Beskyttelse af personlige oplysninger for Microsoft Defender for Endpoint på macOS
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Microsoft er forpligtet til at give dig de oplysninger og kontrolelementer, du skal bruge for at kunne træffe beslutninger om, hvordan dine data indsamles og bruges, når du bruger Microsoft Defender for Endpoint på macOS.
I dette emne beskrives de kontrolelementer til beskyttelse af personlige oplysninger, der er tilgængelige i produktet, hvordan du administrerer disse kontrolelementer med politikindstillinger og flere oplysninger om de datahændelser, der indsamles.
Oversigt over kontrolelementer til beskyttelse af personlige oplysninger i Microsoft Defender for Endpoint på macOS
I dette afsnit beskrives kontrolelementerne til beskyttelse af personlige oplysninger for de forskellige typer data, der indsamles af Microsoft Defender for Endpoint på macOS.
Diagnosticeringsdata
Diagnosticeringsdata bruges til at holde Microsoft Defender for Endpoint sikre og opdaterede, registrere, diagnosticere og løse problemer og også foretage produktforbedringer.
Visse diagnosticeringsdata er påkrævede, mens andre er valgfri. Vi giver dig på muligheden for at vælge, om du vil sende os påkrævede eller valgfrie diagnosticeringsdata ved hjælp af kontrolelementer for personlige oplysninger, f.eks. indstillinger for politik til organisationer.
Du kan vælge mellem to niveauer af diagnosticeringsdata til Microsoft Defender for Endpoint klientsoftware:
Påkrævet: Den mindste data, der er nødvendig for at holde Microsoft Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, den er installeret på.
Valgfrit: Yderligere data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.
Som standard sendes der kun påkrævede diagnosticeringsdata til Microsoft.
Cloud-leverede beskyttelsesdata
Cloudbaseret beskyttelse bruges til at give øget og hurtigere beskyttelse med adgang til de nyeste beskyttelsesdata i cloudmiljøet.
Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste, men det anbefales på det kraftigste, fordi det giver vigtig beskyttelse mod malware på dine slutpunkter og på tværs af dit netværk.
Eksempeldata
Eksempeldata bruges til at forbedre beskyttelsesfunktionerne for produktet ved at sende Microsofts mistænkelige eksempler, så de kan analyseres. Det er valgfrit at aktivere automatisk indsendelse af eksempel.
Når denne funktion er aktiveret, og det eksempel, der indsamles, sandsynligvis indeholder personlige oplysninger, bliver brugeren bedt om at give samtykke.
Administrere kontrolelementer til indstillinger for politik
Hvis du er it-administrator, kan det være en god idé at konfigurere disse kontrolelementer på virksomhedsniveau.
Kontrolelementerne for beskyttelse af personlige oplysninger for de forskellige typer data, der er beskrevet i det foregående afsnit, er beskrevet detaljeret i Angiv indstillinger for Microsoft Defender for Endpoint på macOS.
Som med alle nye politikindstillinger skal du omhyggeligt teste dem i et begrænset, kontrolleret miljø for at sikre, at de indstillinger, du konfigurerer, har den ønskede effekt, før du implementerer politikindstillingerne mere bredt i din organisation.
Hændelser for diagnosticeringsdata
I dette afsnit beskrives det, hvad der betragtes som påkrævede diagnosticeringsdata, og hvad der betragtes som valgfrie diagnosticeringsdata, sammen med en beskrivelse af de hændelser og felter, der indsamles.
Datafelter, der er fælles for alle hændelser
Der er nogle oplysninger om hændelser, som er fælles for alle hændelser, uanset hvilken kategori eller dataundertype der er tale om.
Følgende felter anses for at være almindelige for alle hændelser:
| Feltet | Beskrivelse |
|---|---|
| Platform | Den brede klassificering af den platform, som appen kører på. Giver Microsoft mulighed for at identificere, på hvilke platforme der kan opstå et problem, så det kan prioriteres korrekt. |
| machine_guid | Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes. |
| sense_guid | Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes. |
| org_id | Entydigt id, der er knyttet til den virksomhed, som enheden tilhører. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt virksomheder, og hvor mange virksomheder der påvirkes. |
| Værtsnavn | Navn på lokal enhed (uden DNS-suffiks). Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes. |
| product_guid | Entydigt id for produktet. Giver Microsoft mulighed for at differentiere problemer, der påvirker forskellige varianter af produktet. |
| app_version | Version af Microsoft Defender for Endpoint på macOS-programmet. Giver Microsoft mulighed for at identificere, hvilke versioner af produktet der viser et problem, så det kan prioriteres korrekt. |
| sig_version | Version af security intelligence-database. Giver Microsoft mulighed for at identificere, hvilke versioner af sikkerhedsintelligensen der viser et problem, så det kan prioriteres korrekt. |
| supported_compressions | Liste over komprimeringsalgoritmer, der understøttes af programmet, f.eks ['gzip']. . Giver Microsoft mulighed for at forstå, hvilke typer komprimeringer der kan bruges, når microsoft kommunikerer med programmet. |
| release_ring | Ring, som enheden er knyttet til (f.eks. Insider Fast, Insider Slow, Production). Giver Microsoft mulighed for at identificere, på hvilken udgivelsesring der kan opstå et problem, så det kan prioriteres korrekt. |
Obligatoriske diagnosticeringsdata
Påkrævede diagnosticeringsdata er den mindste data, der er nødvendig for at holde Microsoft Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, den er installeret på.
Påkrævede diagnosticeringsdata hjælper med at identificere problemer med Microsoft Defender for Endpoint, der kan være relateret til en enheds- eller softwarekonfiguration. Det kan f.eks. hjælpe med at afgøre, om en Microsoft Defender for Endpoint funktion går ned oftere på en bestemt operativsystemversion med nyligt introducerede funktioner, eller hvornår visse Microsoft Defender for Endpoint funktioner er deaktiveret. Påkrævede diagnosticeringsdata hjælper Microsoft med hurtigere at registrere, diagnosticere og løse disse problemer, så indvirkningen på brugere eller organisationer reduceres.
Hændelser tilknyttet data for softwarekonfiguration og lager
Microsoft Defender for Endpoint installation/fjernelse:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| correlation_id | Entydigt id, der er knyttet til installationen. |
| Version | Version af pakken. |
| Sværhedsgraden | Meddelelsens alvorsgrad (f.eks. information). |
| Kode | Kode, der beskriver handlingen. |
| Tekst | Yderligere oplysninger, der er knyttet til produktinstallationen. |
Microsoft Defender for Endpoint konfiguration:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| antivirus_engine.enable_real_time_protection | Uanset om beskyttelse i realtid er aktiveret på enheden eller ej. |
| antivirus_engine.passive_mode | Angiver, om passiv tilstand er aktiveret på enheden eller ej. |
| cloud_service.enabled | Angiver, om cloudbaseret beskyttelse er aktiveret på enheden eller ej. |
| cloud_service.timeout | Få timeout, når programmet kommunikerer med Microsoft Defender for Endpoint cloudmiljøet. |
| cloud_service.heartbeat_interval | Interval mellem fortløbende impulser, der sendes af produktet til cloudmiljøet. |
| cloud_service.service_uri | URI bruges til at kommunikere med cloudmiljøet. |
| cloud_service.diagnostic_level | Diagnosticeringsniveau for enheden (påkrævet, valgfrit). |
| cloud_service.automatic_sample_submission | Angiver, om automatisk indsendelse af eksempel er slået til eller fra. |
| cloud_service.automatic_definition_update_enabled | Angiver, om automatisk definitionsopdatering er aktiveret eller ej. |
| edr.early_preview | Angiver, om enheden skal køre EDR-funktioner til tidlig prøveversion. |
| edr.group_id | Gruppe-id, der bruges af registrerings- og svarkomponenten. |
| edr.tags | Brugerdefinerede mærker. |
| Funktioner. [valgfrit funktionsnavn] | Liste over prøveversionsfunktioner sammen med, om de er aktiveret eller ej. |
Datahændelser i forbindelse med brug af produkter og tjenester
Rapport over opdatering af sikkerhedsintelligens:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| from_version | Oprindelig version af security intelligence. |
| to_version | Ny version af security intelligence. |
| Status | Status for opdateringen, der angiver, om det lykkedes eller mislykkedes. |
| using_proxy | Angiver, om opdateringen blev udført via en proxy. |
| Fejl | Fejlkode, hvis opdateringen mislykkedes. |
| Grund | Fejlmeddelelse, hvis den opdaterede arkiverede. |
Datahændelser for ydeevne for produkter og tjenester for påkrævede diagnosticeringsdata
Uventet programafslutning (nedbrud):
Indsamler systemoplysninger og tilstanden for et program, når et program uventet afsluttes.
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| v1_crash_count | Antal gange, hvor V1-programmet gik ned hver time på klientcomputeren |
| v2_crash_count | Antal gange, hvor V2-programmet gik ned hver time på klientcomputeren |
| EDR_crash_count | Antal gange, EDR-processen gik ned hver time på klientcomputeren |
Statistik for kerneudvidelse:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| Version | Version af Microsoft Defender for Endpoint på macOS. |
| instance_id | Entydigt id genereret ved start af kerneudvidelse. |
| trace_level | Sporingsniveau for kerneudvidelsen. |
| Delsystemet | Det underliggende undersystem, der bruges til beskyttelse i realtid. |
| ipc.connects | Antal forbindelsesanmodninger, der er modtaget af kerneudvidelsen. |
| ipc.rejects | Antallet af forbindelsesanmodninger, der er afvist af kerneudvidelsen. |
| ipc.connected | Om der er nogen aktiv forbindelse til kerneudvidelsen. |
Supportdata
Diagnosticeringslogge:
Diagnosticeringslogge indsamles kun med brugerens samtykke som en del af funktionen til indsendelse af feedback. Følgende filer indsamles som en del af supportlogfilerne:
- Alle filer under /Library/Logs/Microsoft/mdatp/
- Undersæt af filer under /Library/Application Support/Microsoft/Defender/, der oprettes og bruges af Microsoft Defender for Endpoint på macOS
- Undersæt af filer under /Library/Managed Preferences, der bruges af Microsoft Defender for Endpoint på macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Valgfrie diagnostiske data
Valgfrie diagnosticeringsdata er yderligere data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.
Hvis du vælger at sende os valgfri diagnosticeringdata, er de påkrævede diagnosticeringsdata også inkluderet.
Eksempler på valgfrie diagnosticeringsdata omfatter data, som Microsoft indsamler om produktkonfiguration (f.eks. antal udeladelser, der er angivet på enheden) og produktydeevne (samlede målinger om produktets komponenters ydeevne).
Softwareinstallations- og lagerdatahændelser for valgfri diagnosticeringsdata
Microsoft Defender for Endpoint konfiguration:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| connection_retry_timeout | Der opstod timeout for forsøg på at oprette forbindelse, når der kommunikeres med cloudmiljøet. |
| file_hash_cache_maximum | Størrelsen på produktcachen. |
| crash_upload_daily_limit | Grænse for, hvor mange nedbrudslogge der uploades dagligt. |
| antivirus_engine.exclusions[].is_directory | Angiver, om udeladelse fra scanning er en mappe eller ej. |
| antivirus_engine.exclusions[].path | Sti, der blev udelukket fra scanning. |
| antivirus_engine.exclusions[].extension | Udvidelsen blev udelukket fra scanning. |
| antivirus_engine.exclusions[].name | Navnet på den fil, der ikke blev scannet. |
| antivirus_engine.scan_cache_maximum | Størrelsen på produktcachen. |
| antivirus_engine.maximum_scan_threads | Maksimalt antal tråde, der bruges til scanning. |
| antivirus_engine.threat_restoration_exclusion_time | Der opstod timeout, før en fil, der blev gendannet fra karantænen, kan registreres igen. |
| antivirus_engine.threat_type_settings | Konfiguration af, hvordan forskellige trusselstyper håndteres af produktet. |
| filesystem_scanner.full_scan_directory | Komplet scanningsmappe. |
| filesystem_scanner.quick_scan_directories | Liste over mapper, der bruges i hurtig scanning. |
| edr.latency_mode | Ventetidstilstand, der bruges af registrerings- og svarkomponenten. |
| edr.proxy_address | Proxyadresse, der bruges af registrerings- og svarkomponenten. |
Konfiguration af Microsoft Automatiske opdateringer:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| how_to_check | Bestemmer, hvordan produktopdateringer kontrolleres (f.eks. automatisk eller manuel). |
| channel_name | Opdater kanal, der er knyttet til enheden. |
| manifest_server | Server, der bruges til at hente opdateringer. |
| update_cache | Placeringen af den cache, der bruges til at gemme opdateringer. |
Brug af produkter og tjenester
Rapport over upload af diagnosticeringslog startet
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| sha256 | SHA256-id for supportloggen. |
| Størrelse | Størrelsen på supportloggen. |
| original_path | Sti til supportloggen (altid under /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Format | Format for supportloggen. |
| Metadata | Oplysninger om indholdet i supportloggen. |
Rapport over fuldført upload af diagnosticeringslog
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| request_id | Korrelations-id for anmodningen om upload af supportlog. |
| sha256 | SHA256-id for supportloggen. |
| blob_sas_uri | URI, der bruges af programmet til at uploade supportloggen. |
Datahændelser for produkt- og tjenesteydeevne for brug af produkter og tjenester
Uventet programafslutning (nedbrud):
Uventede programafslutninger samt programmets tilstand, når det sker.
Statistik for kerneudvidelse:
Følgende felter indsamles:
| Feltet | Beskrivelse |
|---|---|
| pkt_ack_timeout | Følgende egenskaber er aggregerede numeriske værdier, der repræsenterer antallet af hændelser, der er sket siden kerneudvidelsens start. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressourcer
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.