Confidentialité des Microsoft Defender pour point de terminaison sur Linux
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Microsoft s’engage à vous fournir les informations et les contrôles dont vous avez besoin pour faire des choix sur la façon dont vos données sont collectées et utilisées lorsque vous utilisez Defender pour point de terminaison sur Linux.
Cet article décrit les contrôles de confidentialité disponibles dans le produit, comment gérer ces contrôles avec des paramètres de stratégie et plus de détails sur les événements de données collectés.
Vue d’ensemble des contrôles de confidentialité dans Microsoft Defender pour point de terminaison sur Linux
Cette section décrit les contrôles de confidentialité pour les différents types de données collectés par Defender pour point de terminaison sur Linux.
Données de diagnostic
Les données de diagnostic sont utilisées pour assurer la sécurité et la mise à jour de Defender pour point de terminaison, détecter, diagnostiquer et résoudre les problèmes, et apporter des améliorations au produit.
Certaines données de diagnostic sont obligatoires, d’autres sont facultatives. Nous vous donnons la possibilité de choisir de nous envoyer des données de diagnostic obligatoires ou facultatives à l’aide de contrôles de confidentialité, tels que les paramètres de stratégie pour les organisations.
Vous avez le choix entre deux niveaux de données de diagnostic pour les logiciels clients Defender pour point de terminaison :
- Obligatoire : données minimales nécessaires pour assurer la sécurité, la mise à jour et l’exécution de Defender pour point de terminaison comme prévu sur l’appareil sur lequel il est installé.
- Facultatif : autres données qui aident Microsoft à apporter des améliorations au produit et fournissent des informations améliorées pour détecter, diagnostiquer et corriger les problèmes.
Par défaut, seules les données de diagnostic requises sont envoyées à Microsoft.
Données de protection fournies par le cloud
La protection fournie par le cloud est utilisée pour fournir une protection accrue et plus rapide avec l’accès aux données de protection les plus récentes dans le cloud.
L’activation du service de protection fourni par le cloud est facultative, mais elle est fortement recommandée, car elle fournit une protection importante contre les programmes malveillants sur vos points de terminaison et sur votre réseau.
Exemple de données
Les exemples de données sont utilisés pour améliorer les fonctionnalités de protection du produit, en envoyant des échantillons suspects à Microsoft afin qu’ils puissent être analysés. L’activation de l’envoi automatique d’exemples est facultative.
Il existe trois niveaux pour contrôler l’envoi d’exemples :
- Aucun : aucun échantillon suspect n’est envoyé à Microsoft.
- Sécurisé : seuls les échantillons suspects qui ne contiennent pas d’informations d’identification personnelle (PII) sont envoyés automatiquement. Il s’agit de la valeur par défaut.
- Tout : tous les échantillons suspects sont envoyés à Microsoft.
Gérer les Contrôles de protection des données avec des paramètres de stratégie
Si vous êtes administrateur informatique, vous pouvez configurer ces contrôles au niveau de l’entreprise.
Les contrôles de confidentialité pour les différents types de données décrits dans la section précédente sont décrits en détail dans Définir les préférences pour Defender pour point de terminaison sur Linux.
Comme pour les nouveaux paramètres de stratégie, vous devez les tester soigneusement dans un environnement limité et contrôlé pour vous assurer que les paramètres que vous configurez ont l’effet souhaité avant d’implémenter les paramètres de stratégie plus largement dans votre organization.
Événements de données de diagnostic
Cette section décrit les données de diagnostic requises et les données de diagnostic facultatives, ainsi qu’une description des événements et des champs collectés.
Champs de données communs à tous les événements
Certaines informations sur les événements sont communes à tous les événements, quelle que soit la catégorie ou le sous-type de données.
Les champs suivants sont considérés comme communs pour tous les événements :
| Field | Description |
|---|---|
| platform | Classification générale de la plateforme sur laquelle l’application s’exécute. Permet à Microsoft d’identifier sur quelles plateformes un problème peut se produire afin qu’il puisse être correctement hiérarchisé. |
| machine_guid | Identificateur unique associé à l’appareil. Permet à Microsoft d’identifier si les problèmes affectent un ensemble sélectionné d’installations et le nombre d’utilisateurs concernés. |
| sense_guid | Identificateur unique associé à l’appareil. Permet à Microsoft d’identifier si les problèmes affectent un ensemble sélectionné d’installations et le nombre d’utilisateurs concernés. |
| org_id | Identificateur unique associé à l’entreprise à laquelle appartient l’appareil. Permet à Microsoft d’identifier si les problèmes affectent un ensemble sélectionné d’entreprises et le nombre d’entreprises concernées. |
| nom d’hôte | Nom de l’appareil local (sans suffixe DNS). Permet à Microsoft d’identifier si les problèmes affectent un ensemble sélectionné d’installations et le nombre d’utilisateurs concernés. |
| product_guid | Identificateur unique du produit. Permet à Microsoft de différencier les problèmes affectant différentes saveurs du produit. |
| app_version | Version de l’application Defender pour point de terminaison sur Linux. Permet à Microsoft d’identifier les versions du produit qui présentent un problème afin qu’il puisse être correctement hiérarchisé. |
| sig_version | Version de la base de données security intelligence. Permet à Microsoft d’identifier les versions du renseignement de sécurité qui présentent un problème afin qu’il puisse être correctement hiérarchisé. |
| supported_compressions | Liste des algorithmes de compression pris en charge par l’application, par exemple ['gzip']. Permet à Microsoft de comprendre quels types de compressions peuvent être utilisés lorsqu’il communique avec l’application. |
| release_ring | Sonnerie à laquelle l’appareil est associé (par exemple Insider Fast, Insider Slow, Production). Permet à Microsoft d’identifier sur quel anneau de mise en production un problème peut se produire afin qu’il puisse être correctement hiérarchisé. |
Données de diagnostic requises
Les données de diagnostic requises sont les données minimales nécessaires pour assurer la sécurité, la mise à jour et l’exécution de Defender pour point de terminaison comme prévu sur l’appareil sur lequel il est installé.
Les données de diagnostic requises permettent d’identifier les problèmes liés aux Microsoft Defender pour point de terminaison qui peuvent être liés à une configuration d’appareil ou de logiciel. Par exemple, il peut aider à déterminer si une fonctionnalité Defender pour point de terminaison se bloque plus fréquemment sur une version particulière du système d’exploitation, avec des fonctionnalités nouvellement introduites ou quand certaines fonctionnalités de Defender pour point de terminaison sont désactivées. Les données de diagnostic requises aident Microsoft à détecter, diagnostiquer et résoudre ces problèmes plus rapidement afin de réduire l’impact sur les utilisateurs ou les organisations.
Événements de données liés à l’inventaire et à la configuration des logiciels
installation/désinstallation Microsoft Defender pour point de terminaison :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| correlation_id | Identificateur unique associé à l’installation. |
| version | Version du package. |
| Sévérité | Gravité du message (par exemple, Information). |
| code | Code qui décrit l’opération. |
| text | Informations supplémentaires associées à l’installation du produit. |
Microsoft Defender pour point de terminaison configuration :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| antivirus_engine.enable_real_time_protection | Indique si la protection en temps réel est activée sur l’appareil ou non. |
| antivirus_engine.passive_mode | Indique si le mode passif est activé ou non sur l’appareil. |
| cloud_service.enabled | Indique si la protection fournie par le cloud est activée sur l’appareil ou non. |
| cloud_service.timeout | Délai d’attente lorsque l’application communique avec le cloud Defender pour point de terminaison. |
| cloud_service.heartbeat_interval | Intervalle entre les pulsations consécutives envoyées par le produit au cloud. |
| cloud_service.service_uri | URI utilisé pour communiquer avec le cloud. |
| cloud_service.diagnostic_level | Niveau de diagnostic de l’appareil (obligatoire, facultatif). |
| cloud_service.automatic_sample_submission | Niveau de soumission automatique de l’échantillon de l’appareil (aucun, sécurisé, tout). |
| cloud_service.automatic_definition_update_enabled | Indique si la mise à jour automatique des définitions est activée ou non. |
| edr.early_preview | Indique si l’appareil doit exécuter les fonctionnalités EDR en préversion anticipée. |
| edr.group_id | Identificateur de groupe utilisé par le composant de détection et de réponse. |
| edr.tags | Balises définies par l’utilisateur. |
| fonctionnalités. [nom de la fonctionnalité facultative] | Liste des fonctionnalités en préversion, ainsi que leur activation ou non. |
Événements de données liés à l'utilisation des produits et services
Rapport de mise à jour du renseignement de sécurité :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| from_version | Version d’origine du renseignement de sécurité. |
| to_version | Nouvelle version du renseignement de sécurité. |
| status | État de la mise à jour indiquant la réussite ou l’échec. |
| using_proxy | Indique si la mise à jour a été effectuée via un proxy. |
| error | Code d’erreur si la mise à jour a échoué. |
| reason (Raison) | Message d’erreur si la mise à jour a échoué. |
Événements de données de performances de produit et de service pour les données de diagnostic requises
Statistiques d’extension du noyau :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| version | Version de Defender pour point de terminaison sur Linux. |
| instance_id | Identificateur unique généré au démarrage de l’extension du noyau. |
| trace_level | Niveau de trace de l’extension du noyau. |
| sous-système | Sous-système sous-jacent utilisé pour la protection en temps réel. |
| ipc.connects | Nombre de demandes de connexion reçues par l’extension du noyau. |
| ipc.rejects | Nombre de demandes de connexion rejetées par l’extension du noyau. |
| ipc.connected | Indique s’il existe une connexion active à l’extension du noyau. |
Données de support
Journaux de diagnostic :
Les journaux de diagnostic sont collectés uniquement avec le consentement de l’utilisateur dans le cadre de la fonctionnalité de soumission de commentaires. Les fichiers suivants sont collectés dans les journaux de support :
- Tous les fichiers sous /var/log/microsoft/mdatp
- Sous-ensemble de fichiers sous /etc/opt/microsoft/mdatp qui sont créés et utilisés par Defender pour point de terminaison sur Linux
- Journaux d’installation et de désinstallation du produit sous /var/log/microsoft/mdatp/*.log
Données de diagnostic facultatives
Les données de diagnostic facultatives sont des données supplémentaires qui aident Microsoft à améliorer le produit et fournissent des informations améliorées pour détecter, diagnostiquer et résoudre les problèmes.
Si vous choisissez d’envoyer des données de diagnostic facultatives, les données de diagnostic requises sont également incluses.
Parmi les exemples de données de diagnostic facultatives, citons les données collectées par Microsoft sur la configuration du produit (par exemple le nombre d’exclusions définies sur l’appareil) et les performances du produit (mesures agrégées sur les performances des composants du produit).
Événements de données de configuration logicielle et d’inventaire pour les données de diagnostic facultatives
Microsoft Defender pour point de terminaison configuration :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| connection_retry_timeout | Délai d’expiration des nouvelles tentatives de connexion lors de la communication avec le cloud. |
| file_hash_cache_maximum | Taille du cache de produit. |
| crash_upload_daily_limit | Limite de journaux d’incident chargés quotidiennement. |
| antivirus_engine.exclusions[].is_directory | Indique si l’exclusion de l’analyse est un répertoire ou non. |
| antivirus_engine.exclusions[].path | Chemin qui a été exclu de l’analyse. |
| antivirus_engine.exclusions[].extension | Extension exclue de l’analyse. |
| antivirus_engine.exclusions[].name | Nom du fichier exclu de l’analyse. |
| antivirus_engine.scan_cache_maximum | Taille du cache de produit. |
| antivirus_engine.maximum_scan_threads | Nombre maximal de threads utilisés pour l’analyse. |
| antivirus_engine.threat_restoration_exclusion_time | Délai d’attente avant qu’un fichier restauré à partir de la quarantaine puisse être détecté à nouveau. |
| antivirus_engine.threat_type_settings | Configuration de la façon dont les différents types de menaces sont gérés par le produit. |
| filesystem_scanner.full_scan_directory | Répertoire d’analyse complète. |
| filesystem_scanner.quick_scan_directories | Liste des répertoires utilisés dans l’analyse rapide. |
| edr.latency_mode | Mode de latence utilisé par le composant de détection et de réponse. |
| edr.proxy_address | Adresse proxy utilisée par le composant de détection et de réponse. |
Configuration de Microsoft Auto-Update :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| how_to_check | Détermine la façon dont les mises à jour de produit sont vérifiées (par exemple, automatique ou manuelle). |
| channel_name | Canal de mise à jour associé à l’appareil. |
| manifest_server | Serveur utilisé pour télécharger les mises à jour. |
| update_cache | Emplacement du cache utilisé pour stocker les mises à jour. |
Utilisation des produits et services
Rapport de chargement du journal de diagnostic démarré
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| sha256 | Identificateur SHA256 du journal de support. |
| size | Taille du journal de support. |
| original_path | Chemin d’accès au journal de support (toujours sous /var/opt/microsoft/mdatp/wdavdiag/). |
| format | Format du journal de support. |
Rapport terminé sur le chargement du journal de diagnostic
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| request_id | ID de corrélation pour la demande de chargement du journal de support. |
| sha256 | Identificateur SHA256 du journal de support. |
| blob_sas_uri | URI utilisé par l’application pour charger le journal de support. |
Événements de données de performances de produit et de service pour le service et l’utilisation des produits
Sortie inattendue de l’application (plantage) :
Sorties inattendues de l’application et état de celle-ci lorsque cela se produit.
Statistiques d’extension du noyau :
Les champs suivants sont collectés :
| Field | Description |
|---|---|
| pkt_ack_timeout | Les propriétés suivantes sont des valeurs numériques agrégées, représentant le nombre d’événements qui se sont produits depuis le démarrage de l’extension du noyau. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressources
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.