Share via


Beskyttelse af personlige oplysninger for Microsoft Defender for Endpoint på macOS

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Microsoft er forpligtet til at give dig de oplysninger og kontrolelementer, du skal bruge for at kunne træffe beslutninger om, hvordan dine data indsamles og bruges, når du bruger Microsoft Defender for Endpoint på macOS.

I dette emne beskrives de kontrolelementer til beskyttelse af personlige oplysninger, der er tilgængelige i produktet, hvordan du administrerer disse kontrolelementer med politikindstillinger og flere oplysninger om de datahændelser, der indsamles.

Oversigt over kontrolelementer til beskyttelse af personlige oplysninger i Microsoft Defender for Endpoint på macOS

I dette afsnit beskrives kontrolelementerne til beskyttelse af personlige oplysninger for de forskellige typer data, der indsamles af Microsoft Defender for Endpoint på macOS.

Diagnosticeringsdata

Diagnosticeringsdata bruges til at holde Microsoft Defender for Endpoint sikre og opdaterede, registrere, diagnosticere og løse problemer og også foretage produktforbedringer.

Visse diagnosticeringsdata er påkrævede, mens andre er valgfri. Vi giver dig på muligheden for at vælge, om du vil sende os påkrævede eller valgfrie diagnosticeringsdata ved hjælp af kontrolelementer for personlige oplysninger, f.eks. indstillinger for politik til organisationer.

Du kan vælge mellem to niveauer af diagnosticeringsdata til Microsoft Defender for Endpoint klientsoftware:

  • Påkrævet: Den mindste data, der er nødvendig for at holde Microsoft Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, den er installeret på.

  • Valgfrit: Yderligere data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.

Som standard sendes der kun påkrævede diagnosticeringsdata til Microsoft.

Cloud-leverede beskyttelsesdata

Cloudbaseret beskyttelse bruges til at give øget og hurtigere beskyttelse med adgang til de nyeste beskyttelsesdata i cloudmiljøet.

Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste, men det anbefales på det kraftigste, fordi det giver vigtig beskyttelse mod malware på dine slutpunkter og på tværs af dit netværk.

Eksempeldata

Eksempeldata bruges til at forbedre beskyttelsesfunktionerne for produktet ved at sende Microsofts mistænkelige eksempler, så de kan analyseres. Det er valgfrit at aktivere automatisk indsendelse af eksempel.

Når denne funktion er aktiveret, og det eksempel, der indsamles, sandsynligvis indeholder personlige oplysninger, bliver brugeren bedt om at give samtykke.

Administrere kontrolelementer til indstillinger for politik

Hvis du er it-administrator, kan det være en god idé at konfigurere disse kontrolelementer på virksomhedsniveau.

Kontrolelementerne for beskyttelse af personlige oplysninger for de forskellige typer data, der er beskrevet i det foregående afsnit, er beskrevet detaljeret i Angiv indstillinger for Microsoft Defender for Endpoint på macOS.

Som med alle nye politikindstillinger skal du omhyggeligt teste dem i et begrænset, kontrolleret miljø for at sikre, at de indstillinger, du konfigurerer, har den ønskede effekt, før du implementerer politikindstillingerne mere bredt i din organisation.

Hændelser for diagnosticeringsdata

I dette afsnit beskrives det, hvad der betragtes som påkrævede diagnosticeringsdata, og hvad der betragtes som valgfrie diagnosticeringsdata, sammen med en beskrivelse af de hændelser og felter, der indsamles.

Datafelter, der er fælles for alle hændelser

Der er nogle oplysninger om hændelser, som er fælles for alle hændelser, uanset hvilken kategori eller dataundertype der er tale om.

Følgende felter anses for at være almindelige for alle hændelser:

Feltet Beskrivelse
Platform Den brede klassificering af den platform, som appen kører på. Giver Microsoft mulighed for at identificere, på hvilke platforme der kan opstå et problem, så det kan prioriteres korrekt.
machine_guid Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
sense_guid Entydigt id, der er knyttet til enheden. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
org_id Entydigt id, der er knyttet til den virksomhed, som enheden tilhører. Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt virksomheder, og hvor mange virksomheder der påvirkes.
Værtsnavn Navn på lokal enhed (uden DNS-suffiks). Giver Microsoft mulighed for at identificere, om problemer påvirker et udvalgt sæt installationer, og hvor mange brugere der påvirkes.
product_guid Entydigt id for produktet. Giver Microsoft mulighed for at differentiere problemer, der påvirker forskellige varianter af produktet.
app_version Version af Microsoft Defender for Endpoint på macOS-programmet. Giver Microsoft mulighed for at identificere, hvilke versioner af produktet der viser et problem, så det kan prioriteres korrekt.
sig_version Version af security intelligence-database. Giver Microsoft mulighed for at identificere, hvilke versioner af sikkerhedsintelligensen der viser et problem, så det kan prioriteres korrekt.
supported_compressions Liste over komprimeringsalgoritmer, der understøttes af programmet, f.eks ['gzip']. . Giver Microsoft mulighed for at forstå, hvilke typer komprimeringer der kan bruges, når microsoft kommunikerer med programmet.
release_ring Ring, som enheden er knyttet til (f.eks. Insider Fast, Insider Slow, Production). Giver Microsoft mulighed for at identificere, på hvilken udgivelsesring der kan opstå et problem, så det kan prioriteres korrekt.

Obligatoriske diagnosticeringsdata

Påkrævede diagnosticeringsdata er den mindste data, der er nødvendig for at holde Microsoft Defender for Endpoint sikker, opdateret og fungere som forventet på den enhed, den er installeret på.

Påkrævede diagnosticeringsdata hjælper med at identificere problemer med Microsoft Defender for Endpoint, der kan være relateret til en enheds- eller softwarekonfiguration. Det kan f.eks. hjælpe med at afgøre, om en Microsoft Defender for Endpoint funktion går ned oftere på en bestemt operativsystemversion med nyligt introducerede funktioner, eller hvornår visse Microsoft Defender for Endpoint funktioner er deaktiveret. Påkrævede diagnosticeringsdata hjælper Microsoft med hurtigere at registrere, diagnosticere og løse disse problemer, så indvirkningen på brugere eller organisationer reduceres.

Hændelser tilknyttet data for softwarekonfiguration og lager

Microsoft Defender for Endpoint installation/fjernelse:

Følgende felter indsamles:

Feltet Beskrivelse
correlation_id Entydigt id, der er knyttet til installationen.
Version Version af pakken.
Sværhedsgraden Meddelelsens alvorsgrad (f.eks. information).
Kode Kode, der beskriver handlingen.
Tekst Yderligere oplysninger, der er knyttet til produktinstallationen.

Microsoft Defender for Endpoint konfiguration:

Følgende felter indsamles:

Feltet Beskrivelse
antivirus_engine.enable_real_time_protection Uanset om beskyttelse i realtid er aktiveret på enheden eller ej.
antivirus_engine.passive_mode Angiver, om passiv tilstand er aktiveret på enheden eller ej.
cloud_service.enabled Angiver, om cloudbaseret beskyttelse er aktiveret på enheden eller ej.
cloud_service.timeout Få timeout, når programmet kommunikerer med Microsoft Defender for Endpoint cloudmiljøet.
cloud_service.heartbeat_interval Interval mellem fortløbende impulser, der sendes af produktet til cloudmiljøet.
cloud_service.service_uri URI bruges til at kommunikere med cloudmiljøet.
cloud_service.diagnostic_level Diagnosticeringsniveau for enheden (påkrævet, valgfrit).
cloud_service.automatic_sample_submission Angiver, om automatisk indsendelse af eksempel er slået til eller fra.
cloud_service.automatic_definition_update_enabled Angiver, om automatisk definitionsopdatering er aktiveret eller ej.
edr.early_preview Angiver, om enheden skal køre EDR-funktioner til tidlig prøveversion.
edr.group_id Gruppe-id, der bruges af registrerings- og svarkomponenten.
edr.tags Brugerdefinerede mærker.
Funktioner. [valgfrit funktionsnavn] Liste over prøveversionsfunktioner sammen med, om de er aktiveret eller ej.

Datahændelser i forbindelse med brug af produkter og tjenester

Rapport over opdatering af sikkerhedsintelligens:

Følgende felter indsamles:

Feltet Beskrivelse
from_version Oprindelig version af security intelligence.
to_version Ny version af security intelligence.
Status Status for opdateringen, der angiver, om det lykkedes eller mislykkedes.
using_proxy Angiver, om opdateringen blev udført via en proxy.
Fejl Fejlkode, hvis opdateringen mislykkedes.
Grund Fejlmeddelelse, hvis den opdaterede arkiverede.

Datahændelser for ydeevne for produkter og tjenester for påkrævede diagnosticeringsdata

Uventet programafslutning (nedbrud):

Indsamler systemoplysninger og tilstanden for et program, når et program uventet afsluttes.

Følgende felter indsamles:

Feltet Beskrivelse
v1_crash_count Antal gange, hvor V1-programmet gik ned hver time på klientcomputeren
v2_crash_count Antal gange, hvor V2-programmet gik ned hver time på klientcomputeren
EDR_crash_count Antal gange, EDR-processen gik ned hver time på klientcomputeren

Statistik for kerneudvidelse:

Følgende felter indsamles:

Feltet Beskrivelse
Version Version af Microsoft Defender for Endpoint på macOS.
instance_id Entydigt id genereret ved start af kerneudvidelse.
trace_level Sporingsniveau for kerneudvidelsen.
Delsystemet Det underliggende undersystem, der bruges til beskyttelse i realtid.
ipc.connects Antal forbindelsesanmodninger, der er modtaget af kerneudvidelsen.
ipc.rejects Antallet af forbindelsesanmodninger, der er afvist af kerneudvidelsen.
ipc.connected Om der er nogen aktiv forbindelse til kerneudvidelsen.

Supportdata

Diagnosticeringslogge:

Diagnosticeringslogge indsamles kun med brugerens samtykke som en del af funktionen til indsendelse af feedback. Følgende filer indsamles som en del af supportlogfilerne:

  • Alle filer under /Library/Logs/Microsoft/mdatp/
  • Undersæt af filer under /Library/Application Support/Microsoft/Defender/, der oprettes og bruges af Microsoft Defender for Endpoint på macOS
  • Undersæt af filer under /Library/Managed Preferences, der bruges af Microsoft Defender for Endpoint på macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Valgfrie diagnostiske data

Valgfrie diagnosticeringsdata er yderligere data, der hjælper Microsoft med at foretage produktforbedringer og indeholder forbedrede oplysninger, der hjælper med at registrere, diagnosticere og løse problemer.

Hvis du vælger at sende os valgfri diagnosticeringdata, er de påkrævede diagnosticeringsdata også inkluderet.

Eksempler på valgfrie diagnosticeringsdata omfatter data, som Microsoft indsamler om produktkonfiguration (f.eks. antal udeladelser, der er angivet på enheden) og produktydeevne (samlede målinger om produktets komponenters ydeevne).

Softwareinstallations- og lagerdatahændelser for valgfri diagnosticeringsdata

Microsoft Defender for Endpoint konfiguration:

Følgende felter indsamles:

Feltet Beskrivelse
connection_retry_timeout Der opstod timeout for forsøg på at oprette forbindelse, når der kommunikeres med cloudmiljøet.
file_hash_cache_maximum Størrelsen på produktcachen.
crash_upload_daily_limit Grænse for, hvor mange nedbrudslogge der uploades dagligt.
antivirus_engine.exclusions[].is_directory Angiver, om udeladelse fra scanning er en mappe eller ej.
antivirus_engine.exclusions[].path Sti, der blev udelukket fra scanning.
antivirus_engine.exclusions[].extension Udvidelsen blev udelukket fra scanning.
antivirus_engine.exclusions[].name Navnet på den fil, der ikke blev scannet.
antivirus_engine.scan_cache_maximum Størrelsen på produktcachen.
antivirus_engine.maximum_scan_threads Maksimalt antal tråde, der bruges til scanning.
antivirus_engine.threat_restoration_exclusion_time Der opstod timeout, før en fil, der blev gendannet fra karantænen, kan registreres igen.
antivirus_engine.threat_type_settings Konfiguration af, hvordan forskellige trusselstyper håndteres af produktet.
filesystem_scanner.full_scan_directory Komplet scanningsmappe.
filesystem_scanner.quick_scan_directories Liste over mapper, der bruges i hurtig scanning.
edr.latency_mode Ventetidstilstand, der bruges af registrerings- og svarkomponenten.
edr.proxy_address Proxyadresse, der bruges af registrerings- og svarkomponenten.

Konfiguration af Microsoft Automatiske opdateringer:

Følgende felter indsamles:

Feltet Beskrivelse
how_to_check Bestemmer, hvordan produktopdateringer kontrolleres (f.eks. automatisk eller manuel).
channel_name Opdater kanal, der er knyttet til enheden.
manifest_server Server, der bruges til at hente opdateringer.
update_cache Placeringen af den cache, der bruges til at gemme opdateringer.

Brug af produkter og tjenester

Rapport over upload af diagnosticeringslog startet

Følgende felter indsamles:

Feltet Beskrivelse
sha256 SHA256-id for supportloggen.
Størrelse Størrelsen på supportloggen.
original_path Sti til supportloggen (altid under /Library/Application Support/Microsoft/Defender/wdavdiag/).
Format Format for supportloggen.
Metadata Oplysninger om indholdet i supportloggen.

Rapport over fuldført upload af diagnosticeringslog

Følgende felter indsamles:

Feltet Beskrivelse
request_id Korrelations-id for anmodningen om upload af supportlog.
sha256 SHA256-id for supportloggen.
blob_sas_uri URI, der bruges af programmet til at uploade supportloggen.

Datahændelser for produkt- og tjenesteydeevne for brug af produkter og tjenester

Uventet programafslutning (nedbrud):

Uventede programafslutninger samt programmets tilstand, når det sker.

Statistik for kerneudvidelse:

Følgende felter indsamles:

Feltet Beskrivelse
pkt_ack_timeout Følgende egenskaber er aggregerede numeriske værdier, der repræsenterer antallet af hændelser, der er sket siden kerneudvidelsens start.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ressourcer

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.