MacOS Microsoft Defender for Endpoint tietosuoja
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Microsoft on sitoutunut tarjoamaan sinulle tietoja ja ohjausobjekteja, joita tarvitset tehdäksesi valintoja siitä, miten tietoja kerätään ja käytetään käyttäessäsi Microsoft Defender for Endpoint macOS:ssä.
Tässä ohjeaiheessa kuvataan tuotteen tietosuojan hallinta, näiden ohjausobjektien hallinta käytäntöasetusten avulla ja lisätietoja kerättävissä tietotapahtumissa.
Yleiskatsaus Microsoft Defender for Endpoint tietosuojatoiminnoista macOS:ssä
Tässä osiossa kuvataan Microsoft Defender for Endpoint macOS:ssä keräämien erityyppisten tietojen tietosuojatoiminnot.
Diagnostiikkatiedot
Diagnostiikkatietoja käytetään Microsoft Defender for Endpoint pitämiseen turvallisena ja ajan tasalla, ongelmien havaitsemiseen, diagnosointiin ja korjaamiseen sekä tuotteiden parantamiseen.
Jotkin diagnostiikkatiedot ovat pakollisia ja jotkin valinnaisia. Tietosuojatoimintojen, esimerkiksi organisaatioiden käytäntöasetusten, avulla voit päättää, lähetetäänkö Microsoftille pakolliset vai valinnaiset diagnostiikkatiedot.
Microsoft Defender for Endpoint asiakasohjelmiston diagnostiikkatiedoissa on kaksi tasoa, joista voit valita:
Pakollinen: Pienin tarvittava määrä tietoja, joiden avulla Microsoft Defender for Endpoint pysyvät suojattuina, ajan tasalla ja toimivat odotetulla tavalla laitteessa, johon se on asennettu.
Valinnainen: Lisätietoja, joiden avulla Microsoft voi tehdä tuoteparannuksia ja antaa parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.
Oletusarvoisesti Microsoftille lähetetään vain pakolliset diagnostiikkatiedot.
Pilvipalveluun toimitetut suojaustiedot
Pilvipalveluun toimitettua suojausta käytetään tarjoamaan entistä nopeampi suojaus ja mahdollisuus käyttää pilvipalvelun uusimpia suojaustietoja.
Pilvipalvelun tarjoaman suojauspalvelun käyttöönotto on valinnaista, mutta se on erittäin suositeltavaa, koska se tarjoaa tärkeän suojan haittaohjelmia vastaan päätepisteissäsi ja verkossasi.
Mallitiedot
Mallitietojen avulla parannetaan tuotteen suojausominaisuuksia lähettämällä Microsoftille epäilyttäviä näytteitä, jotta niitä voidaan analysoida. Automaattisen mallilähetyksen käyttöönotto on valinnaista.
Kun tämä ominaisuus on käytössä ja kerätty malli sisältää todennäköisesti henkilökohtaisia tietoja, käyttäjää pyydetään antamaan suostumus.
Tietosuoja-asetusten hallinta käytäntöasetusten avulla
Jos olet IT-järjestelmänvalvoja, haluat ehkä määrittää nämä ohjausobjektit yritystasolla.
Edellisessä osiossa kuvattujen eri tietotyyppien tietosuojatoiminnot on kuvattu yksityiskohtaisesti kohdassa Microsoft Defender for Endpoint asetusten määrittäminen macOS:ssä.
Kuten kaikissa uusissa käytäntöasetuksissa, testaa ne huolellisesti rajoitetussa ja hallitussa ympäristössä varmistaaksesi, että määrittämäsi asetukset vaikuttavat halutulla tavalla, ennen kuin otat käytäntöasetukset käyttöön laajemmin organisaatiossasi.
Diagnostiikkatietotapahtumat
Tässä osiossa kuvataan, mitä pidetään pakollisina diagnostiikkatietoina ja mitä pidetään valinnaisina diagnostiikkatietoina, sekä kuvataan kerätyt tapahtumat ja kentät.
Kaikille tapahtumille yhteiset tietokentät
Jotkin tapahtuman tiedot liittyvät kaikkiin tapahtumiin niiden luokasta tai tietojen alatyypistä riippumatta.
Seuraavia kenttiä pidetään yleisinä kaikissa tapahtumissa:
| Kenttä | Kuvaus |
|---|---|
| Alustan | Sovelluksen käyttöympäristön laaja luokitus. Tämän avulla microsoft voi tunnistaa, missä ympäristöissä ongelma ilmenee, jotta se voidaan priorisoida oikein. |
| machine_guid | Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| sense_guid | Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| org_id | Yksilöivä tunnus, joka liittyy yritykseen, johon laite kuuluu. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun yritysjoukkoon ja kuinka moneen yrityksiin tämä vaikuttaa. |
| Hostname | Paikallisen laitteen nimi (ilman DNS-jälkiliitettä). Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa. |
| product_guid | Tuotteen yksilöllinen tunnus. Tämän avulla Microsoft voi erottaa tuotteen eri makuihin vaikuttavia ongelmia. |
| app_version | Microsoft Defender for Endpoint versio macOS-sovelluksessa. Tämän avulla microsoft voi tunnistaa, missä tuotteen versioissa ongelma ilmenee, jotta se voidaan priorisoida oikein. |
| sig_version | Suojaustietotietokannan versio. Tämän avulla microsoft voi tunnistaa, mitkä suojaustietojen versiot näyttävät ongelman, jotta se voidaan priorisoida oikein. |
| supported_compressions | Luettelo sovelluksen tukemista pakkausalgoritmeista, esimerkiksi ['gzip']. Tämän avulla Microsoft voi ymmärtää, millaisia pakkaustyyppejä voidaan käyttää, kun se viestii sovelluksen kanssa. |
| release_ring | Ring, johon laite liittyy (esimerkiksi Insider Fast, Insider Slow, Production). Tämän avulla Microsoft voi tunnistaa, missä julkaisuringissä ongelma ilmenee, jotta se voidaan priorisoida oikein. |
Pakolliset diagnostiikkatiedot
Pakolliset diagnostiikkatiedot ovat pienin tarvittava määrä tietoja, joiden avulla Microsoft Defender for Endpoint pysyvät suojattuina, ajan tasalla ja toimivat odotetulla tavalla laitteessa, johon se on asennettu.
Pakolliset diagnostiikkatiedot auttavat tunnistamaan laite- tai ohjelmistokokoonpanoon mahdollisesti liittyviä Microsoft Defender for Endpoint liittyviä ongelmia. Se voi esimerkiksi auttaa määrittämään, kaatuuko Microsoft Defender for Endpoint-ominaisuus useammin tietyssä käyttöjärjestelmäversiossa, äskettäin käyttöön otetut ominaisuudet tai kun tietyt Microsoft Defender for Endpoint ominaisuudet on poistettu käytöstä. Pakolliset diagnostiikkatiedot auttavat Microsoftia havaitsemaan, tunnistamaan ja korjaamaan näitä ongelmia nopeammin, jotta vaikutus käyttäjiin tai organisaatioihin pienenee.
Ohjelmiston asennus- ja inventointitietotapahtumat
Microsoft Defender for Endpoint asennus tai asennuksen poisto:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| correlation_id | Asennukseen liittyvä yksilöllinen tunnus. |
| Versio | Paketin versio. |
| Vakavuus | Viestin vakavuus (esimerkiksi Tiedote). |
| Koodi | Koodi, joka kuvaa toimintoa. |
| Teksti | Tuotteen asennukseen liittyvät lisätiedot. |
Microsoft Defender for Endpoint määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| antivirus_engine.enable_real_time_protection | Onko reaaliaikainen suojaus käytössä laitteessa vai ei. |
| antivirus_engine.passive_mode | Onko passiivitila käytössä laitteessa vai ei. |
| cloud_service.enabled | Onko pilvipalvelun tarjoama suojaus käytössä laitteessa vai ei. |
| cloud_service.aikakatkaisu | Aikakatkaisu, kun sovellus viestii Microsoft Defender for Endpoint pilvipalvelun kanssa. |
| cloud_service.heartbeat_interval | Aikaväli tuotteen pilvipalveluun lähettämien peräkkäisten sykkeiden välillä. |
| cloud_service.service_URI | URI,jota käytetään tiedonvälitykseen pilvipalvelun kanssa. |
| cloud_service.diagnostic_level | Laitteen diagnostiikkataso (pakollinen, valinnainen). |
| cloud_service.automatic_sample_submission | Onko automaattinen mallin lähettäminen käytössä vai ei. |
| cloud_service.automatic_definition_update_enabled | Onko automaattisen määrityksen päivitys käytössä vai ei. |
| edr.early_preview | Määrittää, tuleeko laitteen suorittaa EDR:n varhaisen esikatselun ominaisuudet. |
| edr.group_id | Tunnistamis- ja vastausosan käyttämä ryhmätunnus. |
| edr.tags | Käyttäjän määrittämät tunnisteet. |
| Ominaisuuksia. [valinnainen ominaisuuden nimi] | Esikatseluominaisuuksien luettelo sekä se, onko ne otettu käyttöön vai ei. |
Tuotteiden ja palvelujen käyttötietotapahtumat
Suojaustietojen päivitysraportti:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| from_version | Alkuperäinen suojaustietojen versio. |
| to_version | Uusi suojaustietoversio. |
| Tila | Onnistumista tai epäonnistumista ilmaisevan päivityksen tila. |
| using_proxy | Onko päivitys tehty välityspalvelimella. |
| Virhe | Virhekoodi, jos päivitys epäonnistui. |
| Syy | Virhesanoma, jos päivitetty tiedosto on tehty. |
Tuotteiden ja palveluiden suorituskykytietotapahtumat pakollisille diagnostiikkatieduksille
Sovelluksen odottamaton sulkeutuminen (kaatuminen):
Kerää järjestelmätietoja ja sovelluksen tilan, kun sovellus sulkeutuu odottamatta.
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| v1_crash_count | Kuinka monta kertaa V1-moduulin prosessi kaatui joka tunti asiakaskoneessa |
| v2_crash_count | Kuinka monta kertaa V2-moduulin prosessi kaatui joka tunti asiakaskoneessa |
| EDR_crash_count | Kuinka monta kertaa EDR-prosessi kaatui tunnin välein asiakaskoneessa |
Ytimen laajennuksen tilastotiedot:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| Versio | Microsoft Defender for Endpoint versio macOS:ssä. |
| instance_id | Ytimen laajennuksen käynnistyksen yhteydessä luotu yksilöllinen tunnus. |
| trace_level | Ytimen jatkeen jäljitystaso. |
| Osajärjestelmän | Taustalla oleva osajärjestelmä, jota käytetään reaaliaikaiseen suojaukseen. |
| ipc.connects | Ytimen laajennuksen vastaanottamien yhteyspyyntöjen määrä. |
| ipc.rejects | Ytimen laajennuksen hylkäämien yhteyspyyntöjen määrä. |
| ipc.connected | Onko ydinlaajennukseen aktiivista yhteyttä. |
Tukitiedot
Diagnostiikkalokit:
Diagnostiikkalokit kerätään vain käyttäjän suostumuksella osana palautteen lähettämisominaisuutta. Seuraavat tiedostot kerätään osana tukilokeja:
- Kaikki tiedostot kohdassa /Library/Logs/Microsoft/mdatp/
- Alijoukko tiedostoja kohdassa /Library/Application Support/Microsoft/Defender/ jotka Microsoft Defender for Endpoint on luonut ja käyttänyt macOS:ssä
- Alijoukko tiedostoja kohdassa /Kirjasto/Hallitut asetukset, joita Microsoft Defender for Endpoint käyttää macOS:ssä
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Valinnaiset diagnostiikkatiedot
Valinnaiset diagnostiikkatiedot ovat lisätietoja, joiden avulla Microsoft voi tehdä tuoteparannuksia, sekä parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.
Jos päätät lähettää Microsoftille valinnaiset diagnostiikkatietoja, myös pakolliset diagnostiikkatiedot lähetetään.
Valinnaisia diagnostiikkatietoja ovat esimerkiksi tiedot, joita Microsoft kerää tuotteen kokoonpanosta (esimerkiksi laitteessa määritettyjen poissulkemisten määrä) ja tuotteen suorituskyvystä (koostemittareita tuotteen osien suorituskyvystä).
Ohjelmiston asennus- ja inventaariotietotapahtumat valinnaisille diagnostiikkatieduksille
Microsoft Defender for Endpoint määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| connection_retry_timeout | Yhteyden uudelleenyritysten aikakatkaisu, kun yhteys pilvipalveluun on muodostettu. |
| file_hash_cache_maximum | Tuotevälimuistin koko. |
| crash_upload_daily_limit | Päivittäin ladattavien kaatumislokien enimmäismäärä. |
| antivirus_engine.exclusions[].is_directory | Onko poissulkeminen skannauksesta hakemisto vai ei. |
| antivirus_engine.exclusions[].path | Polku, joka jätettiin pois skannauksesta. |
| antivirus_engine.exclusions[].extension | Laajennusta ei voi skannata. |
| antivirus_engine.exclusions[].name | Skannauksesta pois jätetyn tiedoston nimi. |
| antivirus_engine.scan_cache_maximum | Tuotevälimuistin koko. |
| antivirus_engine.maximum_scan_threads | Skannauksessa käytettävien säikeiden enimmäismäärä. |
| antivirus_engine.threat_restore_exclusion_time | Aikakatkaisu, ennen kuin karanteenista palautettu tiedosto voidaan havaita uudelleen. |
| antivirus_engine.threat_type_settings | Määritys sille, miten tuote käsittelee erilaisia uhkatyyppejä. |
| filesystem_scanner.full_scan_directory | Täyden tarkistuksen hakemisto. |
| filesystem_scanner.quick_scan_directories | Luettelo pikatarkistuksen hakemistoista. |
| edr.latency_mode | Tunnistamis- ja vastausosan käyttämä viivetila. |
| edr.proxy_address | Tunnistamis- ja vastausosan käyttämä välityspalvelimen osoite. |
Microsoftin automaattisen päivityksen määritys:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| how_to_check | Määrittää, miten tuotepäivitykset tarkistetaan (esimerkiksi automaattinen tai manuaalinen). |
| channel_name | Laitteeseen liittyvän kanavan päivittäminen. |
| manifest_server | Päivitysten lataamiseen käytettävä palvelin. |
| update_cache | Päivitysten tallentamiseen käytettävän välimuistin sijainti. |
Tuotteiden ja palvelujen käyttö
Diagnostiikkalokin latauksen aloitusraportti
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| sha256 | Tukilokin SHA256-tunnus. |
| Koko | Tukilokin koko. |
| original_path | Tukilokin polku (aina kohdassa /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Muodossa | Tukilokin muoto. |
| Metatiedot | Tietoja tukilokin sisällöstä. |
Diagnostiikkalokin latauksen valmis raportti
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| request_id | Tukilokin latauspyynnön korrelaatiotunnus. |
| sha256 | Tukilokin SHA256-tunnus. |
| blob_sas_uri | URI, jota sovellus käyttää tukilokin lataamiseen. |
Tuotteiden ja palveluiden suorituskykytietotapahtumat tuotteiden ja palveluiden käyttöä varten
Sovelluksen odottamaton sulkeutuminen (kaatuminen):
Sovelluksen odottamaton sulkeutuminen ja sovelluksen tila tämän tapahtuessa.
Ytimen laajennuksen tilastotiedot:
Seuraavat kentät kerätään:
| Kenttä | Kuvaus |
|---|---|
| pkt_ack_timeout | Seuraavat ominaisuudet ovat koostettuja numeerisia arvoja, jotka edustavat ydinlaajennuksen käynnistyksen jälkeen tapahtuneiden tapahtumien määrää. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.siirrä | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Resurssit
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.