu podpory

Sestava dokončeného nahrávání protokolu diagnostiky

Shromažďována jsou následující pole:

:----- Popis
request_id ID korelace žádosti o nahrání protokolu podpory
sha256 SHA256 identifikátor protokolu podpory.
blob_sas_uri Identifikátor URI, který aplikace používá k nahrání protokolu podpory.

Události dat o výkonu produktů a služeb pro produktovou službu a využití

Neočekávané ukončení aplikace (chybové ukončení):

Neočekávané ukončení aplikace a stav aplikace, když k tomu dojde.

Statistika rozšíření jádra:

Shromažďována jsou následující pole:

:----- Popis
pkt_ack_timeout Následující vlastnosti jsou agregované číselné hodnoty, které představují počet událostí, ke kterým došlo od spuštění rozšíření jádra.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maska
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Zdroje

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.