Læs på engelsk

Del via


Beskyttelse af personlige oplysninger for Microsoft Defender for Endpoint på Linux

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Microsoft er forpligtet til at give dig de oplysninger og kontrolelementer, du skal bruge for at kunne træffe beslutninger om, hvordan dine data indsamles og bruges, når du bruger Defender for Endpoint på Linux.

I denne artikel beskrives de kontrolelementer til beskyttelse af personlige oplysninger, der er tilgængelige i produktet, hvordan du administrerer disse kontrolelementer med politikindstillinger, og flere oplysninger om de datahændelser, der indsamles.

Oversigt over kontrolelementer til beskyttelse af personlige oplysninger i Microsoft Defender for Endpoint på Linux

I dette afsnit beskrives kontrolelementerne til beskyttelse af personlige oplysninger for de forskellige typer data, der indsamles af Defender for Endpoint på Linux.

Diagnosticeringsdata

Diagnosticeringsdata bruges til at holde Defender for Endpoint sikker og opdateret, registrere, diagnosticere og løse problemer og også foretage produktforbedringer.

Visse diagnosticeringsdata er påkrævede, mens andre er valgfri. Vi giver dig mulighed for at vælge, om du vil sende os påkrævede eller valgfrie diagnosticeringsdata ved hjælp af kontrolelementer til beskyttelse af personlige oplysninger, f.eks. politikindstillinger for organisationer.

Du kan vælge mellem to niveauer af diagnosticeringsdata til Defender for Endpoint-klientsoftware:

  • Påkrævet: Den mindste data, der er nødvendig for at holde Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, den er installeret på.
  • Valgfrit: Andre data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.

Som standard sendes der kun påkrævede diagnosticeringsdata til Microsoft.

Cloud-leverede beskyttelsesdata

Cloudbaseret beskyttelse bruges til at give øget og hurtigere beskyttelse med adgang til de nyeste beskyttelsesdata i cloudmiljøet.

Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste, men det anbefales på det kraftigste, fordi det giver vigtig beskyttelse mod malware på dine slutpunkter og på tværs af dit netværk.

Eksempeldata

Eksempeldata bruges til at forbedre beskyttelsesfunktionerne for produktet ved at sende Microsofts mistænkelige eksempler, så de kan analyseres. Det er valgfrit at aktivere automatisk indsendelse af eksempel.

Der er tre niveauer til styring af indsendelse af eksempler:

  • Ingen: Der sendes ingen mistænkelige eksempler til Microsoft.
  • Sikkert: Det er kun mistænkelige eksempler, der ikke indeholder personidentificerbare oplysninger, der sendes automatisk. Dette er standardværdien.
  • Alle: Alle mistænkelige eksempler sendes til Microsoft.

Administrere kontrolelementer til indstillinger for politik

Hvis du er it-administrator, kan det være en god idé at konfigurere disse kontrolelementer på virksomhedsniveau.

Kontrolelementerne til beskyttelse af personlige oplysninger for de forskellige typer data, der er beskrevet i det foregående afsnit, er beskrevet detaljeret i Angiv indstillinger for Defender for Endpoint på Linux.

Som med alle nye politikindstillinger skal du omhyggeligt teste dem i et begrænset, kontrolleret miljø for at sikre, at de indstillinger, du konfigurerer, har den ønskede effekt, før du implementerer politikindstillingerne mere bredt i din organisation.

Hændelser for diagnosticeringsdata

I dette afsnit beskrives det, hvad der betragtes som påkrævede diagnosticeringsdata, og hvad der betragtes som valgfrie diagnosticeringsdata, sammen med en beskrivelse af de hændelser og felter, der indsamles.

Datafelter, der er fælles for alle hændelser

Der er nogle oplysninger om hændelser, som er fælles for alle hændelser, uanset hvilken kategori eller dataundertype der er tale om.

Følgende felter anses for at være almindelige for alle hændelser:

Mark Beskrivelse
perron Den brede klassificering af den platform, som appen kører på. Giver Microsoft mulighed for at identificere, på hvilke platforme der kan opstå et problem, så det kan prioriteres korrekt.
machine_guid Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
sense_guid Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
org_id Entydigt id, der er knyttet til den virksomhed, som enheden tilhører. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt virksomheder, og hvor mange virksomheder der påvirkes.
værtsnavn Navn på lokal enhed (uden DNS-suffiks). Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
product_guid Entydigt id for produktet. Giver Microsoft mulighed for at differentiere problemer, der påvirker forskellige varianter af produktet.
app_version Version af Defender for Endpoint på Linux-programmet. Giver Microsoft mulighed for at identificere, hvilke versioner af produktet der viser et problem, så det kan prioriteres korrekt.
sig_version Version af security intelligence-database. Giver Microsoft mulighed for at identificere, hvilke versioner af sikkerhedsintelligensen der viser et problem, så det kan prioriteres korrekt.
supported_compressions Liste over komprimeringsalgoritmer, der understøttes af programmet, f.eks ['gzip']. . Giver Microsoft mulighed for at forstå, hvilke typer komprimeringer der kan bruges, når microsoft kommunikerer med programmet.
release_ring Ring, som enheden er knyttet til (f.eks. Insider Fast, Insider Slow, Production). Giver Microsoft mulighed for at identificere, på hvilken udgivelsesring der kan opstå et problem, så det kan prioriteres korrekt.

Obligatoriske diagnosticeringsdata

Påkrævede diagnosticeringsdata er den mindste data, der er nødvendig for at holde Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, som den er installeret på.

Påkrævede diagnosticeringsdata hjælper med at identificere problemer med Microsoft Defender for Endpoint, der kan være relateret til en enheds- eller softwarekonfiguration. Det kan f.eks. hjælpe med at afgøre, om en Defender for Endpoint-funktion går ned oftere på en bestemt operativsystemversion med nyligt introducerede funktioner, eller hvornår visse funktioner i Defender for Endpoint er deaktiveret. Påkrævede diagnosticeringsdata hjælper Microsoft med hurtigere at registrere, diagnosticere og løse disse problemer, så indvirkningen på brugere eller organisationer reduceres.

Hændelser tilknyttet data for softwarekonfiguration og lager

Microsoft Defender for Endpoint installation/fjernelse:

Følgende felter indsamles:

Mark Beskrivelse
correlation_id Entydigt id, der er knyttet til installationen.
version Version af pakken.
alvorlighed Meddelelsens alvorsgrad (f.eks. information).
kodeks Kode, der beskriver handlingen.
Tekst Yderligere oplysninger, der er knyttet til produktinstallationen.

Microsoft Defender for Endpoint konfiguration:

Følgende felter indsamles:

Mark Beskrivelse
antivirus_engine.enable_real_time_protection Uanset om beskyttelse i realtid er aktiveret på enheden eller ej.
antivirus_engine.passive_mode Angiver, om passiv tilstand er aktiveret på enheden eller ej.
cloud_service.enabled Angiver, om cloudbaseret beskyttelse er aktiveret på enheden eller ej.
cloud_service.timeout Timeout, når programmet kommunikerer med Defender for Endpoint-cloudmiljøet.
cloud_service.heartbeat_interval Interval mellem fortløbende impulser, der sendes af produktet til cloudmiljøet.
cloud_service.service_uri URI bruges til at kommunikere med cloudmiljøet.
cloud_service.diagnostic_level Diagnosticeringsniveau for enheden (påkrævet, valgfrit).
cloud_service.automatic_sample_submission Automatisk indsendelsesniveau for eksempel på enheden (ingen, sikker, alle).
cloud_service.automatic_definition_update_enabled Angiver, om automatisk definitionsopdatering er aktiveret eller ej.
edr.early_preview Angiver, om enheden skal køre EDR-funktioner til tidlig prøveversion.
edr.group_id Gruppe-id, der bruges af registrerings- og svarkomponenten.
edr.tags Brugerdefinerede mærker.
Funktioner. [valgfrit funktionsnavn] Liste over prøveversionsfunktioner sammen med, om de er aktiveret eller ej.

Datahændelser i forbindelse med brug af produkter og tjenester

Rapport over opdatering af sikkerhedsintelligens:

Følgende felter indsamles:

Mark Beskrivelse
from_version Oprindelig version af security intelligence.
to_version Ny version af security intelligence.
status Status for opdateringen, der angiver, om det lykkedes eller mislykkedes.
using_proxy Angiver, om opdateringen blev udført via en proxy.
fejl Fejlkode, hvis opdateringen mislykkedes.
årsag Fejlmeddelelse, hvis opdateringen mislykkedes.

Datahændelser for ydeevne for produkter og tjenester for påkrævede diagnosticeringsdata

Statistik for kerneudvidelse:

Følgende felter indsamles:

Mark Beskrivelse
version Version af Defender for Endpoint på Linux.
instance_id Entydigt id genereret ved start af kerneudvidelse.
trace_level Sporingsniveau for kerneudvidelsen.
Delsystemet Det underliggende undersystem, der bruges til beskyttelse i realtid.
ipc.connects Antal forbindelsesanmodninger, der er modtaget af kerneudvidelsen.
ipc.rejects Antallet af forbindelsesanmodninger, der er afvist af kerneudvidelsen.
ipc.connected Om der er nogen aktiv forbindelse til kerneudvidelsen.

Supportdata

Diagnosticeringslogge:

Diagnosticeringslogge indsamles kun med brugerens samtykke som en del af funktionen til indsendelse af feedback. Følgende filer indsamles som en del af supportlogfilerne:

  • Alle filer under /var/log/microsoft/mdatp
  • Undersæt af filer under /etc/opt/microsoft/mdatp , der oprettes og bruges af Defender for Endpoint på Linux
  • Logfiler for produktinstallation og fjernelse under /var/log/microsoft/mdatp/*.log

Valgfrie diagnostiske data

Valgfrie diagnosticeringsdata er yderligere data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.

Hvis du vælger at sende os valgfri diagnosticeringdata, er de påkrævede diagnosticeringsdata også inkluderet.

Eksempler på valgfrie diagnosticeringsdata omfatter data, som Microsoft indsamler om produktkonfiguration (f.eks. antal udeladelser, der er angivet på enheden) og produktydeevne (samlede målinger om produktets komponenters ydeevne).

Softwareinstallations- og lagerdatahændelser for valgfri diagnosticeringsdata

Microsoft Defender for Endpoint konfiguration:

Følgende felter indsamles:

Mark Beskrivelse
connection_retry_timeout Der opstod timeout for forsøg på at oprette forbindelse, når der kommunikeres med cloudmiljøet.
file_hash_cache_maximum Størrelsen på produktcachen.
crash_upload_daily_limit Grænse for, hvor mange nedbrudslogge der uploades dagligt.
antivirus_engine.exclusions[].is_directory Angiver, om udeladelse fra scanning er en mappe eller ej.
antivirus_engine.exclusions[].path Sti, der blev udelukket fra scanning.
antivirus_engine.exclusions[].extension Udvidelsen blev udelukket fra scanning.
antivirus_engine.exclusions[].name Navnet på den fil, der ikke blev scannet.
antivirus_engine.scan_cache_maximum Størrelsen på produktcachen.
antivirus_engine.maximum_scan_threads Maksimalt antal tråde, der bruges til scanning.
antivirus_engine.threat_restoration_exclusion_time Der opstod timeout, før en fil, der blev gendannet fra karantænen, kan registreres igen.
antivirus_engine.threat_type_settings Konfiguration af, hvordan forskellige trusselstyper håndteres af produktet.
filesystem_scanner.full_scan_directory Komplet scanningsmappe.
filesystem_scanner.quick_scan_directories Liste over mapper, der bruges i hurtig scanning.
edr.latency_mode Ventetidstilstand, der bruges af registrerings- og svarkomponenten.
edr.proxy_address Proxyadresse, der bruges af registrerings- og svarkomponenten.

Konfiguration af Microsoft Automatiske opdateringer:

Følgende felter indsamles:

Mark Beskrivelse
how_to_check Bestemmer, hvordan produktopdateringer kontrolleres (f.eks. automatisk eller manuel).
channel_name Opdater kanal, der er knyttet til enheden.
manifest_server Server, der bruges til at hente opdateringer.
update_cache Placeringen af den cache, der bruges til at gemme opdateringer.

Brug af produkter og tjenester

Rapport over upload af diagnosticeringslog startet

Følgende felter indsamles:

Mark Beskrivelse
sha256 SHA256-id for supportloggen.
størrelse Størrelsen på supportloggen.
original_path Sti til supportloggen (altid under /var/opt/microsoft/mdatp/wdavdiag/).
format Format for supportloggen.

Rapport over fuldført upload af diagnosticeringslog

Følgende felter indsamles:

Mark Beskrivelse
request_id Korrelations-id for anmodningen om upload af supportlog.
sha256 SHA256-id for supportloggen.
blob_sas_uri URI, der bruges af programmet til at uploade supportloggen.

Datahændelser for produkt- og tjenesteydeevne for produkttjeneste og -brug

Uventet programafslutning (nedbrud):

Uventede programafslutninger samt programmets tilstand, når det sker.

Statistik for kerneudvidelse:

Følgende felter indsamles:

Mark Beskrivelse
pkt_ack_timeout Følgende egenskaber er aggregerede numeriske værdier, der repræsenterer antallet af hændelser, der er sket siden kerneudvidelsens start.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ressourcer

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.