Microsoft ist bestrebt, Ihnen die Informationen und Kontrollen zur Verfügung zu stellen, die Sie benötigen, um Entscheidungen darüber zu treffen, wie Ihre Daten gesammelt und verwendet werden, wenn Sie Microsoft Defender for Endpoint unter macOS verwenden.
In diesem Thema werden die im Produkt verfügbaren Datenschutzsteuerelemente, die Verwaltung dieser Steuerelemente mit Richtlinieneinstellungen und weitere Details zu den gesammelten Datenereignissen beschrieben.
Übersicht über Datenschutzsteuerelemente in Microsoft Defender for Endpoint unter macOS
In diesem Abschnitt werden die Datenschutzsteuerelemente für die verschiedenen Arten von Daten beschrieben, die von Microsoft Defender for Endpoint unter macOS gesammelt werden.
Diagnosedaten
Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen.
Einige Diagnosedaten sind erforderlich, während andere Diagnosedaten optional sind. Durch die Verwendung von Datenschutzsteuerelementen wie Richtlinieneinstellungen für Organisationen bieten wir Ihnen die Möglichkeit auszuwählen, ob Sie uns erforderliche oder optionale Diagnosedaten senden wollen oder nicht.
Es gibt zwei Ebenen von Diagnosedaten für Microsoft Defender for Endpoint Clientsoftware, aus denen Sie wählen können:
Erforderlich: Die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und die erwartete Leistung auf dem Gerät zu gewährleisten, auf dem es installiert ist.
Optional: Zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen, und erweiterte Informationen zur Erkennung, Diagnose und Behebung von Problemen bieten.
Standardmäßig werden nur erforderliche Diagnosedaten an Microsoft gesendet.
Von der Cloud bereitgestellte Schutzdaten
Der von der Cloud bereitgestellte Schutz wird verwendet, um einen höheren und schnelleren Schutz mit Zugriff auf die neuesten Schutzdaten in der Cloud bereitzustellen.
Das Aktivieren des von der Cloud bereitgestellten Schutzdiensts ist optional. Es wird jedoch dringend empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im gesamten Netzwerk bietet.
Beispieldaten
Beispieldaten werden verwendet, um die Schutzfunktionen des Produkts zu verbessern, indem verdächtige Microsoft-Proben gesendet werden, damit sie analysiert werden können. Das Aktivieren der automatischen Beispielübermittlung ist optional.
Wenn dieses Feature aktiviert ist und das gesammelte Beispiel wahrscheinlich persönliche Informationen enthält, wird der Benutzer zur Zustimmung aufgefordert.
Verwalten von Datenschutzsteuerelementen mit Richtlinieneinstellungen
Wenn Sie IT-Administrator sind, sollten Sie diese Steuerelemente auf Unternehmensebene konfigurieren.
Wie bei allen neuen Richtlinieneinstellungen sollten Sie sie sorgfältig in einer eingeschränkten, kontrollierten Umgebung testen, um sicherzustellen, dass die von Ihnen konfigurierten Einstellungen die gewünschte Wirkung haben, bevor Sie die Richtlinieneinstellungen in Ihrem organization umfassender implementieren.
Diagnosedatenereignisse
In diesem Abschnitt wird beschrieben, was als erforderliche Diagnosedaten betrachtet wird und was als optionale Diagnosedaten betrachtet wird, zusammen mit einer Beschreibung der Ereignisse und Felder, die gesammelt werden.
Datenfelder, die für alle Ereignisse gemeinsam sind
Es gibt einige Informationen über Ereignisse, die allen Ereignissen gemeinsam sind, unabhängig von der Kategorie oder dem Untertyp der Daten.
Die folgenden Felder gelten als allgemein für alle Ereignisse:
Feld
Beschreibung
Plattform
Die allgemeine Klassifizierung der Plattform, auf der die App ausgeführt wird. Ermöglicht Es Microsoft, zu ermitteln, auf welchen Plattformen ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.
machine_guid
Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
sense_guid
Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
org_id
Eindeutiger Bezeichner, der dem Unternehmen zugeordnet ist, zu dem das Gerät gehört. Ermöglicht Es Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Unternehmen auswirken und wie viele Unternehmen betroffen sind.
Hostname
Lokaler Gerätename (ohne DNS-Suffix). Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
product_guid
Eindeutiger Bezeichner des Produkts. Ermöglicht Es Microsoft, Probleme zu unterscheiden, die sich auf verschiedene Varianten des Produkts auswirken.
app_version
Version der Microsoft Defender for Endpoint unter macOS-Anwendung. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen des Produkts ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
sig_version
Version der Security Intelligence-Datenbank. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen der Sicherheitsintelligenz ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
supported_compressions
Liste der von der Anwendung unterstützten Komprimierungsalgorithmen, z. B ['gzip']. . Ermöglicht Microsoft zu verstehen, welche Arten von Komprimierungen verwendet werden können, wenn es mit der Anwendung kommuniziert.
release_ring
Ring, dem das Gerät zugeordnet ist (z. B. Insider Fast, Insider Slow, Production). Ermöglicht Es Microsoft, zu ermitteln, in welchem Releasering ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.
Erforderliche Diagnosedaten
Erforderliche Diagnosedaten sind die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und auf dem Gerät, auf dem es installiert ist, wie erwartet ausgeführt wird.
Erforderliche Diagnosedaten helfen beim Identifizieren von Problemen mit Microsoft Defender for Endpoint, die möglicherweise mit einer Geräte- oder Softwarekonfiguration zusammenhängen. So kann beispielsweise ermittelt werden, ob ein Microsoft Defender for Endpoint Feature bei einer bestimmten Betriebssystemversion mit neu eingeführten Features häufiger abstürzt oder wenn bestimmte Microsoft Defender for Endpoint Features deaktiviert sind. Die erforderlichen Diagnosedaten helfen Microsoft, diese Probleme schneller zu erkennen, zu diagnostizieren und zu beheben, sodass die Auswirkungen auf Benutzer oder Organisationen reduziert werden.
Softwaresetup und Inventurdatenereignisse
Microsoft Defender for Endpoint Installation/Deinstallation:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
correlation_id
Eindeutiger Bezeichner, der der Installation zugeordnet ist.
Version
Version des Pakets.
Schweregrad
Schweregrad der Nachricht (z. B. Information).
code
Code, der den Vorgang beschreibt.
text
Zusätzliche Informationen im Zusammenhang mit der Produktinstallation.
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
antivirus_engine.enable_real_time_protection
Gibt an, ob der Echtzeitschutz auf dem Gerät aktiviert ist oder nicht.
antivirus_engine.passive_mode
Gibt an, ob der passive Modus auf dem Gerät aktiviert ist.
cloud_service.enabled
Gibt an, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht.
cloud_service.timeout
Timeout, wenn die Anwendung mit der Microsoft Defender for Endpoint Cloud kommuniziert.
cloud_service.heartbeat_interval
Intervall zwischen aufeinander folgenden Heartbeats, die vom Produkt an die Cloud gesendet werden.
cloud_service.service_uri
URI, der für die Kommunikation mit der Cloud verwendet wird.
cloud_service.diagnostic_level
Diagnoseebene des Geräts (erforderlich, optional).
cloud_service.automatic_sample_submission
Gibt an, ob die automatische Stichprobenübermittlung aktiviert ist oder nicht.
cloud_service.automatic_definition_update_enabled
Gibt an, ob die automatische Definitionsaktualisierung aktiviert ist.
edr.early_preview
Gibt an, ob auf dem Gerät EDR Early Preview-Features ausgeführt werden sollen.
edr.group_id
Gruppenbezeichner, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.tags
Benutzerdefinierte Tags.
Funktionen. [optionaler Featurename]
Liste der Vorschaufeatures, zusammen mit der Angabe, ob sie aktiviert sind oder nicht.
Produkt- und Dienstverwendungsdatenereignisse
Security Intelligence-Updatebericht:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
from_version
Ursprüngliche Security Intelligence-Version.
to_version
Neue Security Intelligence-Version.
status
Status des Updates, der den Erfolg oder Fehler angibt.
using_proxy
Gibt an, ob das Update über einen Proxy durchgeführt wurde.
error
Fehlercode, wenn das Update fehlgeschlagen ist.
reason
Fehlermeldung, wenn die aktualisierte Datei abgelegt wurde.
Produkt- und Dienstleistungsdatenereignisse für erforderliche Diagnosedaten
Unerwarteter Anwendungsausgang (Absturz)::
Erfasst Systeminformationen und den Status einer Anwendung, wenn eine Anwendung unerwartet beendet wird.
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
v1_crash_count
Anzahl der Abstürze des V1-Engine-Prozesses pro Stunde auf dem Clientcomputer
v2_crash_count
Anzahl der Stündlich abgestürzten V2-Engine-Prozesse auf dem Clientcomputer
EDR_crash_count
Anzahl von Stündlich abgestürzten EDR-Prozessen auf dem Clientcomputer
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
Version
Version von Microsoft Defender for Endpoint unter macOS.
instance_id
Eindeutiger Bezeichner, der beim Start der Kernelerweiterung generiert wird.
trace_level
Ablaufverfolgungsebene der Kernelerweiterung.
Subsystem
Das zugrunde liegende Subsystem, das für den Echtzeitschutz verwendet wird.
ipc.connects
Anzahl der von der Kernelerweiterung empfangenen Verbindungsanforderungen.
ipc.rejects
Anzahl von Verbindungsanforderungen, die von der Kernelerweiterung abgelehnt wurden.
ipc.connected
Gibt an, ob eine aktive Verbindung mit der Kernelerweiterung besteht.
Supportdaten
Diagnoseprotokolle:
Diagnoseprotokolle werden nur mit zustimmung des Benutzers im Rahmen der Feedbackübermittlungsfunktion gesammelt. Die folgenden Dateien werden als Teil der Supportprotokolle gesammelt:
Alle Dateien unter /Library/Logs/Microsoft/mdatp/
Teilmenge der Dateien unter /Library/Application Support/Microsoft/Defender/, die von Microsoft Defender for Endpoint unter macOS erstellt und verwendet werden
Teilmenge der Dateien unter "/Library/Managed Preferences", die von Microsoft Defender for Endpoint unter macOS verwendet werden
Optionale Diagnosedaten sind zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen bereitzustellen, um Probleme zu erkennen, zu diagnostizieren und zu beheben.
Wenn Sie sich dafür entscheiden, uns optionale Diagnosedaten zu senden, werden auch die erforderlichen Diagnosedaten mitgeliefert.
Beispiele für optionale Diagnosedaten sind Daten, die Microsoft über die Produktkonfiguration (z. B. die Anzahl der auf dem Gerät festgelegten Ausschlüsse) und die Produktleistung (aggregierte Measures zur Leistung von Komponenten des Produkts) sammelt.
Softwareeinrichtung und Inventurdatenereignisse für optionale Diagnosedaten
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
connection_retry_timeout
Bei der Kommunikation mit der Cloud tritt ein Timeout für verbindungsreprobte Wiederholungen auf.
file_hash_cache_maximum
Größe des Produktcaches.
crash_upload_daily_limit
Limit der täglich hochgeladenen Absturzprotokolle.
antivirus_engine.exclusions[].is_directory
Gibt an, ob der Ausschluss von der Überprüfung ein Verzeichnis ist oder nicht.
antivirus_engine.exclusions[].path
Pfad, der von der Überprüfung ausgeschlossen wurde.
antivirus_engine.exclusions[].extension
Erweiterung vom Scannen ausgeschlossen.
antivirus_engine.exclusions[].name
Der Name der Datei, die von der Überprüfung ausgeschlossen ist.
antivirus_engine.scan_cache_maximum
Größe des Produktcaches.
antivirus_engine.maximum_scan_threads
Maximale Anzahl von Threads, die für die Überprüfung verwendet werden.
Timeout, bevor eine aus der Quarantäne wiederhergestellte Datei wieder erkannt werden kann.
antivirus_engine.threat_type_settings
Konfiguration, wie verschiedene Bedrohungstypen vom Produkt behandelt werden.
filesystem_scanner.full_scan_directory
Verzeichnis der vollständigen Überprüfung.
filesystem_scanner.quick_scan_directories
Liste der Verzeichnisse, die bei der Schnellüberprüfung verwendet werden.
edr.latency_mode
Latenzmodus, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.proxy_address
Proxyadresse, die von der Erkennungs- und Antwortkomponente verwendet wird.
Microsoft Auto-Update-Konfiguration:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
how_to_check
Bestimmt, wie Produktupdates überprüft werden (z. B. automatisch oder manuell).
channel_name
Updatekanal, der dem Gerät zugeordnet ist.
manifest_server
Server, der zum Herunterladen von Updates verwendet wird.
update_cache
Speicherort des Caches, der zum Speichern von Updates verwendet wird.
Produkt- und Dienstnutzung
Bericht zum Hochladen des Diagnoseprotokolls wurde gestartet
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
sha256
SHA256-Bezeichner des Supportprotokolls.
size
Größe des Supportprotokolls.
original_path
Pfad zum Supportprotokoll (immer unter /Library/Application Support/Microsoft/Defender/wdavdiag/).
Format
Format des Supportprotokolls.
Metadaten
Informationen zum Inhalt des Supportprotokolls.
Abgeschlossener Bericht zum Hochladen des Diagnoseprotokolls
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
request_id
Korrelations-ID für die Anforderung zum Hochladen des Supportprotokolls.
sha256
SHA256-Bezeichner des Supportprotokolls.
blob_sas_uri
URI, der von der Anwendung zum Hochladen des Supportprotokolls verwendet wird.
Produkt- und Dienstleistungsdatenereignisse für die Produkt- und Dienstnutzung
Unerwarteter Anwendungsausgang (Absturz)::
Unerwartete Anwendungsbeendungen und der Anwendungsstatus zum Zeitpunkt des Beendung.
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
Feld
Beschreibung
pkt_ack_timeout
Die folgenden Eigenschaften sind aggregierte numerische Werte, die die Anzahl der Ereignisse darstellen, die seit dem Start der Kernelerweiterung aufgetreten sind.
Erfahren Sie mehr über die Datenschutzstandards von Microsoft 365, die Gründe für deren Verwendung und wie diese Datenschutzstandards Microsoft von anderen Unternehmen im Hinblick auf Schutz von Kundendaten und Einhaltung der Datenschutzrichtlinien unterscheiden.
Veranschaulichen der Grundlagen von Datensicherheit, Lebenszyklusverwaltung, Informationssicherheit und Compliance zum Schutz einer Microsoft 365-Bereitstellung