Číst v angličtině

Sdílet prostřednictvím


Ochrana osobních údajů pro Microsoft Defender for Endpoint v macOS

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Společnost Microsoft se zavazuje poskytovat vám informace a ovládací prvky, které potřebujete k rozhodování o tom, jak se budou vaše data shromažďovat a používat při používání Microsoft Defender for Endpoint v systému macOS.

Toto téma popisuje ovládací prvky ochrany osobních údajů dostupné v rámci produktu, způsob správy těchto ovládacích prvků pomocí nastavení zásad a další podrobnosti o shromažďovaných datových událostech.

Přehled ovládacích prvků ochrany osobních údajů v Microsoft Defender for Endpoint v macOS

Tato část popisuje ovládací prvky ochrany osobních údajů pro různé typy dat shromažďovaných Microsoft Defender for Endpoint v systému macOS.

Diagnostická data

Diagnostická data slouží k udržování Microsoft Defender for Endpoint zabezpečení a aktuáli, zjišťování, diagnostice a řešení problémů a také k vylepšování produktů.

Některá diagnostická data jsou povinná, jiná nepovinná. Dáváme vám možnost si zvolit, jestli nám chcete poslat povinná nebo nepovinná diagnostická data pomocí kontrolních mechanismů ochrany osobních údajů, jako je nastavení zásad pro organizace.

Existují dvě úrovně diagnostických dat pro Microsoft Defender for Endpoint klientský software, ze které si můžete vybrat:

  • Povinné: Minimální data potřebná k udržování Microsoft Defender for Endpoint zabezpečených, aktuálních a fungujících podle očekávání na zařízení, na které je nainstalovaný.

  • Volitelné: Další data, která pomáhají Microsoftu vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.

Ve výchozím nastavení se microsoftu odesílají jenom povinná diagnostická data.

Data ochrany před cloudem

Cloudová ochrana se používá k zajištění vyšší a rychlejší ochrany s přístupem k nejnovějším datům ochrany v cloudu.

Povolení cloudové služby ochrany je volitelné, ale důrazně to doporučujeme, protože poskytuje důležitou ochranu před malwarem na koncových bodech a v síti.

Ukázková data

Ukázková data slouží ke zlepšení možností ochrany produktu tím, že microsoftu odesílá podezřelé vzorky, aby je bylo možné analyzovat. Povolení automatického odesílání vzorků je volitelné.

Když je tato funkce povolená a shromážděná ukázka bude pravděpodobně obsahovat osobní údaje, zobrazí se uživateli výzva k vyjádření souhlasu.

Správa prvků ochrany osobních údajů pomocí nastavení zásad

Pokud jste správce IT, možná budete chtít nakonfigurovat tyto ovládací prvky na podnikové úrovni.

Ovládací prvky ochrany osobních údajů pro různé typy dat popsané v předchozí části jsou podrobně popsány v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v systému macOS.

Stejně jako u všech nových nastavení zásad byste je měli pečlivě otestovat v omezeném řízeném prostředí, abyste se ujistili, že nakonfigurovaná nastavení mají požadovaný účinek před rozsáhlejší implementací nastavení zásad ve vaší organizaci.

Události diagnostických dat

Tato část popisuje, co se považuje za povinná diagnostická data a co se považuje za volitelná diagnostická data, spolu s popisem shromažďovaných událostí a polí.

Datová pole, která jsou společná pro všechny události

Některé informace o událostech jsou společné pro všechny události bez ohledu na kategorii nebo podtyp dat.

Následující pole se považují za společná pro všechny události:

:----- Popis
Platforma Široká klasifikace platformy, na které je aplikace spuštěná. Umožňuje Microsoftu zjistit, na kterých platformách může k problému dojít, aby bylo možné správně určit jeho prioritu.
machine_guid Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
sense_guid Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
org_id Jedinečný identifikátor přidružený k podniku, do kterého zařízení patří. Umožňuje Microsoftu zjistit, jestli problémy mají vliv na vybranou sadu podniků a na kolik podniků se to týká.
Hostname Název místního zařízení (bez přípony DNS) Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno.
product_guid Jedinečný identifikátor produktu. Umožňuje Microsoftu rozlišovat problémy, které mají vliv na různé varianty produktu.
app_version Verze Microsoft Defender for Endpoint v aplikaci pro macOS. Umožňuje Microsoftu určit, které verze produktu zobrazují problém, aby bylo možné správně určit jeho prioritu.
sig_version Verze databáze analýzy zabezpečení. Umožňuje Microsoftu určit, které verze inteligentních informací o zabezpečení zobrazují problém, aby mu bylo možné správně určit prioritu.
supported_compressions Seznam algoritmů komprese podporovaných aplikací, například ['gzip']. Umožňuje Microsoftu pochopit, jaké typy kompresí je možné použít při komunikaci s aplikací.
release_ring Vyzvánět, ke kterému je zařízení přidružené (například Insider Fast, Insider Slow, Production). Umožňuje Microsoftu zjistit, ve kterém okruhu verzí může k problému docházet, aby bylo možné správně určit jeho prioritu.

Povinná diagnostická data

Povinná diagnostická data jsou minimální data potřebná k zajištění zabezpečení Microsoft Defender for Endpoint, aktuálií a očekávaného výkonu na zařízení, na které je nainstalovaná.

Povinná diagnostická data pomáhají identifikovat problémy s Microsoft Defender for Endpoint, které můžou souviset s konfigurací zařízení nebo softwaru. Může například pomoct určit, jestli se funkce Microsoft Defender for Endpoint častěji chybově ukončí v konkrétní verzi operačního systému, s nově zavedenými funkcemi nebo když jsou některé Microsoft Defender for Endpoint funkce zakázané. Povinná diagnostická data pomáhají Microsoftu zjistit, diagnostikovat a opravit tyto problémy rychleji, aby se snížil dopad na uživatele nebo organizace.

Události týkající se dat instalace a inventáře softwaru

Microsoft Defender for Endpoint instalace / odinstalace:

Shromažďována jsou následující pole:

:----- Popis
correlation_id Jedinečný identifikátor přidružený k instalaci.
Verze Verze balíčku.
Závažnosti Závažnost zprávy (například Informační).
Kód Kód, který popisuje operaci.
Text Další informace související s instalací produktu

konfigurace Microsoft Defender for Endpoint:

Shromažďována jsou následující pole:

:----- Popis
antivirus_engine.enable_real_time_protection Jestli je na zařízení povolená ochrana v reálném čase nebo ne.
antivirus_engine.passive_mode Jestli je na zařízení povolený pasivní režim, nebo ne.
cloud_service.enabled Jestli je na zařízení povolená cloudová ochrana, nebo ne.
cloud_service.timeout Časový limit vyprší, když aplikace komunikuje s Microsoft Defender for Endpoint cloudem.
cloud_service.heartbeat_interval Interval mezi po sobě jdoucími prezenčních signály odeslaných produktem do cloudu
cloud_service.service_uri Identifikátor URI používaný ke komunikaci s cloudem
cloud_service.diagnostic_level Úroveň diagnostiky zařízení (povinná, volitelná)
cloud_service.automatic_sample_submission Určuje, jestli je zapnuté automatické odesílání vzorků.
cloud_service.automatic_definition_update_enabled Jestli je automatická aktualizace definic zapnutá nebo ne.
edr.early_preview Jestli má zařízení spouštět funkce EDR v rané verzi Preview.
edr.group_id Identifikátor skupiny používaný komponentou detekce a odpovědi.
edr.tags Uživatelem definované značky.
Funkce. [volitelný název funkce] Seznam funkcí ve verzi Preview spolu s tím, jestli jsou povolené nebo ne.

Události týkající se dat využití produktů a služeb

Sestava aktualizace analýzy zabezpečení:

Shromažďována jsou následující pole:

:----- Popis
from_version Původní verze analýzy zabezpečení.
to_version Nová verze analýzy zabezpečení.
Stav Stav aktualizace označující úspěch nebo selhání.
using_proxy Jestli se aktualizace provedla přes proxy server.
Chyba Kód chyby, pokud aktualizace selhala.
Důvod Chybová zpráva, pokud aktualizace byla podána.

Události dat o výkonu produktů a služeb pro povinná diagnostická data

Neočekávané ukončení aplikace (chybové ukončení):

Shromažďuje informace o systému a stav aplikace, když se aplikace neočekávaně ukončí.

Shromažďována jsou následující pole:

:----- Popis
v1_crash_count Kolikrát každou hodinu došlo k chybovému ukončení procesu modulu V1 na klientském počítači
v2_crash_count Kolikrát každou hodinu na klientském počítači došlo k chybovému ukončení procesu modulu V2
EDR_crash_count Kolikrát došlo k chybovému ukončení procesu EDR na klientském počítači každou hodinu

Statistika rozšíření jádra:

Shromažďována jsou následující pole:

:----- Popis
Verze Verze Microsoft Defender for Endpoint v systému macOS.
instance_id Jedinečný identifikátor vygenerovaný při spuštění rozšíření jádra.
trace_level Úroveň trasování rozšíření jádra.
Subsystému Základní subsystém používaný k ochraně v reálném čase
ipc.connects Počet žádostí o připojení přijatých rozšířením jádra
ipc.rejects Počet žádostí o připojení odmítnutých rozšířením jádra
ipc.connected Jestli existuje aktivní připojení k rozšíření jádra.

Data podpory

Diagnostické protokoly:

Diagnostické protokoly se shromažďují pouze se souhlasem uživatele v rámci funkce odeslání zpětné vazby. V rámci protokolů podpory se shromažďují následující soubory:

  • Všechny soubory ve složce /Library/Logs/Microsoft/mdatp/
  • Podmnožina souborů v /Library/Application Support/Microsoft/Defender/, které vytváří a používá Microsoft Defender for Endpoint v macOS
  • Podmnožina souborů v části /Library/Managed Preferences, které používá Microsoft Defender for Endpoint v systému macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Nepovinná diagnostická data

Volitelná diagnostická data jsou další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.

Pokud se rozhodnete posílat nám volitelná diagnostická data, odešlou se i požadovaná diagnostická data.

Mezi nepovinná diagnostická data patří data, která Microsoft shromažďuje o konfiguraci produktu (například počet vyloučení nastavených na zařízení) a výkon produktu (agregované míry týkající se výkonu součástí produktu).

Události nastavení softwaru a dat inventáře pro volitelná diagnostická data

konfigurace Microsoft Defender for Endpoint:

Shromažďována jsou následující pole:

:----- Popis
connection_retry_timeout Při komunikaci s cloudem vyprší časový limit opakování připojení.
file_hash_cache_maximum Velikost mezipaměti produktu
crash_upload_daily_limit Limit protokolů chybového ukončení nahrávaných denně
antivirus_engine.exclusions[].is_directory Určuje, jestli je vyloučení z kontroly adresářem nebo ne.
antivirus_engine.exclusions[].cesta Cesta, která byla vyloučena z kontroly.
antivirus_engine.exclusions[].extension Rozšíření vyloučené z kontroly.
antivirus_engine.exclusions[].name Název souboru vyloučeného z kontroly
antivirus_engine.scan_cache_maximum Velikost mezipaměti produktu
antivirus_engine.maximum_scan_threads Maximální počet vláken použitých ke skenování.
antivirus_engine.threat_restoration_exclusion_time Časový limit vyprší, než bude možné znovu zjistit soubor obnovený z karantény.
antivirus_engine.threat_type_settings Konfigurace způsobu, jakým produkt zpracovává různé typy hrozeb.
filesystem_scanner.full_scan_directory Adresář úplné kontroly.
filesystem_scanner.quick_scan_directories Seznam adresářů použitých při rychlé kontrole
edr.latency_mode Režim latence používaný komponentou detekce a odpovědi.
edr.proxy_address Adresa proxy serveru používaná komponentou detekce a odpovědi.

Konfigurace automatické aktualizace Microsoftu:

Shromažďována jsou následující pole:

:----- Popis
how_to_check Určuje, jak se kontrolují aktualizace produktů (například automaticky nebo ručně).
channel_name Aktualizujte kanál přidružený k zařízení.
manifest_server Server používaný ke stahování aktualizací.
update_cache Umístění mezipaměti používané k ukládání aktualizací

Využití produktů a služeb

Sestava spuštěných nahrávání diagnostických protokolů

Shromažďována jsou následující pole:

:----- Popis
sha256 SHA256 identifikátor protokolu podpory.
Velikost Velikost protokolu podpory
original_path Cesta k protokolu podpory (vždy v /Library/Application Support/Microsoft/Defender/wdavdiag/).
Formát Formát protokolu podpory
Metadata Informace o obsahu protokolu podpory

Sestava dokončeného nahrávání protokolu diagnostiky

Shromažďována jsou následující pole:

:----- Popis
request_id ID korelace žádosti o nahrání protokolu podpory
sha256 SHA256 identifikátor protokolu podpory.
blob_sas_uri Identifikátor URI, který aplikace používá k nahrání protokolu podpory.

Události dat o výkonu produktů a služeb pro využití produktů a služeb

Neočekávané ukončení aplikace (chybové ukončení):

Neočekávané ukončení aplikace a stav aplikace, když k tomu dojde.

Statistika rozšíření jádra:

Shromažďována jsou následující pole:

:----- Popis
pkt_ack_timeout Následující vlastnosti jsou agregované číselné hodnoty, které představují počet událostí, ke kterým došlo od spuštění rozšíření jádra.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maska
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Zdroje

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.