Ochrana osobních údajů pro Microsoft Defender for Endpoint v macOS
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Společnost Microsoft se zavazuje poskytovat vám informace a ovládací prvky, které potřebujete k rozhodování o tom, jak se budou vaše data shromažďovat a používat při používání Microsoft Defender for Endpoint v systému macOS.
Toto téma popisuje ovládací prvky ochrany osobních údajů dostupné v rámci produktu, způsob správy těchto ovládacích prvků pomocí nastavení zásad a další podrobnosti o shromažďovaných datových událostech.
Přehled ovládacích prvků ochrany osobních údajů v Microsoft Defender for Endpoint v macOS
Tato část popisuje ovládací prvky ochrany osobních údajů pro různé typy dat shromažďovaných Microsoft Defender for Endpoint v systému macOS.
Diagnostická data
Diagnostická data slouží k udržování Microsoft Defender for Endpoint zabezpečení a aktuáli, zjišťování, diagnostice a řešení problémů a také k vylepšování produktů.
Některá diagnostická data jsou povinná, jiná nepovinná. Dáváme vám možnost si zvolit, jestli nám chcete poslat povinná nebo nepovinná diagnostická data pomocí kontrolních mechanismů ochrany osobních údajů, jako je nastavení zásad pro organizace.
Existují dvě úrovně diagnostických dat pro Microsoft Defender for Endpoint klientský software, ze které si můžete vybrat:
Povinné: Minimální data potřebná k udržování Microsoft Defender for Endpoint zabezpečených, aktuálních a fungujících podle očekávání na zařízení, na které je nainstalovaný.
Volitelné: Další data, která pomáhají Microsoftu vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.
Ve výchozím nastavení se microsoftu odesílají jenom povinná diagnostická data.
Data ochrany před cloudem
Cloudová ochrana se používá k zajištění vyšší a rychlejší ochrany s přístupem k nejnovějším datům ochrany v cloudu.
Povolení cloudové služby ochrany je volitelné, ale důrazně to doporučujeme, protože poskytuje důležitou ochranu před malwarem na koncových bodech a v síti.
Ukázková data
Ukázková data slouží ke zlepšení možností ochrany produktu tím, že microsoftu odesílá podezřelé vzorky, aby je bylo možné analyzovat. Povolení automatického odesílání vzorků je volitelné.
Když je tato funkce povolená a shromážděná ukázka bude pravděpodobně obsahovat osobní údaje, zobrazí se uživateli výzva k vyjádření souhlasu.
Správa prvků ochrany osobních údajů pomocí nastavení zásad
Pokud jste správce IT, možná budete chtít nakonfigurovat tyto ovládací prvky na podnikové úrovni.
Ovládací prvky ochrany osobních údajů pro různé typy dat popsané v předchozí části jsou podrobně popsány v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v systému macOS.
Stejně jako u všech nových nastavení zásad byste je měli pečlivě otestovat v omezeném řízeném prostředí, abyste se ujistili, že nakonfigurovaná nastavení mají požadovaný účinek před rozsáhlejší implementací nastavení zásad ve vaší organizaci.
Události diagnostických dat
Tato část popisuje, co se považuje za povinná diagnostická data a co se považuje za volitelná diagnostická data, spolu s popisem shromažďovaných událostí a polí.
Datová pole, která jsou společná pro všechny události
Některé informace o událostech jsou společné pro všechny události bez ohledu na kategorii nebo podtyp dat.
Následující pole se považují za společná pro všechny události:
| :----- | Popis |
|---|---|
| Platforma | Široká klasifikace platformy, na které je aplikace spuštěná. Umožňuje Microsoftu zjistit, na kterých platformách může k problému dojít, aby bylo možné správně určit jeho prioritu. |
| machine_guid | Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
| sense_guid | Jedinečný identifikátor přidružený k zařízení. Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
| org_id | Jedinečný identifikátor přidružený k podniku, do kterého zařízení patří. Umožňuje Microsoftu zjistit, jestli problémy mají vliv na vybranou sadu podniků a na kolik podniků se to týká. |
| Hostname | Název místního zařízení (bez přípony DNS) Umožňuje Microsoftu zjistit, jestli problémy ovlivňují vybranou sadu instalací a kolik uživatelů je ovlivněno. |
| product_guid | Jedinečný identifikátor produktu. Umožňuje Microsoftu rozlišovat problémy, které mají vliv na různé varianty produktu. |
| app_version | Verze Microsoft Defender for Endpoint v aplikaci pro macOS. Umožňuje Microsoftu určit, které verze produktu zobrazují problém, aby bylo možné správně určit jeho prioritu. |
| sig_version | Verze databáze analýzy zabezpečení. Umožňuje Microsoftu určit, které verze inteligentních informací o zabezpečení zobrazují problém, aby mu bylo možné správně určit prioritu. |
| supported_compressions | Seznam algoritmů komprese podporovaných aplikací, například ['gzip']. Umožňuje Microsoftu pochopit, jaké typy kompresí je možné použít při komunikaci s aplikací. |
| release_ring | Vyzvánět, ke kterému je zařízení přidružené (například Insider Fast, Insider Slow, Production). Umožňuje Microsoftu zjistit, ve kterém okruhu verzí může k problému docházet, aby bylo možné správně určit jeho prioritu. |
Povinná diagnostická data
Povinná diagnostická data jsou minimální data potřebná k zajištění zabezpečení Microsoft Defender for Endpoint, aktuálií a očekávaného výkonu na zařízení, na které je nainstalovaná.
Povinná diagnostická data pomáhají identifikovat problémy s Microsoft Defender for Endpoint, které můžou souviset s konfigurací zařízení nebo softwaru. Může například pomoct určit, jestli se funkce Microsoft Defender for Endpoint častěji chybově ukončí v konkrétní verzi operačního systému, s nově zavedenými funkcemi nebo když jsou některé Microsoft Defender for Endpoint funkce zakázané. Povinná diagnostická data pomáhají Microsoftu zjistit, diagnostikovat a opravit tyto problémy rychleji, aby se snížil dopad na uživatele nebo organizace.
Události týkající se dat instalace a inventáře softwaru
Microsoft Defender for Endpoint instalace / odinstalace:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| correlation_id | Jedinečný identifikátor přidružený k instalaci. |
| Verze | Verze balíčku. |
| Závažnosti | Závažnost zprávy (například Informační). |
| Kód | Kód, který popisuje operaci. |
| Text | Další informace související s instalací produktu |
konfigurace Microsoft Defender for Endpoint:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| antivirus_engine.enable_real_time_protection | Jestli je na zařízení povolená ochrana v reálném čase nebo ne. |
| antivirus_engine.passive_mode | Jestli je na zařízení povolený pasivní režim, nebo ne. |
| cloud_service.enabled | Jestli je na zařízení povolená cloudová ochrana, nebo ne. |
| cloud_service.timeout | Časový limit vyprší, když aplikace komunikuje s Microsoft Defender for Endpoint cloudem. |
| cloud_service.heartbeat_interval | Interval mezi po sobě jdoucími prezenčních signály odeslaných produktem do cloudu |
| cloud_service.service_uri | Identifikátor URI používaný ke komunikaci s cloudem |
| cloud_service.diagnostic_level | Úroveň diagnostiky zařízení (povinná, volitelná) |
| cloud_service.automatic_sample_submission | Určuje, jestli je zapnuté automatické odesílání vzorků. |
| cloud_service.automatic_definition_update_enabled | Jestli je automatická aktualizace definic zapnutá nebo ne. |
| edr.early_preview | Jestli má zařízení spouštět funkce EDR v rané verzi Preview. |
| edr.group_id | Identifikátor skupiny používaný komponentou detekce a odpovědi. |
| edr.tags | Uživatelem definované značky. |
| Funkce. [volitelný název funkce] | Seznam funkcí ve verzi Preview spolu s tím, jestli jsou povolené nebo ne. |
Události týkající se dat využití produktů a služeb
Sestava aktualizace analýzy zabezpečení:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| from_version | Původní verze analýzy zabezpečení. |
| to_version | Nová verze analýzy zabezpečení. |
| Stav | Stav aktualizace označující úspěch nebo selhání. |
| using_proxy | Jestli se aktualizace provedla přes proxy server. |
| Chyba | Kód chyby, pokud aktualizace selhala. |
| Důvod | Chybová zpráva, pokud aktualizace byla podána. |
Události dat o výkonu produktů a služeb pro povinná diagnostická data
Neočekávané ukončení aplikace (chybové ukončení):
Shromažďuje informace o systému a stav aplikace, když se aplikace neočekávaně ukončí.
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| v1_crash_count | Kolikrát každou hodinu došlo k chybovému ukončení procesu modulu V1 na klientském počítači |
| v2_crash_count | Kolikrát každou hodinu na klientském počítači došlo k chybovému ukončení procesu modulu V2 |
| EDR_crash_count | Kolikrát došlo k chybovému ukončení procesu EDR na klientském počítači každou hodinu |
Statistika rozšíření jádra:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| Verze | Verze Microsoft Defender for Endpoint v systému macOS. |
| instance_id | Jedinečný identifikátor vygenerovaný při spuštění rozšíření jádra. |
| trace_level | Úroveň trasování rozšíření jádra. |
| Subsystému | Základní subsystém používaný k ochraně v reálném čase |
| ipc.connects | Počet žádostí o připojení přijatých rozšířením jádra |
| ipc.rejects | Počet žádostí o připojení odmítnutých rozšířením jádra |
| ipc.connected | Jestli existuje aktivní připojení k rozšíření jádra. |
Data podpory
Diagnostické protokoly:
Diagnostické protokoly se shromažďují pouze se souhlasem uživatele v rámci funkce odeslání zpětné vazby. V rámci protokolů podpory se shromažďují následující soubory:
- Všechny soubory ve složce /Library/Logs/Microsoft/mdatp/
- Podmnožina souborů v /Library/Application Support/Microsoft/Defender/, které vytváří a používá Microsoft Defender for Endpoint v macOS
- Podmnožina souborů v části /Library/Managed Preferences, které používá Microsoft Defender for Endpoint v systému macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Nepovinná diagnostická data
Volitelná diagnostická data jsou další data, která microsoftu pomáhají vylepšovat produkty a poskytují rozšířené informace, které pomáhají zjišťovat, diagnostikovat a opravovat problémy.
Pokud se rozhodnete posílat nám volitelná diagnostická data, odešlou se i požadovaná diagnostická data.
Mezi nepovinná diagnostická data patří data, která Microsoft shromažďuje o konfiguraci produktu (například počet vyloučení nastavených na zařízení) a výkon produktu (agregované míry týkající se výkonu součástí produktu).
Události nastavení softwaru a dat inventáře pro volitelná diagnostická data
konfigurace Microsoft Defender for Endpoint:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| connection_retry_timeout | Při komunikaci s cloudem vyprší časový limit opakování připojení. |
| file_hash_cache_maximum | Velikost mezipaměti produktu |
| crash_upload_daily_limit | Limit protokolů chybového ukončení nahrávaných denně |
| antivirus_engine.exclusions[].is_directory | Určuje, jestli je vyloučení z kontroly adresářem nebo ne. |
| antivirus_engine.exclusions[].cesta | Cesta, která byla vyloučena z kontroly. |
| antivirus_engine.exclusions[].extension | Rozšíření vyloučené z kontroly. |
| antivirus_engine.exclusions[].name | Název souboru vyloučeného z kontroly |
| antivirus_engine.scan_cache_maximum | Velikost mezipaměti produktu |
| antivirus_engine.maximum_scan_threads | Maximální počet vláken použitých ke skenování. |
| antivirus_engine.threat_restoration_exclusion_time | Časový limit vyprší, než bude možné znovu zjistit soubor obnovený z karantény. |
| antivirus_engine.threat_type_settings | Konfigurace způsobu, jakým produkt zpracovává různé typy hrozeb. |
| filesystem_scanner.full_scan_directory | Adresář úplné kontroly. |
| filesystem_scanner.quick_scan_directories | Seznam adresářů použitých při rychlé kontrole |
| edr.latency_mode | Režim latence používaný komponentou detekce a odpovědi. |
| edr.proxy_address | Adresa proxy serveru používaná komponentou detekce a odpovědi. |
Konfigurace automatické aktualizace Microsoftu:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| how_to_check | Určuje, jak se kontrolují aktualizace produktů (například automaticky nebo ručně). |
| channel_name | Aktualizujte kanál přidružený k zařízení. |
| manifest_server | Server používaný ke stahování aktualizací. |
| update_cache | Umístění mezipaměti používané k ukládání aktualizací |
Využití produktů a služeb
Sestava spuštěných nahrávání diagnostických protokolů
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| sha256 | SHA256 identifikátor protokolu podpory. |
| Velikost | Velikost protokolu podpory |
| original_path | Cesta k protokolu podpory (vždy v /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Formát | Formát protokolu podpory |
| Metadata | Informace o obsahu protokolu podpory |
Sestava dokončeného nahrávání protokolu diagnostiky
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| request_id | ID korelace žádosti o nahrání protokolu podpory |
| sha256 | SHA256 identifikátor protokolu podpory. |
| blob_sas_uri | Identifikátor URI, který aplikace používá k nahrání protokolu podpory. |
Události dat o výkonu produktů a služeb pro využití produktů a služeb
Neočekávané ukončení aplikace (chybové ukončení):
Neočekávané ukončení aplikace a stav aplikace, když k tomu dojde.
Statistika rozšíření jádra:
Shromažďována jsou následující pole:
| :----- | Popis |
|---|---|
| pkt_ack_timeout | Následující vlastnosti jsou agregované číselné hodnoty, které představují počet událostí, ke kterým došlo od spuštění rozšíření jádra. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.maska | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Zdroje
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.