Datenschutz für Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Microsoft ist bestrebt, Ihnen die Informationen und Kontrollen zur Verfügung zu stellen, die Sie benötigen, um Entscheidungen darüber zu treffen, wie Ihre Daten gesammelt und verwendet werden, wenn Sie Defender für Endpunkt unter Linux verwenden.
In diesem Artikel werden die im Produkt verfügbaren Datenschutzsteuerelemente, die Verwaltung dieser Steuerelemente mit Richtlinieneinstellungen und weitere Details zu den gesammelten Datenereignissen beschrieben.
Übersicht über Datenschutzsteuerelemente in Microsoft Defender for Endpoint unter Linux
In diesem Abschnitt werden die Datenschutzsteuerelemente für die verschiedenen Datentypen beschrieben, die von Defender für Endpunkt unter Linux gesammelt werden.
Diagnosedaten
Diagnosedaten werden verwendet, um Defender für Endpunkt sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen.
Einige Diagnosedaten sind erforderlich, während andere Diagnosedaten optional sind. Wir geben Ihnen die Möglichkeit, auszuwählen, ob Sie uns erforderliche oder optionale Diagnosedaten senden möchten, indem Sie Datenschutzkontrollen verwenden, z. B. Richtlinieneinstellungen für Organisationen.
Es gibt zwei Ebenen von Diagnosedaten für Defender für Endpunkt-Clientsoftware, aus denen Sie wählen können:
- Erforderlich: Die Mindestdaten, die erforderlich sind, um Defender für Endpunkt auf dem Gerät, auf dem es installiert ist, sicher, auf dem neuesten Stand zu halten und wie erwartet zu funktionieren.
- Optional: Weitere Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen zur Erkennung, Diagnose und Behebung von Problemen zu bieten.
Standardmäßig werden nur erforderliche Diagnosedaten an Microsoft gesendet.
Von der Cloud bereitgestellte Schutzdaten
Der von der Cloud bereitgestellte Schutz wird verwendet, um einen höheren und schnelleren Schutz mit Zugriff auf die neuesten Schutzdaten in der Cloud bereitzustellen.
Das Aktivieren des von der Cloud bereitgestellten Schutzdiensts ist optional. Es wird jedoch dringend empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im gesamten Netzwerk bietet.
Beispieldaten
Beispieldaten werden verwendet, um die Schutzfunktionen des Produkts zu verbessern, indem verdächtige Microsoft-Proben gesendet werden, damit sie analysiert werden können. Das Aktivieren der automatischen Beispielübermittlung ist optional.
Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:
- Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
- Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert.
- Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.
Verwalten von Datenschutzsteuerelementen mit Richtlinieneinstellungen
Wenn Sie IT-Administrator sind, sollten Sie diese Steuerelemente auf Unternehmensebene konfigurieren.
Die im vorherigen Abschnitt beschriebenen Datenschutzsteuerelemente für die verschiedenen Datentypen werden unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux ausführlich beschrieben.
Wie bei allen neuen Richtlinieneinstellungen sollten Sie sie sorgfältig in einer eingeschränkten, kontrollierten Umgebung testen, um sicherzustellen, dass die von Ihnen konfigurierten Einstellungen die gewünschte Wirkung haben, bevor Sie die Richtlinieneinstellungen in Ihrem organization umfassender implementieren.
Diagnosedatenereignisse
In diesem Abschnitt wird beschrieben, was als erforderliche Diagnosedaten betrachtet wird und was als optionale Diagnosedaten betrachtet wird, zusammen mit einer Beschreibung der Ereignisse und Felder, die gesammelt werden.
Datenfelder, die für alle Ereignisse gemeinsam sind
Es gibt einige Informationen über Ereignisse, die allen Ereignissen gemeinsam sind, unabhängig von der Kategorie oder dem Untertyp der Daten.
Die folgenden Felder gelten als allgemein für alle Ereignisse:
| Feld | Beschreibung |
|---|---|
| Plattform | Die allgemeine Klassifizierung der Plattform, auf der die App ausgeführt wird. Ermöglicht Es Microsoft, zu ermitteln, auf welchen Plattformen ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann. |
| machine_guid | Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| sense_guid | Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| org_id | Eindeutiger Bezeichner, der dem Unternehmen zugeordnet ist, zu dem das Gerät gehört. Ermöglicht Es Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Unternehmen auswirken und wie viele Unternehmen betroffen sind. |
| Hostname | Lokaler Gerätename (ohne DNS-Suffix). Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| product_guid | Eindeutiger Bezeichner des Produkts. Ermöglicht Es Microsoft, Probleme zu unterscheiden, die sich auf verschiedene Varianten des Produkts auswirken. |
| app_version | Version der Anwendung Defender für Endpunkt unter Linux. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen des Produkts ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann. |
| sig_version | Version der Security Intelligence-Datenbank. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen der Sicherheitsintelligenz ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann. |
| supported_compressions | Liste der von der Anwendung unterstützten Komprimierungsalgorithmen, z. B ['gzip']. . Ermöglicht Microsoft zu verstehen, welche Arten von Komprimierungen verwendet werden können, wenn es mit der Anwendung kommuniziert. |
| release_ring | Ring, dem das Gerät zugeordnet ist (z. B. Insider Fast, Insider Slow, Production). Ermöglicht Es Microsoft, zu ermitteln, in welchem Releasering ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann. |
Erforderliche Diagnosedaten
Erforderliche Diagnosedaten sind die Mindestdaten, die erforderlich sind, um Defender für Endpunkt sicher, auf dem neuesten Stand zu halten und auf dem Gerät, auf dem es installiert ist, wie erwartet ausgeführt zu werden.
Erforderliche Diagnosedaten helfen beim Identifizieren von Problemen mit Microsoft Defender for Endpoint, die möglicherweise mit einer Geräte- oder Softwarekonfiguration zusammenhängen. So kann beispielsweise ermittelt werden, ob ein Defender für Endpunkt-Feature bei einer bestimmten Betriebssystemversion, mit neu eingeführten Features oder wenn bestimmte Defender für Endpunkt-Features deaktiviert sind, häufiger abstürzt. Die erforderlichen Diagnosedaten helfen Microsoft, diese Probleme schneller zu erkennen, zu diagnostizieren und zu beheben, sodass die Auswirkungen auf Benutzer oder Organisationen reduziert werden.
Softwaresetup und Inventurdatenereignisse
Microsoft Defender for Endpoint Installation/Deinstallation:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| correlation_id | Eindeutiger Bezeichner, der der Installation zugeordnet ist. |
| Version | Version des Pakets. |
| Schweregrad | Schweregrad der Nachricht (z. B. Information). |
| code | Code, der den Vorgang beschreibt. |
| text | Zusätzliche Informationen im Zusammenhang mit der Produktinstallation. |
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| antivirus_engine.enable_real_time_protection | Gibt an, ob der Echtzeitschutz auf dem Gerät aktiviert ist oder nicht. |
| antivirus_engine.passive_mode | Gibt an, ob der passive Modus auf dem Gerät aktiviert ist. |
| cloud_service.enabled | Gibt an, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht. |
| cloud_service.timeout | Timeout, wenn die Anwendung mit der Defender für Endpunkt-Cloud kommuniziert. |
| cloud_service.heartbeat_interval | Intervall zwischen aufeinander folgenden Heartbeats, die vom Produkt an die Cloud gesendet werden. |
| cloud_service.service_uri | URI, der für die Kommunikation mit der Cloud verwendet wird. |
| cloud_service.diagnostic_level | Diagnoseebene des Geräts (erforderlich, optional). |
| cloud_service.automatic_sample_submission | Automatische Stichprobenübermittlungsebene des Geräts (keine, sicher, alle). |
| cloud_service.automatic_definition_update_enabled | Gibt an, ob die automatische Definitionsaktualisierung aktiviert ist. |
| edr.early_preview | Gibt an, ob auf dem Gerät EDR Early Preview-Features ausgeführt werden sollen. |
| edr.group_id | Gruppenbezeichner, der von der Erkennungs- und Antwortkomponente verwendet wird. |
| edr.tags | Benutzerdefinierte Tags. |
| Funktionen. [optionaler Featurename] | Liste der Vorschaufeatures, zusammen mit der Angabe, ob sie aktiviert sind oder nicht. |
Produkt- und Dienstverwendungsdatenereignisse
Security Intelligence-Updatebericht:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| from_version | Ursprüngliche Security Intelligence-Version. |
| to_version | Neue Security Intelligence-Version. |
| status | Status des Updates, der den Erfolg oder Fehler angibt. |
| using_proxy | Gibt an, ob das Update über einen Proxy durchgeführt wurde. |
| error | Fehlercode, wenn das Update fehlgeschlagen ist. |
| reason | Fehlermeldung, wenn beim Update ein Fehler aufgetreten ist. |
Produkt- und Dienstleistungsdatenereignisse für erforderliche Diagnosedaten
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| Version | Version von Defender für Endpunkt unter Linux. |
| instance_id | Eindeutiger Bezeichner, der beim Start der Kernelerweiterung generiert wird. |
| trace_level | Ablaufverfolgungsebene der Kernelerweiterung. |
| Subsystem | Das zugrunde liegende Subsystem, das für den Echtzeitschutz verwendet wird. |
| ipc.connects | Anzahl der von der Kernelerweiterung empfangenen Verbindungsanforderungen. |
| ipc.rejects | Anzahl von Verbindungsanforderungen, die von der Kernelerweiterung abgelehnt wurden. |
| ipc.connected | Gibt an, ob eine aktive Verbindung mit der Kernelerweiterung besteht. |
Supportdaten
Diagnoseprotokolle:
Diagnoseprotokolle werden nur mit zustimmung des Benutzers im Rahmen der Feedbackübermittlungsfunktion gesammelt. Die folgenden Dateien werden als Teil der Supportprotokolle gesammelt:
- Alle Dateien unter /var/log/microsoft/mdatp
- Teilmenge der Dateien unter "/etc/opt/microsoft/mdatp ", die von Defender für Endpunkt unter Linux erstellt und verwendet werden
- Produktinstallations- und Deinstallationsprotokolle unter /var/log/microsoft/mdatp/*.log
Optionale Diagnosedaten
Optionale Diagnosedaten sind zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen bereitzustellen, um Probleme zu erkennen, zu diagnostizieren und zu beheben.
Wenn Sie sich dafür entscheiden, uns optionale Diagnosedaten zu senden, werden auch die erforderlichen Diagnosedaten mitgeliefert.
Beispiele für optionale Diagnosedaten sind Daten, die Microsoft über die Produktkonfiguration (z. B. die Anzahl der auf dem Gerät festgelegten Ausschlüsse) und die Produktleistung (aggregierte Measures zur Leistung von Komponenten des Produkts) sammelt.
Softwareeinrichtung und Inventurdatenereignisse für optionale Diagnosedaten
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| connection_retry_timeout | Timeout bei verbindungswieden Wiederholungen bei der Kommunikation mit der Cloud. |
| file_hash_cache_maximum | Größe des Produktcaches. |
| crash_upload_daily_limit | Limit der täglich hochgeladenen Absturzprotokolle. |
| antivirus_engine.exclusions[].is_directory | Gibt an, ob der Ausschluss von der Überprüfung ein Verzeichnis ist oder nicht. |
| antivirus_engine.exclusions[].path | Pfad, der von der Überprüfung ausgeschlossen wurde. |
| antivirus_engine.exclusions[].extension | Erweiterung vom Scannen ausgeschlossen. |
| antivirus_engine.exclusions[].name | Der Name der Datei, die von der Überprüfung ausgeschlossen ist. |
| antivirus_engine.scan_cache_maximum | Größe des Produktcaches. |
| antivirus_engine.maximum_scan_threads | Maximale Anzahl von Threads, die für die Überprüfung verwendet werden. |
| antivirus_engine.threat_restoration_exclusion_time | Timeout, bevor eine aus der Quarantäne wiederhergestellte Datei wieder erkannt werden kann. |
| antivirus_engine.threat_type_settings | Konfiguration, wie verschiedene Bedrohungstypen vom Produkt behandelt werden. |
| filesystem_scanner.full_scan_directory | Verzeichnis der vollständigen Überprüfung. |
| filesystem_scanner.quick_scan_directories | Liste der Verzeichnisse, die bei der Schnellüberprüfung verwendet werden. |
| edr.latency_mode | Latenzmodus, der von der Erkennungs- und Antwortkomponente verwendet wird. |
| edr.proxy_address | Proxyadresse, die von der Erkennungs- und Antwortkomponente verwendet wird. |
Microsoft Auto-Update-Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| how_to_check | Bestimmt, wie Produktupdates überprüft werden (z. B. automatisch oder manuell). |
| channel_name | Updatekanal, der dem Gerät zugeordnet ist. |
| manifest_server | Server, der zum Herunterladen von Updates verwendet wird. |
| update_cache | Speicherort des Caches, der zum Speichern von Updates verwendet wird. |
Produkt- und Dienstnutzung
Bericht zum Hochladen des Diagnoseprotokolls wurde gestartet
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| sha256 | SHA256-Bezeichner des Supportprotokolls. |
| size | Größe des Supportprotokolls. |
| original_path | Pfad zum Supportprotokoll (immer unter /var/opt/microsoft/mdatp/wdavdiag/). |
| Format | Format des Supportprotokolls. |
Abgeschlossener Bericht zum Hochladen des Diagnoseprotokolls
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| request_id | Korrelations-ID für die Anforderung zum Hochladen des Supportprotokolls. |
| sha256 | SHA256-Bezeichner des Supportprotokolls. |
| blob_sas_uri | URI, der von der Anwendung zum Hochladen des Supportprotokolls verwendet wird. |
Produkt- und Dienstleistungsdatenereignisse für Produktdienst und -nutzung
Unerwarteter Anwendungsausgang (Absturz)::
Unerwartete Anwendungsbeendungen und der Anwendungsstatus zum Zeitpunkt des Beendung.
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| pkt_ack_timeout | Die folgenden Eigenschaften sind aggregierte numerische Werte, die die Anzahl der Ereignisse darstellen, die seit dem Start der Kernelerweiterung aufgetreten sind. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressourcen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für