Ochrana osobních údajů pro Microsoft Defender for Endpoint v Linuxu
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Společnost Microsoft se zavazuje poskytovat vám informace a ovládací prvky, které potřebujete k rozhodování o tom, jak se budou vaše data shromažďovat a používat, když používáte Defender for Endpoint v Linuxu.
Tento článek popisuje ovládací prvky ochrany osobních údajů dostupné v rámci produktu, způsob správy těchto ovládacích prvků pomocí nastavení zásad a další podrobnosti o shromažďovaných událostech dat.
Tato část popisuje ovládací prvky ochrany osobních údajů pro různé typy dat, které defender for Endpoint v Linuxu shromažďuje.
Diagnostická data se používají k udržování defenderu for Endpoint v zabezpečeném a aktualizovaném stavu, ke zjišťování, diagnostice a řešení problémů a k vylepšování produktů.
Některá diagnostická data jsou povinná, jiná nepovinná. Pomocí řízení ochrany osobních údajů, jako jsou nastavení zásad pro organizace, vám dáváme možnost zvolit, jestli nám chcete posílat povinná nebo volitelná diagnostická data.
Existují dvě úrovně diagnostických dat pro klientský software Defender for Endpoint, ze které si můžete vybrat:
- Povinné: Minimální data potřebná k tomu, aby defender for Endpoint byl zabezpečený, aktuální a fungoval podle očekávání na zařízení, na které je nainstalovaný.
- Volitelné: Další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.
Ve výchozím nastavení se microsoftu odesílají jenom povinná diagnostická data.
Cloudová ochrana se používá k zajištění vyšší a rychlejší ochrany s přístupem k nejnovějším datům ochrany v cloudu.
Povolení cloudové služby ochrany je volitelné, ale důrazně to doporučujeme, protože poskytuje důležitou ochranu před malwarem na koncových bodech a v síti.
Ukázková data slouží ke zlepšení možností ochrany produktu tím, že microsoftu odesílá podezřelé vzorky, aby je bylo možné analyzovat. Povolení automatického odesílání vzorků je volitelné.
Existují tři úrovně řízení odesílání vzorků:
- Žádné: Microsoftu se neposílají žádné podezřelé vzorky.
- Bezpečné: Automaticky se odesílají jenom podezřelé vzorky, které neobsahují identifikovatelné osobní údaje. Tato hodnota je výchozí.
- Vše: Microsoftu se odesílají všechny podezřelé vzorky.
Pokud jste správce IT, možná budete chtít nakonfigurovat tyto ovládací prvky na podnikové úrovni.
Ovládací prvky ochrany osobních údajů pro různé typy dat popsané v předchozí části jsou podrobně popsané v tématu Nastavení předvoleb pro Defender for Endpoint v Linuxu.
Stejně jako u všech nových nastavení zásad byste je měli pečlivě otestovat v omezeném řízeném prostředí, abyste se ujistili, že nakonfigurovaná nastavení mají požadovaný účinek před rozsáhlejší implementací nastavení zásad ve vaší organizaci.
Tato část popisuje, co se považuje za povinná diagnostická data a co se považuje za volitelná diagnostická data, spolu s popisem shromažďovaných událostí a polí.
Některé informace o událostech jsou společné pro všechny události bez ohledu na kategorii nebo podtyp dat.
Následující pole se považují za společná pro všechny události:
:----- | Popis |
---|---|
nástupiště | Široká klasifikace platformy, na které je aplikace spuštěná. Umožňuje Microsoftu zjistit, na kterých platformách může k problému dojít, aby bylo možné správně určit jeho prioritu. |
machine_guid | Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
sense_guid | Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
org_id | Jedinečný identifikátor přidružený k podniku, do kterého zařízení patří. Umožňuje Microsoftu zjistit, jestli problémy mají vliv na vybranou sadu podniků a na kolik podniků se to týká. |
název hostitele | Název místního zařízení (bez přípony DNS) Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
product_guid | Jedinečný identifikátor produktu. Umožňuje Microsoftu rozlišovat problémy, které mají vliv na různé varianty produktu. |
app_version | Verze aplikace Defender for Endpoint v linuxové aplikaci. Umožňuje Microsoftu určit, které verze produktu zobrazují problém, aby bylo možné správně určit jeho prioritu. |
sig_version | Verze databáze analýzy zabezpečení. Umožňuje Microsoftu určit, které verze inteligentních informací o zabezpečení zobrazují problém, aby mu bylo možné správně určit prioritu. |
supported_compressions | Seznam algoritmů komprese podporovaných aplikací, například ['gzip'] . Umožňuje Microsoftu pochopit, jaké typy kompresí je možné použít při komunikaci s aplikací. |
release_ring | Vyzvánět, ke kterému je zařízení přidružené (například Insider Fast, Insider Slow, Production). Umožňuje Microsoftu zjistit, ve kterém okruhu verzí může k problému docházet, aby bylo možné správně určit jeho prioritu. |
Povinná diagnostická data jsou minimální data potřebná k tomu, aby defender for Endpoint byl zabezpečený, aktuální a fungoval podle očekávání na zařízení, na které je nainstalovaný.
Povinná diagnostická data pomáhají identifikovat problémy s Microsoft Defender for Endpoint, které můžou souviset s konfigurací zařízení nebo softwaru. Může například pomoct určit, jestli funkce Defenderu for Endpoint dochází častěji k chybovému ukončení konkrétní verze operačního systému s nově zavedenými funkcemi nebo když jsou některé funkce Defenderu for Endpoint zakázané. Povinná diagnostická data pomáhají Microsoftu zjistit, diagnostikovat a opravit tyto problémy rychleji, aby se snížil dopad na uživatele nebo organizace.
Microsoft Defender for Endpoint instalace / odinstalace:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
correlation_id | Jedinečný identifikátor přidružený k instalaci. |
verze | Verze balíčku. |
závažnost | Závažnost zprávy (například Informační). |
kód | Kód, který popisuje operaci. |
Text | Další informace související s instalací produktu |
konfigurace Microsoft Defender for Endpoint:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
antivirus_engine.enable_real_time_protection | Jestli je na zařízení povolená ochrana v reálném čase nebo ne. |
antivirus_engine.passive_mode | Jestli je na zařízení povolený pasivní režim, nebo ne. |
cloud_service.enabled | Jestli je na zařízení povolená cloudová ochrana, nebo ne. |
cloud_service.timeout | Časový limit vyprší, když aplikace komunikuje s cloudem Defenderu for Endpoint. |
cloud_service.heartbeat_interval | Interval mezi po sobě jdoucími prezenčních signály odeslaných produktem do cloudu |
cloud_service.service_uri | Identifikátor URI používaný ke komunikaci s cloudem |
cloud_service.diagnostic_level | Úroveň diagnostiky zařízení (povinná, volitelná) |
cloud_service.automatic_sample_submission | Úroveň automatického odeslání vzorku zařízení (žádné, bezpečné, vše) |
cloud_service.automatic_definition_update_enabled | Jestli je automatická aktualizace definic zapnutá nebo ne. |
edr.early_preview | Jestli má zařízení spouštět funkce EDR v rané verzi Preview. |
edr.group_id | Identifikátor skupiny používaný komponentou detekce a odpovědi. |
edr.tags | Uživatelem definované značky. |
rysy. [volitelný název funkce] | Seznam funkcí ve verzi Preview spolu s tím, jestli jsou povolené nebo ne. |
Sestava aktualizace analýzy zabezpečení:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
from_version | Původní verze analýzy zabezpečení. |
to_version | Nová verze analýzy zabezpečení. |
stav | Stav aktualizace označující úspěch nebo selhání. |
using_proxy | Jestli se aktualizace provedla přes proxy server. |
chyba | Kód chyby, pokud aktualizace selhala. |
důvod | Pokud aktualizace selhala, zobrazí se chybová zpráva. |
Statistika rozšíření jádra:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
verze | Verze Defenderu for Endpoint v Linuxu |
instance_id | Jedinečný identifikátor vygenerovaný při spuštění rozšíření jádra. |
trace_level | Úroveň trasování rozšíření jádra. |
podsystém | Základní subsystém používaný k ochraně v reálném čase |
ipc.connects | Počet žádostí o připojení přijatých rozšířením jádra |
ipc.rejects | Počet žádostí o připojení odmítnutých rozšířením jádra |
ipc.connected | Jestli existuje aktivní připojení k rozšíření jádra. |
Diagnostické protokoly:
Diagnostické protokoly se shromažďují pouze se souhlasem uživatele v rámci funkce odeslání zpětné vazby. V rámci protokolů podpory se shromažďují následující soubory:
- Všechny soubory ve složce /var/log/microsoft/mdatp
- Podmnožina souborů v /etc/opt/microsoft/mdatp , které vytváří a používá Defender for Endpoint v Linuxu
- Protokoly instalace a odinstalace produktu ve složce /var/log/microsoft/mdatp/*.log
Volitelná diagnostická data jsou další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.
Pokud se rozhodnete posílat nám volitelná diagnostická data, odešlou se i požadovaná diagnostická data.
Mezi nepovinná diagnostická data patří data, která Microsoft shromažďuje o konfiguraci produktu (například počet vyloučení nastavených na zařízení) a výkon produktu (agregované míry týkající se výkonu součástí produktu).
konfigurace Microsoft Defender for Endpoint:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
connection_retry_timeout | Vypršení časového limitu opakování připojení při komunikaci s cloudem |
file_hash_cache_maximum | Velikost mezipaměti produktu |
crash_upload_daily_limit | Limit protokolů chybového ukončení nahrávaných denně |
antivirus_engine.exclusions[].is_directory | Určuje, jestli je vyloučení z kontroly adresářem nebo ne. |
antivirus_engine.exclusions[].cesta | Cesta, která byla vyloučena z kontroly. |
antivirus_engine.exclusions[].extension | Rozšíření vyloučené z kontroly. |
antivirus_engine.exclusions[].name | Název souboru vyloučeného z kontroly |
antivirus_engine.scan_cache_maximum | Velikost mezipaměti produktu |
antivirus_engine.maximum_scan_threads | Maximální počet vláken použitých ke skenování. |
antivirus_engine.threat_restoration_exclusion_time | Časový limit vyprší, než bude možné znovu zjistit soubor obnovený z karantény. |
antivirus_engine.threat_type_settings | Konfigurace způsobu, jakým produkt zpracovává různé typy hrozeb. |
filesystem_scanner.full_scan_directory | Adresář úplné kontroly. |
filesystem_scanner.quick_scan_directories | Seznam adresářů použitých při rychlé kontrole |
edr.latency_mode | Režim latence používaný komponentou detekce a odpovědi. |
edr.proxy_address | Adresa proxy serveru používaná komponentou detekce a odpovědi. |
Konfigurace automatické aktualizace Microsoftu:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
how_to_check | Určuje, jak se kontrolují aktualizace produktů (například automaticky nebo ručně). |
channel_name | Aktualizujte kanál přidružený k zařízení. |
manifest_server | Server používaný ke stahování aktualizací. |
update_cache | Umístění mezipaměti používané k ukládání aktualizací |
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
sha256 | SHA256 identifikátor protokolu podpory. |
velikost | Velikost protokolu podpory |
original_path | Cesta k protokolu podpory (vždy pod /var/opt/microsoft/mdatp/wdavdiag/). |
formát | Formát protokolu podpory |
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
request_id | ID korelace žádosti o nahrání protokolu podpory |
sha256 | SHA256 identifikátor protokolu podpory. |
blob_sas_uri | Identifikátor URI, který aplikace používá k nahrání protokolu podpory. |
Neočekávané ukončení aplikace (chybové ukončení):
Neočekávané ukončení aplikace a stav aplikace, když k tomu dojde.
Statistika rozšíření jádra:
Shromažďována jsou následující pole:
:----- | Popis |
---|---|
pkt_ack_timeout | Následující vlastnosti jsou agregované číselné hodnoty, které představují počet událostí, ke kterým došlo od spuštění rozšíření jádra. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.maska | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.