Lue englanniksi

Jaa


MacOS Microsoft Defender for Endpoint tietosuoja

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft on sitoutunut tarjoamaan sinulle tietoja ja ohjausobjekteja, joita tarvitset tehdäksesi valintoja siitä, miten tietoja kerätään ja käytetään käyttäessäsi Microsoft Defender for Endpoint macOS:ssä.

Tässä ohjeaiheessa kuvataan tuotteen tietosuojan hallinta, näiden ohjausobjektien hallinta käytäntöasetusten avulla ja lisätietoja kerättävissä tietotapahtumissa.

Yleiskatsaus Microsoft Defender for Endpoint tietosuojatoiminnoista macOS:ssä

Tässä osiossa kuvataan Microsoft Defender for Endpoint macOS:ssä keräämien erityyppisten tietojen tietosuojatoiminnot.

Diagnostiikkatiedot

Diagnostiikkatietoja käytetään Microsoft Defender for Endpoint pitämiseen turvallisena ja ajan tasalla, ongelmien havaitsemiseen, diagnosointiin ja korjaamiseen sekä tuotteiden parantamiseen.

Jotkin diagnostiikkatiedot ovat pakollisia ja jotkin valinnaisia. Tietosuojatoimintojen, esimerkiksi organisaatioiden käytäntöasetusten, avulla voit päättää, lähetetäänkö Microsoftille pakolliset vai valinnaiset diagnostiikkatiedot.

Microsoft Defender for Endpoint asiakasohjelmiston diagnostiikkatiedoissa on kaksi tasoa, joista voit valita:

  • Pakollinen: Pienin tarvittava määrä tietoja, joiden avulla Microsoft Defender for Endpoint pysyvät suojattuina, ajan tasalla ja toimivat odotetulla tavalla laitteessa, johon se on asennettu.

  • Valinnainen: Lisätietoja, joiden avulla Microsoft voi tehdä tuoteparannuksia ja antaa parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.

Oletusarvoisesti Microsoftille lähetetään vain pakolliset diagnostiikkatiedot.

Pilvipalveluun toimitetut suojaustiedot

Pilvipalveluun toimitettua suojausta käytetään tarjoamaan entistä nopeampi suojaus ja mahdollisuus käyttää pilvipalvelun uusimpia suojaustietoja.

Pilvipalvelun tarjoaman suojauspalvelun käyttöönotto on valinnaista, mutta se on erittäin suositeltavaa, koska se tarjoaa tärkeän suojan haittaohjelmia vastaan päätepisteissäsi ja verkossasi.

Mallitiedot

Mallitietojen avulla parannetaan tuotteen suojausominaisuuksia lähettämällä Microsoftille epäilyttäviä näytteitä, jotta niitä voidaan analysoida. Automaattisen mallilähetyksen käyttöönotto on valinnaista.

Kun tämä ominaisuus on käytössä ja kerätty malli sisältää todennäköisesti henkilökohtaisia tietoja, käyttäjää pyydetään antamaan suostumus.

Tietosuoja-asetusten hallinta käytäntöasetusten avulla

Jos olet IT-järjestelmänvalvoja, haluat ehkä määrittää nämä ohjausobjektit yritystasolla.

Edellisessä osiossa kuvattujen eri tietotyyppien tietosuojatoiminnot on kuvattu yksityiskohtaisesti kohdassa Microsoft Defender for Endpoint asetusten määrittäminen macOS:ssä.

Kuten kaikissa uusissa käytäntöasetuksissa, testaa ne huolellisesti rajoitetussa ja hallitussa ympäristössä varmistaaksesi, että määrittämäsi asetukset vaikuttavat halutulla tavalla, ennen kuin otat käytäntöasetukset käyttöön laajemmin organisaatiossasi.

Diagnostiikkatietotapahtumat

Tässä osiossa kuvataan, mitä pidetään pakollisina diagnostiikkatietoina ja mitä pidetään valinnaisina diagnostiikkatietoina, sekä kuvataan kerätyt tapahtumat ja kentät.

Kaikille tapahtumille yhteiset tietokentät

Jotkin tapahtuman tiedot liittyvät kaikkiin tapahtumiin niiden luokasta tai tietojen alatyypistä riippumatta.

Seuraavia kenttiä pidetään yleisinä kaikissa tapahtumissa:

Kenttä Kuvaus
Alustan Sovelluksen käyttöympäristön laaja luokitus. Tämän avulla microsoft voi tunnistaa, missä ympäristöissä ongelma ilmenee, jotta se voidaan priorisoida oikein.
machine_guid Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa.
sense_guid Laitteeseen liittyvä yksilöllinen tunnus. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa.
org_id Yksilöivä tunnus, joka liittyy yritykseen, johon laite kuuluu. Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun yritysjoukkoon ja kuinka moneen yrityksiin tämä vaikuttaa.
Hostname Paikallisen laitteen nimi (ilman DNS-jälkiliitettä). Tämän avulla microsoft voi tunnistaa, vaikuttavatko ongelmat valittuun asennusjoukkoon ja kuinka moneen käyttäjään tämä vaikuttaa.
product_guid Tuotteen yksilöllinen tunnus. Tämän avulla Microsoft voi erottaa tuotteen eri makuihin vaikuttavia ongelmia.
app_version Microsoft Defender for Endpoint versio macOS-sovelluksessa. Tämän avulla microsoft voi tunnistaa, missä tuotteen versioissa ongelma ilmenee, jotta se voidaan priorisoida oikein.
sig_version Suojaustietotietokannan versio. Tämän avulla microsoft voi tunnistaa, mitkä suojaustietojen versiot näyttävät ongelman, jotta se voidaan priorisoida oikein.
supported_compressions Luettelo sovelluksen tukemista pakkausalgoritmeista, esimerkiksi ['gzip']. Tämän avulla Microsoft voi ymmärtää, millaisia pakkaustyyppejä voidaan käyttää, kun se viestii sovelluksen kanssa.
release_ring Ring, johon laite liittyy (esimerkiksi Insider Fast, Insider Slow, Production). Tämän avulla Microsoft voi tunnistaa, missä julkaisuringissä ongelma ilmenee, jotta se voidaan priorisoida oikein.

Pakolliset diagnostiikkatiedot

Pakolliset diagnostiikkatiedot ovat pienin tarvittava määrä tietoja, joiden avulla Microsoft Defender for Endpoint pysyvät suojattuina, ajan tasalla ja toimivat odotetulla tavalla laitteessa, johon se on asennettu.

Pakolliset diagnostiikkatiedot auttavat tunnistamaan laite- tai ohjelmistokokoonpanoon mahdollisesti liittyviä Microsoft Defender for Endpoint liittyviä ongelmia. Se voi esimerkiksi auttaa määrittämään, kaatuuko Microsoft Defender for Endpoint-ominaisuus useammin tietyssä käyttöjärjestelmäversiossa, äskettäin käyttöön otetut ominaisuudet tai kun tietyt Microsoft Defender for Endpoint ominaisuudet on poistettu käytöstä. Pakolliset diagnostiikkatiedot auttavat Microsoftia havaitsemaan, tunnistamaan ja korjaamaan näitä ongelmia nopeammin, jotta vaikutus käyttäjiin tai organisaatioihin pienenee.

Ohjelmiston asennus- ja inventointitietotapahtumat

Microsoft Defender for Endpoint asennus tai asennuksen poisto:

Seuraavat kentät kerätään:

Kenttä Kuvaus
correlation_id Asennukseen liittyvä yksilöllinen tunnus.
Versio Paketin versio.
Vakavuus Viestin vakavuus (esimerkiksi Tiedote).
Koodi Koodi, joka kuvaa toimintoa.
Teksti Tuotteen asennukseen liittyvät lisätiedot.

Microsoft Defender for Endpoint määritys:

Seuraavat kentät kerätään:

Kenttä Kuvaus
antivirus_engine.enable_real_time_protection Onko reaaliaikainen suojaus käytössä laitteessa vai ei.
antivirus_engine.passive_mode Onko passiivitila käytössä laitteessa vai ei.
cloud_service.enabled Onko pilvipalvelun tarjoama suojaus käytössä laitteessa vai ei.
cloud_service.aikakatkaisu Aikakatkaisu, kun sovellus viestii Microsoft Defender for Endpoint pilvipalvelun kanssa.
cloud_service.heartbeat_interval Aikaväli tuotteen pilvipalveluun lähettämien peräkkäisten sykkeiden välillä.
cloud_service.service_URI URI,jota käytetään tiedonvälitykseen pilvipalvelun kanssa.
cloud_service.diagnostic_level Laitteen diagnostiikkataso (pakollinen, valinnainen).
cloud_service.automatic_sample_submission Onko automaattinen mallin lähettäminen käytössä vai ei.
cloud_service.automatic_definition_update_enabled Onko automaattisen määrityksen päivitys käytössä vai ei.
edr.early_preview Määrittää, tuleeko laitteen suorittaa EDR:n varhaisen esikatselun ominaisuudet.
edr.group_id Tunnistamis- ja vastausosan käyttämä ryhmätunnus.
edr.tags Käyttäjän määrittämät tunnisteet.
Ominaisuuksia. [valinnainen ominaisuuden nimi] Esikatseluominaisuuksien luettelo sekä se, onko ne otettu käyttöön vai ei.

Tuotteiden ja palvelujen käyttötietotapahtumat

Suojaustietojen päivitysraportti:

Seuraavat kentät kerätään:

Kenttä Kuvaus
from_version Alkuperäinen suojaustietojen versio.
to_version Uusi suojaustietoversio.
Tila Onnistumista tai epäonnistumista ilmaisevan päivityksen tila.
using_proxy Onko päivitys tehty välityspalvelimella.
Virhe Virhekoodi, jos päivitys epäonnistui.
Syy Virhesanoma, jos päivitetty tiedosto on tehty.

Tuotteiden ja palveluiden suorituskykytietotapahtumat pakollisille diagnostiikkatieduksille

Sovelluksen odottamaton sulkeutuminen (kaatuminen):

Kerää järjestelmätietoja ja sovelluksen tilan, kun sovellus sulkeutuu odottamatta.

Seuraavat kentät kerätään:

Kenttä Kuvaus
v1_crash_count Kuinka monta kertaa V1-moduulin prosessi kaatui joka tunti asiakaskoneessa
v2_crash_count Kuinka monta kertaa V2-moduulin prosessi kaatui joka tunti asiakaskoneessa
EDR_crash_count Kuinka monta kertaa EDR-prosessi kaatui tunnin välein asiakaskoneessa

Ytimen laajennuksen tilastotiedot:

Seuraavat kentät kerätään:

Kenttä Kuvaus
Versio Microsoft Defender for Endpoint versio macOS:ssä.
instance_id Ytimen laajennuksen käynnistyksen yhteydessä luotu yksilöllinen tunnus.
trace_level Ytimen jatkeen jäljitystaso.
Osajärjestelmän Taustalla oleva osajärjestelmä, jota käytetään reaaliaikaiseen suojaukseen.
ipc.connects Ytimen laajennuksen vastaanottamien yhteyspyyntöjen määrä.
ipc.rejects Ytimen laajennuksen hylkäämien yhteyspyyntöjen määrä.
ipc.connected Onko ydinlaajennukseen aktiivista yhteyttä.

Tukitiedot

Diagnostiikkalokit:

Diagnostiikkalokit kerätään vain käyttäjän suostumuksella osana palautteen lähettämisominaisuutta. Seuraavat tiedostot kerätään osana tukilokeja:

  • Kaikki tiedostot kohdassa /Library/Logs/Microsoft/mdatp/
  • Alijoukko tiedostoja kohdassa /Library/Application Support/Microsoft/Defender/ jotka Microsoft Defender for Endpoint on luonut ja käyttänyt macOS:ssä
  • Alijoukko tiedostoja kohdassa /Kirjasto/Hallitut asetukset, joita Microsoft Defender for Endpoint käyttää macOS:ssä
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Valinnaiset diagnostiikkatiedot

Valinnaiset diagnostiikkatiedot ovat lisätietoja, joiden avulla Microsoft voi tehdä tuoteparannuksia, sekä parannettuja tietoja ongelmien tunnistamiseen, diagnosointiin ja korjaamiseen.

Jos päätät lähettää Microsoftille valinnaiset diagnostiikkatietoja, myös pakolliset diagnostiikkatiedot lähetetään.

Valinnaisia diagnostiikkatietoja ovat esimerkiksi tiedot, joita Microsoft kerää tuotteen kokoonpanosta (esimerkiksi laitteessa määritettyjen poissulkemisten määrä) ja tuotteen suorituskyvystä (koostemittareita tuotteen osien suorituskyvystä).

Ohjelmiston asennus- ja inventaariotietotapahtumat valinnaisille diagnostiikkatieduksille

Microsoft Defender for Endpoint määritys:

Seuraavat kentät kerätään:

Kenttä Kuvaus
connection_retry_timeout Yhteyden uudelleenyritysten aikakatkaisu, kun yhteys pilvipalveluun on muodostettu.
file_hash_cache_maximum Tuotevälimuistin koko.
crash_upload_daily_limit Päivittäin ladattavien kaatumislokien enimmäismäärä.
antivirus_engine.exclusions[].is_directory Onko poissulkeminen skannauksesta hakemisto vai ei.
antivirus_engine.exclusions[].path Polku, joka jätettiin pois skannauksesta.
antivirus_engine.exclusions[].extension Laajennusta ei voi skannata.
antivirus_engine.exclusions[].name Skannauksesta pois jätetyn tiedoston nimi.
antivirus_engine.scan_cache_maximum Tuotevälimuistin koko.
antivirus_engine.maximum_scan_threads Skannauksessa käytettävien säikeiden enimmäismäärä.
antivirus_engine.threat_restore_exclusion_time Aikakatkaisu, ennen kuin karanteenista palautettu tiedosto voidaan havaita uudelleen.
antivirus_engine.threat_type_settings Määritys sille, miten tuote käsittelee erilaisia uhkatyyppejä.
filesystem_scanner.full_scan_directory Täyden tarkistuksen hakemisto.
filesystem_scanner.quick_scan_directories Luettelo pikatarkistuksen hakemistoista.
edr.latency_mode Tunnistamis- ja vastausosan käyttämä viivetila.
edr.proxy_address Tunnistamis- ja vastausosan käyttämä välityspalvelimen osoite.

Microsoftin automaattisen päivityksen määritys:

Seuraavat kentät kerätään:

Kenttä Kuvaus
how_to_check Määrittää, miten tuotepäivitykset tarkistetaan (esimerkiksi automaattinen tai manuaalinen).
channel_name Laitteeseen liittyvän kanavan päivittäminen.
manifest_server Päivitysten lataamiseen käytettävä palvelin.
update_cache Päivitysten tallentamiseen käytettävän välimuistin sijainti.

Tuotteiden ja palvelujen käyttö

Diagnostiikkalokin latauksen aloitusraportti

Seuraavat kentät kerätään:

Kenttä Kuvaus
sha256 Tukilokin SHA256-tunnus.
Koko Tukilokin koko.
original_path Tukilokin polku (aina kohdassa /Library/Application Support/Microsoft/Defender/wdavdiag/).
Muodossa Tukilokin muoto.
Metatiedot Tietoja tukilokin sisällöstä.

Diagnostiikkalokin latauksen valmis raportti

Seuraavat kentät kerätään:

Kenttä Kuvaus
request_id Tukilokin latauspyynnön korrelaatiotunnus.
sha256 Tukilokin SHA256-tunnus.
blob_sas_uri URI, jota sovellus käyttää tukilokin lataamiseen.

Tuotteiden ja palveluiden suorituskykytietotapahtumat tuotteiden ja palveluiden käyttöä varten

Sovelluksen odottamaton sulkeutuminen (kaatuminen):

Sovelluksen odottamaton sulkeutuminen ja sovelluksen tila tämän tapahtuessa.

Ytimen laajennuksen tilastotiedot:

Seuraavat kentät kerätään:

Kenttä Kuvaus
pkt_ack_timeout Seuraavat ominaisuudet ovat koostettuja numeerisia arvoja, jotka edustavat ydinlaajennuksen käynnistyksen jälkeen tapahtuneiden tapahtumien määrää.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.siirrä
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Resurssit

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.