Linux-Microsoft Defender for Endpoint tietosuoja
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Microsoft on sitoutunut tarjoamaan sinulle tietoja ja ohjausobjekteja, joita tarvitset tehdäksesi valintoja siitä, miten tietoja kerätään ja käytetään, kun käytät Defender for Endpointia Linuxissa.
Tässä artikkelissa kuvataan tuotteen tietosuojatoiminnot, näiden ohjausobjektien hallinta käytäntöasetusten avulla ja annetaan lisätietoja kerättävissä tietotapahtumissa.
Yleiskatsaus tietosuojan ohjausobjekteihin Linuxin Microsoft Defender for Endpoint
Tässä osiossa kuvataan erityyppisten tietojen tietosuojatoiminnot, joita Defender kerää Linuxin päätepisteelle.
Diagnostiikkatiedot
Diagnostiikkatietoja käytetään pitämään Defender for Endpoint suojattuna ja ajan tasalla, tunnistamaan, diagnosoimaan ja korjaamaan ongelmia sekä tekemään myös tuoteparannuksia.
Jotkin diagnostiikkatiedot ovat pakollisia ja jotkin valinnaisia. Microsoft antaa sinulle mahdollisuuden valita, lähetetäänkö microsoftille pakolliset vai valinnaiset diagnostiikkatiedot käyttämällä tietosuojan hallintaa, kuten organisaatioiden käytäntöasetuksia.
Defender for Endpoint -asiakasohjelmiston diagnostiikkatiedoissa on kaksi tasoa, joista voit valita:
- Pakollinen: Pienin tarvittava määrä tietoja, joiden avulla Defender for Endpoint pysyy suojattuna, ajan tasalla ja toimii odotetulla tavalla laitteessa, johon se on asennettu.
- Valinnainen: Muut tiedot, jotka auttavat Microsoftia tekemään tuoteparannuksia ja tarjoavat parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.
Oletusarvoisesti Microsoftille lähetetään vain pakolliset diagnostiikkatiedot.
Pilvipalveluun toimitetut suojaustiedot
Pilvipalveluun toimitettua suojausta käytetään tarjoamaan entistä nopeampi suojaus ja mahdollisuus käyttää pilvipalvelun uusimpia suojaustietoja.
Pilvipalvelun tarjoaman suojauspalvelun käyttöönotto on valinnaista, mutta se on erittäin suositeltavaa, koska se tarjoaa tärkeän suojan haittaohjelmia vastaan päätepisteissäsi ja verkossasi.
Mallitiedot
Mallitietojen avulla parannetaan tuotteen suojausominaisuuksia lähettämällä Microsoftille epäilyttäviä näytteitä, jotta niitä voidaan analysoida. Automaattisen mallilähetyksen käyttöönotto on valinnaista.
Näytteen lähettämisen hallintaan on kolme tasoa:
- Ei mitään: Microsoftille ei lähetetä epäilyttäviä näytteitä.
- Turvallinen: automaattisesti lähetetään vain epäilyttävät näytteet, jotka eivät sisällä henkilötietoja. Tämä on oletusarvo.
- Kaikki: kaikki epäilyttävät näytteet lähetetään Microsoftille.
Tietosuoja-asetusten hallinta käytäntöasetusten avulla
Jos olet IT-järjestelmänvalvoja, haluat ehkä määrittää nämä ohjausobjektit yritystasolla.
Edellisessä osiossa kuvattujen eri tietotyyppien tietosuojatoiminnot on kuvattu yksityiskohtaisesti kohdassa Defender for Endpointin asetusten määrittäminen Linuxissa.
Kuten kaikissa uusissa käytäntöasetuksissa, testaa ne huolellisesti rajoitetussa ja hallitussa ympäristössä varmistaaksesi, että määrittämäsi asetukset vaikuttavat halutulla tavalla, ennen kuin otat käytäntöasetukset käyttöön laajemmin organisaatiossasi.
Diagnostiikkatietotapahtumat
Tässä osiossa kuvataan, mitä pidetään pakollisina diagnostiikkatietoina ja mitä pidetään valinnaisina diagnostiikkatietoina, sekä kuvataan kerätyt tapahtumat ja kentät.
Kaikille tapahtumille yhteiset tietokentät
Jotkin tapahtuman tiedot liittyvät kaikkiin tapahtumiin niiden luokasta tai tietojen alatyypistä riippumatta.
Seuraavia kenttiä pidetään yleisinä kaikissa tapahtumissa:
| Kenttä | Kuvaus |
|---|---|
| Alustan | Sovelluksen käyttöympäristön laaja luokitus. Tämän avulla microsoft voi tunnistaa, missä ympäristöissä ongelma ilmenee, jotta se voidaan priorisoida oikein. |
| machine_guid | Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| sense_guid | Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| org_id | Yksilöivä tunnus, joka liittyy yritykseen, johon laite kuuluu. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun yritysjoukkoon ja kuinka moneen yrityksiin tämä vaikuttaa. |
| Hostname | Paikallisen laitteen nimi (ilman DNS-jälkiliitettä). Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| product_guid | Tuotteen yksilöllinen tunnus. Tämän avulla Microsoft voi erottaa tuotteen eri makuihin vaikuttavia ongelmia. |
| app_version | Defender for Endpointin versio Linux-sovelluksessa. Tämän avulla microsoft voi tunnistaa, missä tuotteen versioissa ongelma ilmenee, jotta se voidaan priorisoida oikein. |
| sig_version | Suojaustietotietokannan versio. Tämän avulla microsoft voi tunnistaa, mitkä suojaustietojen versiot näyttävät ongelman, jotta se voidaan priorisoida oikein. |
| supported_compressions | Luettelo sovelluksen tukemista pakkausalgoritmeista, esimerkiksi ['gzip']. Tämän avulla Microsoft voi ymmärtää, millaisia pakkaustyyppejä voidaan käyttää, kun se viestii sovelluksen kanssa. |
| release_ring | Ring, johon laite liittyy (esimerkiksi Insider Fast, Insider Slow, Production). Tämän avulla Microsoft voi tunnistaa, missä julkaisuringissä ongelma ilmenee, jotta se voidaan priorisoida oikein. |
Pakolliset diagnostiikkatiedot
Pakolliset diagnostiikkatiedot ovat pienin tarvittava määrä tietoja, joiden avulla Defender for Endpoint voidaan pitää suojattuna, ajan tasalla ja toimia odotetulla tavalla laitteessa, johon se on asennettu.
Pakolliset diagnostiikkatiedot auttavat tunnistamaan laite- tai ohjelmistokokoonpanoon mahdollisesti liittyviä Microsoft Defender for Endpoint liittyviä ongelmia. Se voi esimerkiksi auttaa määrittämään, kaatuuko Defender for Endpoint -ominaisuus useammin tietyssä käyttöjärjestelmäversiossa, äskettäin käyttöön otetut ominaisuudet tai kun tietyt Defender for Endpoint -ominaisuudet on poistettu käytöstä. Pakolliset diagnostiikkatiedot auttavat Microsoftia havaitsemaan, tunnistamaan ja korjaamaan näitä ongelmia nopeammin, jotta vaikutus käyttäjiin tai organisaatioihin pienenee.
Ohjelmiston asennus- ja inventointitietotapahtumat
Microsoft Defender for Endpoint asennus tai asennuksen poisto:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| correlation_id | Asennukseen liittyvä yksilöllinen tunnus. |
| Versio | Paketin versio. |
| Vakavuus | Viestin vakavuus (esimerkiksi Tiedote). |
| Koodi | Koodi, joka kuvaa toimintoa. |
| Teksti | Tuotteen asennukseen liittyvät lisätiedot. |
Microsoft Defender for Endpoint määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| antivirus_engine.enable_real_time_protection | Onko reaaliaikainen suojaus käytössä laitteessa vai ei. |
| antivirus_engine.passive_mode | Onko passiivitila käytössä laitteessa vai ei. |
| cloud_service.enabled | Onko pilvipalvelun tarjoama suojaus käytössä laitteessa vai ei. |
| cloud_service.aikakatkaisu | Aikakatkaisu, kun sovellus viestii Defender for Endpoint -pilvipalvelun kanssa. |
| cloud_service.heartbeat_interval | Aikaväli tuotteen pilvipalveluun lähettämien peräkkäisten sykkeiden välillä. |
| cloud_service.service_URI | URI,jota käytetään tiedonvälitykseen pilvipalvelun kanssa. |
| cloud_service.diagnostic_level | Laitteen diagnostiikkataso (pakollinen, valinnainen). |
| cloud_service.automatic_sample_submission | Laitteen automaattinen lähetyksen mallitaso (ei mitään, turvallinen, kaikki). |
| cloud_service.automatic_definition_update_enabled | Onko automaattisen määrityksen päivitys käytössä vai ei. |
| edr.early_preview | Määrittää, tuleeko laitteen suorittaa EDR:n varhaisen esikatselun ominaisuudet. |
| edr.group_id | Tunnistamis- ja vastausosan käyttämä ryhmätunnus. |
| edr.tags | Käyttäjän määrittämät tunnisteet. |
| Ominaisuuksia. [valinnainen ominaisuuden nimi] | Esikatseluominaisuuksien luettelo sekä se, onko ne otettu käyttöön vai ei. |
Tuotteiden ja palvelujen käyttötietotapahtumat
Suojaustietojen päivitysraportti:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| from_version | Alkuperäinen suojaustietojen versio. |
| to_version | Uusi suojaustietoversio. |
| Tila | Onnistumista tai epäonnistumista ilmaisevan päivityksen tila. |
| using_proxy | Onko päivitys tehty välityspalvelimella. |
| Virhe | Virhekoodi, jos päivitys epäonnistui. |
| Syy | Virhesanoma, jos päivitys epäonnistui. |
Tuotteiden ja palveluiden suorituskykytietotapahtumat pakollisille diagnostiikkatieduksille
Ytimen laajennuksen tilastotiedot:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| Versio | Defender for Endpointin versio Linuxissa. |
| instance_id | Ytimen laajennuksen käynnistyksen yhteydessä luotu yksilöllinen tunnus. |
| trace_level | Ytimen jatkeen jäljitystaso. |
| Osajärjestelmän | Taustalla oleva osajärjestelmä, jota käytetään reaaliaikaiseen suojaukseen. |
| ipc.connects | Ytimen laajennuksen vastaanottamien yhteyspyyntöjen määrä. |
| ipc.rejects | Ytimen laajennuksen hylkäämien yhteyspyyntöjen määrä. |
| ipc.connected | Onko ydinlaajennukseen aktiivista yhteyttä. |
Tukitiedot
Diagnostiikkalokit:
Diagnostiikkalokit kerätään vain käyttäjän suostumuksella osana palautteen lähettämisominaisuutta. Seuraavat tiedostot kerätään osana tukilokeja:
- Kaikki tiedostot kohdassa /var/log/microsoft/mdatp
- Alijoukko tiedostoja kohdassa /etc/opt/microsoft/mdatp , jotka Defender luo ja käyttää Linux-päätepisteelle
- Tuotteen asennus- ja asennuksen poistolokit kohdassa /var/log/microsoft/mdatp/*.log
Valinnaiset diagnostiikkatiedot
Valinnaiset diagnostiikkatiedot ovat lisätietoja, joiden avulla Microsoft voi tehdä tuoteparannuksia, sekä parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.
Jos päätät lähettää Microsoftille valinnaiset diagnostiikkatietoja, myös pakolliset diagnostiikkatiedot lähetetään.
Valinnaisia diagnostiikkatietoja ovat esimerkiksi tiedot, joita Microsoft kerää tuotteen kokoonpanosta (esimerkiksi laitteessa määritettyjen poissulkemisten määrä) ja tuotteen suorituskyvystä (koostemittareita tuotteen osien suorituskyvystä).
Ohjelmiston asennus- ja inventaariotietotapahtumat valinnaisille diagnostiikkatieduksille
Microsoft Defender for Endpoint määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| connection_retry_timeout | Yhteyden uudelleenyritysten aikakatkaisu, kun yhteys pilvipalveluun on muodostettu. |
| file_hash_cache_maximum | Tuotevälimuistin koko. |
| crash_upload_daily_limit | Päivittäin ladattavien kaatumislokien enimmäismäärä. |
| antivirus_engine.exclusions[].is_directory | Onko poissulkeminen skannauksesta hakemisto vai ei. |
| antivirus_engine.exclusions[].path | Polku, joka jätettiin pois skannauksesta. |
| antivirus_engine.exclusions[].extension | Laajennusta ei voi skannata. |
| antivirus_engine.exclusions[].name | Skannauksesta pois jätetyn tiedoston nimi. |
| antivirus_engine.scan_cache_maximum | Tuotevälimuistin koko. |
| antivirus_engine.maximum_scan_threads | Skannauksessa käytettävien säikeiden enimmäismäärä. |
| antivirus_engine.threat_restore_exclusion_time | Aikakatkaisu, ennen kuin karanteenista palautettu tiedosto voidaan havaita uudelleen. |
| antivirus_engine.threat_type_settings | Määritys sille, miten tuote käsittelee erilaisia uhkatyyppejä. |
| filesystem_scanner.full_scan_directory | Täyden tarkistuksen hakemisto. |
| filesystem_scanner.quick_scan_directories | Luettelo pikatarkistuksen hakemistoista. |
| edr.latency_mode | Tunnistamis- ja vastausosan käyttämä viivetila. |
| edr.proxy_address | Tunnistamis- ja vastausosan käyttämä välityspalvelimen osoite. |
Microsoftin automaattisen päivityksen määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| how_to_check | Määrittää, miten tuotepäivitykset tarkistetaan (esimerkiksi automaattinen tai manuaalinen). |
| channel_name | Laitteeseen liittyvän kanavan päivittäminen. |
| manifest_server | Päivitysten lataamiseen käytettävä palvelin. |
| update_cache | Päivitysten tallentamiseen käytettävän välimuistin sijainti. |
Tuotteiden ja palvelujen käyttö
Diagnostiikkalokin latauksen aloitusraportti
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| sha256 | Tukilokin SHA256-tunnus. |
| Koko | Tukilokin koko. |
| original_path | Tukilokin polku (aina kohdassa /var/opt/microsoft/mdatp/wdavdiag/). |
| Muodossa | Tukilokin muoto. |
Diagnostiikkalokin latauksen valmis raportti
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| request_id | Tukilokin latauspyynnön korrelaatiotunnus. |
| sha256 | Tukilokin SHA256-tunnus. |
| blob_sas_uri | URI, jota sovellus käyttää tukilokin lataamiseen. |
Tuotteiden ja palveluiden suorituskykytietotapahtumat tuotepalvelua ja käyttöä varten
Sovelluksen odottamaton sulkeutuminen (kaatuminen):
Sovelluksen odottamaton sulkeutuminen ja sovelluksen tila tämän tapahtuessa.
Ytimen laajennuksen tilastotiedot:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| pkt_ack_timeout | Seuraavat ominaisuudet ovat koostettuja numeerisia arvoja, jotka edustavat ydinlaajennuksen käynnistyksen jälkeen tapahtuneiden tapahtumien määrää. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.siirrä | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Resurssit
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle