Datenschutz für Microsoft Defender for Endpoint unter macOS
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Microsoft ist bestrebt, Ihnen die Informationen und Kontrollen zur Verfügung zu stellen, die Sie benötigen, um Entscheidungen darüber zu treffen, wie Ihre Daten gesammelt und verwendet werden, wenn Sie Microsoft Defender for Endpoint unter macOS verwenden.
In diesem Thema werden die im Produkt verfügbaren Datenschutzsteuerelemente, die Verwaltung dieser Steuerelemente mit Richtlinieneinstellungen und weitere Details zu den gesammelten Datenereignissen beschrieben.
Übersicht über Datenschutzsteuerelemente in Microsoft Defender for Endpoint unter macOS
In diesem Abschnitt werden die Datenschutzsteuerelemente für die verschiedenen Arten von Daten beschrieben, die von Microsoft Defender for Endpoint unter macOS gesammelt werden.
Diagnosedaten
Diagnosedaten werden verwendet, um Microsoft Defender for Endpoint sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen.
Einige Diagnosedaten sind erforderlich, während andere Diagnosedaten optional sind. Durch die Verwendung von Datenschutzsteuerelementen wie Richtlinieneinstellungen für Organisationen bieten wir Ihnen die Möglichkeit auszuwählen, ob Sie uns erforderliche oder optionale Diagnosedaten senden wollen oder nicht.
Es gibt zwei Ebenen von Diagnosedaten für Microsoft Defender for Endpoint Clientsoftware, aus denen Sie wählen können:
Erforderlich: Die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und die erwartete Leistung auf dem Gerät zu gewährleisten, auf dem es installiert ist.
Optional: Zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen, und erweiterte Informationen zur Erkennung, Diagnose und Behebung von Problemen bieten.
Standardmäßig werden nur erforderliche Diagnosedaten an Microsoft gesendet.
Von der Cloud bereitgestellte Schutzdaten
Der von der Cloud bereitgestellte Schutz wird verwendet, um einen höheren und schnelleren Schutz mit Zugriff auf die neuesten Schutzdaten in der Cloud bereitzustellen.
Das Aktivieren des von der Cloud bereitgestellten Schutzdiensts ist optional. Es wird jedoch dringend empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im gesamten Netzwerk bietet.
Beispieldaten
Beispieldaten werden verwendet, um die Schutzfunktionen des Produkts zu verbessern, indem verdächtige Microsoft-Proben gesendet werden, damit sie analysiert werden können. Das Aktivieren der automatischen Beispielübermittlung ist optional.
Wenn dieses Feature aktiviert ist und das gesammelte Beispiel wahrscheinlich persönliche Informationen enthält, wird der Benutzer zur Zustimmung aufgefordert.
Verwalten von Datenschutzsteuerelementen mit Richtlinieneinstellungen
Wenn Sie IT-Administrator sind, sollten Sie diese Steuerelemente auf Unternehmensebene konfigurieren.
Die Datenschutzsteuerelemente für die verschiedenen Im vorherigen Abschnitt beschriebenen Datentypen werden unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS ausführlich beschrieben.
Wie bei allen neuen Richtlinieneinstellungen sollten Sie sie sorgfältig in einer eingeschränkten, kontrollierten Umgebung testen, um sicherzustellen, dass die von Ihnen konfigurierten Einstellungen die gewünschte Wirkung haben, bevor Sie die Richtlinieneinstellungen in Ihrem organization umfassender implementieren.
Diagnosedatenereignisse
In diesem Abschnitt wird beschrieben, was als erforderliche Diagnosedaten betrachtet wird und was als optionale Diagnosedaten betrachtet wird, zusammen mit einer Beschreibung der Ereignisse und Felder, die gesammelt werden.
Datenfelder, die für alle Ereignisse gemeinsam sind
Es gibt einige Informationen über Ereignisse, die allen Ereignissen gemeinsam sind, unabhängig von der Kategorie oder dem Untertyp der Daten.
Die folgenden Felder gelten als allgemein für alle Ereignisse:
| Feld | Beschreibung |
|---|---|
| Plattform | Die allgemeine Klassifizierung der Plattform, auf der die App ausgeführt wird. Ermöglicht Es Microsoft, zu ermitteln, auf welchen Plattformen ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann. |
| machine_guid | Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| sense_guid | Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| org_id | Eindeutiger Bezeichner, der dem Unternehmen zugeordnet ist, zu dem das Gerät gehört. Ermöglicht Es Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Unternehmen auswirken und wie viele Unternehmen betroffen sind. |
| Hostname | Lokaler Gerätename (ohne DNS-Suffix). Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind. |
| product_guid | Eindeutiger Bezeichner des Produkts. Ermöglicht Es Microsoft, Probleme zu unterscheiden, die sich auf verschiedene Varianten des Produkts auswirken. |
| app_version | Version der Microsoft Defender for Endpoint unter macOS-Anwendung. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen des Produkts ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann. |
| sig_version | Version der Security Intelligence-Datenbank. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen der Sicherheitsintelligenz ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann. |
| supported_compressions | Liste der von der Anwendung unterstützten Komprimierungsalgorithmen, z. B ['gzip']. . Ermöglicht Microsoft zu verstehen, welche Arten von Komprimierungen verwendet werden können, wenn es mit der Anwendung kommuniziert. |
| release_ring | Ring, dem das Gerät zugeordnet ist (z. B. Insider Fast, Insider Slow, Production). Ermöglicht Es Microsoft, zu ermitteln, in welchem Releasering ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann. |
Erforderliche Diagnosedaten
Erforderliche Diagnosedaten sind die Mindestdaten, die erforderlich sind, um Microsoft Defender for Endpoint sicher, auf dem neuesten Stand zu halten und auf dem Gerät, auf dem es installiert ist, wie erwartet ausgeführt wird.
Erforderliche Diagnosedaten helfen beim Identifizieren von Problemen mit Microsoft Defender for Endpoint, die möglicherweise mit einer Geräte- oder Softwarekonfiguration zusammenhängen. So kann beispielsweise ermittelt werden, ob ein Microsoft Defender for Endpoint Feature bei einer bestimmten Betriebssystemversion mit neu eingeführten Features häufiger abstürzt oder wenn bestimmte Microsoft Defender for Endpoint Features deaktiviert sind. Die erforderlichen Diagnosedaten helfen Microsoft, diese Probleme schneller zu erkennen, zu diagnostizieren und zu beheben, sodass die Auswirkungen auf Benutzer oder Organisationen reduziert werden.
Softwaresetup und Inventurdatenereignisse
Microsoft Defender for Endpoint Installation/Deinstallation:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| correlation_id | Eindeutiger Bezeichner, der der Installation zugeordnet ist. |
| Version | Version des Pakets. |
| Schweregrad | Schweregrad der Nachricht (z. B. Information). |
| code | Code, der den Vorgang beschreibt. |
| text | Zusätzliche Informationen im Zusammenhang mit der Produktinstallation. |
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| antivirus_engine.enable_real_time_protection | Gibt an, ob der Echtzeitschutz auf dem Gerät aktiviert ist oder nicht. |
| antivirus_engine.passive_mode | Gibt an, ob der passive Modus auf dem Gerät aktiviert ist. |
| cloud_service.enabled | Gibt an, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht. |
| cloud_service.timeout | Timeout, wenn die Anwendung mit der Microsoft Defender for Endpoint Cloud kommuniziert. |
| cloud_service.heartbeat_interval | Intervall zwischen aufeinander folgenden Heartbeats, die vom Produkt an die Cloud gesendet werden. |
| cloud_service.service_uri | URI, der für die Kommunikation mit der Cloud verwendet wird. |
| cloud_service.diagnostic_level | Diagnoseebene des Geräts (erforderlich, optional). |
| cloud_service.automatic_sample_submission | Gibt an, ob die automatische Stichprobenübermittlung aktiviert ist oder nicht. |
| cloud_service.automatic_definition_update_enabled | Gibt an, ob die automatische Definitionsaktualisierung aktiviert ist. |
| edr.early_preview | Gibt an, ob auf dem Gerät EDR Early Preview-Features ausgeführt werden sollen. |
| edr.group_id | Gruppenbezeichner, der von der Erkennungs- und Antwortkomponente verwendet wird. |
| edr.tags | Benutzerdefinierte Tags. |
| Funktionen. [optionaler Featurename] | Liste der Vorschaufeatures, zusammen mit der Angabe, ob sie aktiviert sind oder nicht. |
Produkt- und Dienstverwendungsdatenereignisse
Security Intelligence-Updatebericht:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| from_version | Ursprüngliche Security Intelligence-Version. |
| to_version | Neue Security Intelligence-Version. |
| status | Status des Updates, der den Erfolg oder Fehler angibt. |
| using_proxy | Gibt an, ob das Update über einen Proxy durchgeführt wurde. |
| error | Fehlercode, wenn das Update fehlgeschlagen ist. |
| reason | Fehlermeldung, wenn die aktualisierte Datei abgelegt wurde. |
Produkt- und Dienstleistungsdatenereignisse für erforderliche Diagnosedaten
Unerwarteter Anwendungsausgang (Absturz)::
Erfasst Systeminformationen und den Status einer Anwendung, wenn eine Anwendung unerwartet beendet wird.
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| v1_crash_count | Anzahl der Abstürze des V1-Engine-Prozesses pro Stunde auf dem Clientcomputer |
| v2_crash_count | Anzahl der Stündlich abgestürzten V2-Engine-Prozesse auf dem Clientcomputer |
| EDR_crash_count | Anzahl von Stündlich abgestürzten EDR-Prozessen auf dem Clientcomputer |
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| Version | Version von Microsoft Defender for Endpoint unter macOS. |
| instance_id | Eindeutiger Bezeichner, der beim Start der Kernelerweiterung generiert wird. |
| trace_level | Ablaufverfolgungsebene der Kernelerweiterung. |
| Subsystem | Das zugrunde liegende Subsystem, das für den Echtzeitschutz verwendet wird. |
| ipc.connects | Anzahl der von der Kernelerweiterung empfangenen Verbindungsanforderungen. |
| ipc.rejects | Anzahl von Verbindungsanforderungen, die von der Kernelerweiterung abgelehnt wurden. |
| ipc.connected | Gibt an, ob eine aktive Verbindung mit der Kernelerweiterung besteht. |
Supportdaten
Diagnoseprotokolle:
Diagnoseprotokolle werden nur mit zustimmung des Benutzers im Rahmen der Feedbackübermittlungsfunktion gesammelt. Die folgenden Dateien werden als Teil der Supportprotokolle gesammelt:
- Alle Dateien unter /Library/Logs/Microsoft/mdatp/
- Teilmenge der Dateien unter /Library/Application Support/Microsoft/Defender/, die von Microsoft Defender for Endpoint unter macOS erstellt und verwendet werden
- Teilmenge der Dateien unter "/Library/Managed Preferences", die von Microsoft Defender for Endpoint unter macOS verwendet werden
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Optionale Diagnosedaten
Optionale Diagnosedaten sind zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen bereitzustellen, um Probleme zu erkennen, zu diagnostizieren und zu beheben.
Wenn Sie sich dafür entscheiden, uns optionale Diagnosedaten zu senden, werden auch die erforderlichen Diagnosedaten mitgeliefert.
Beispiele für optionale Diagnosedaten sind Daten, die Microsoft über die Produktkonfiguration (z. B. die Anzahl der auf dem Gerät festgelegten Ausschlüsse) und die Produktleistung (aggregierte Measures zur Leistung von Komponenten des Produkts) sammelt.
Softwareeinrichtung und Inventurdatenereignisse für optionale Diagnosedaten
Microsoft Defender for Endpoint Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| connection_retry_timeout | Bei der Kommunikation mit der Cloud tritt ein Timeout für verbindungsreprobte Wiederholungen auf. |
| file_hash_cache_maximum | Größe des Produktcaches. |
| crash_upload_daily_limit | Limit der täglich hochgeladenen Absturzprotokolle. |
| antivirus_engine.exclusions[].is_directory | Gibt an, ob der Ausschluss von der Überprüfung ein Verzeichnis ist oder nicht. |
| antivirus_engine.exclusions[].path | Pfad, der von der Überprüfung ausgeschlossen wurde. |
| antivirus_engine.exclusions[].extension | Erweiterung vom Scannen ausgeschlossen. |
| antivirus_engine.exclusions[].name | Der Name der Datei, die von der Überprüfung ausgeschlossen ist. |
| antivirus_engine.scan_cache_maximum | Größe des Produktcaches. |
| antivirus_engine.maximum_scan_threads | Maximale Anzahl von Threads, die für die Überprüfung verwendet werden. |
| antivirus_engine.threat_restoration_exclusion_time | Timeout, bevor eine aus der Quarantäne wiederhergestellte Datei wieder erkannt werden kann. |
| antivirus_engine.threat_type_settings | Konfiguration, wie verschiedene Bedrohungstypen vom Produkt behandelt werden. |
| filesystem_scanner.full_scan_directory | Verzeichnis der vollständigen Überprüfung. |
| filesystem_scanner.quick_scan_directories | Liste der Verzeichnisse, die bei der Schnellüberprüfung verwendet werden. |
| edr.latency_mode | Latenzmodus, der von der Erkennungs- und Antwortkomponente verwendet wird. |
| edr.proxy_address | Proxyadresse, die von der Erkennungs- und Antwortkomponente verwendet wird. |
Microsoft Auto-Update-Konfiguration:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| how_to_check | Bestimmt, wie Produktupdates überprüft werden (z. B. automatisch oder manuell). |
| channel_name | Updatekanal, der dem Gerät zugeordnet ist. |
| manifest_server | Server, der zum Herunterladen von Updates verwendet wird. |
| update_cache | Speicherort des Caches, der zum Speichern von Updates verwendet wird. |
Produkt- und Dienstnutzung
Bericht zum Hochladen des Diagnoseprotokolls wurde gestartet
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| sha256 | SHA256-Bezeichner des Supportprotokolls. |
| size | Größe des Supportprotokolls. |
| original_path | Pfad zum Supportprotokoll (immer unter /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Format | Format des Supportprotokolls. |
| Metadaten | Informationen zum Inhalt des Supportprotokolls. |
Abgeschlossener Bericht zum Hochladen des Diagnoseprotokolls
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| request_id | Korrelations-ID für die Anforderung zum Hochladen des Supportprotokolls. |
| sha256 | SHA256-Bezeichner des Supportprotokolls. |
| blob_sas_uri | URI, der von der Anwendung zum Hochladen des Supportprotokolls verwendet wird. |
Produkt- und Dienstleistungsdatenereignisse für die Produkt- und Dienstnutzung
Unerwarteter Anwendungsausgang (Absturz)::
Unerwartete Anwendungsbeendungen und der Anwendungsstatus zum Zeitpunkt des Beendung.
Kernelerweiterungsstatistiken:
Die folgenden Felder werden gesammelt:
| Feld | Beschreibung |
|---|---|
| pkt_ack_timeout | Die folgenden Eigenschaften sind aggregierte numerische Werte, die die Anzahl der Ereignisse darstellen, die seit dem Start der Kernelerweiterung aufgetreten sind. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressourcen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.