פרטיות עבור Microsoft Defender עבור נקודת קצה ב- Linux
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
Microsoft מחויבת לספק לך את המידע והפקדים הדרושים לך כדי לקבל החלטות לגבי האופן שבו הנתונים שלך נאספים ומשמשים כאשר אתה משתמש ב- Defender for Endpoint ב- Linux.
מאמר זה מתאר את בקרות הפרטיות הזמינות במוצר, כיצד לנהל פקדים אלה עם הגדרות מדיניות ופרטים נוספים על אירועי הנתונים הנאספים.
מבט כולל על בקרות פרטיות ב- Microsoft Defender עבור נקודת קצה ב- Linux
סעיף זה מתאר את בקרות הפרטיות עבור סוגי הנתונים השונים שנאספים על-ידי Defender for Endpoint ב- Linux.
נתוני אבחון
נתוני אבחון משמשים כדי לשמור על Defender for Endpoint מאובטח ומתעדכן, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר.
חלק מנתוני האבחון הם נדרשים וחלק מנתוני האבחון הם אופציונליים. אנו מאפשרים לך לבחור אם לשלוח לנו נתוני אבחון נדרשים או אופציונליים באמצעות בקרות פרטיות, כגון הגדרות מדיניות עבור ארגונים.
קיימות שתי רמות של נתוני אבחון עבור תוכנת לקוח של Defender for Endpoint שניתן לבחור מתוכן:
- נדרש: כמות הנתונים המינימלית הדרושה כדי לשמור על האבטחה, העדכון והביצועים הצפויים של Defender for Endpoint במכשיר שבו הוא מותקן.
- אופציונלי: נתונים אחרים שמסייעים ל- Microsoft לבצע שיפורים במוצר ומספקים מידע נוסף כדי לעזור לזהות, לאבחן ולפתור בעיות.
כברירת מחדל, רק נתוני האבחון הנדרשים נשלחים אל Microsoft.
נתוני הגנה מבוססי ענן
הגנה מבוססת ענן משמשת כדי לספק הגנה מוגברת ומהירה יותר עם גישה לנתונים העדכניים ביותר של ההגנה בענן.
הפעלת שירות ההגנה מבוסס הענן היא אופציונלית, אך מומלץ מאוד מכיוון שהיא מספקת הגנה חשובה מפני תוכנות זדוניות ב נקודות הקצה שלך ובכל הרשת.
נתונים לדוגמה
נתונים לדוגמה משמשים לשיפור יכולות ההגנה של המוצר, על-ידי שליחת דוגמאות חשודות של Microsoft כדי שניתן יהיה לנתח אותן. הפעלת שליחת דוגמאות אוטומטית היא אופציונלית.
קיימות שלוש רמות לשליטה בהגשה לדוגמה:
- ללא: לא נשלחו דוגמאות חשודות ל- Microsoft.
- בטוח: רק דוגמאות חשודות שאינן מכילות מידע המאפשר זיהוי אישי (PII) נשלחות באופן אוטומטי. (אפס) זהו ערך ברירת המחדל.
- הכל: כל הדוגמאות החשודות נשלחות ל- Microsoft.
ניהול בקרות פרטיות עם הגדרות מדיניות
אם אתה מנהל IT, ייתכן שתרצה להגדיר פקדים אלה ברמת הארגון.
בקרות הפרטיות עבור סוגי הנתונים השונים המתוארים בסעיף הקודם מתוארות בפירוט במאמר הגדרת העדפות עבור Defender עבור נקודת קצה ב- Linux.
בדומה להגדרות מדיניות חדשות, עליך לבדוק אותן בקפידה בסביבה מוגבלת ומבוקרת כדי להבטיח שלהגדרות שתקבע את תצורתן יש את ההשפעה הרצויה לפני שתטמיע את הגדרות המדיניות בצורה נרחבת יותר בארגון שלך.
אירועי נתוני אבחון
סעיף זה מתאר מה נחשב לנתוני אבחון נדרשים ומה נחשבים לנתוני אבחון אופציונליים, יחד עם תיאור של האירועים והשדות הנאספים.
שדות נתונים נפוצים עבור כל האירועים
חלק מהמידע על אירועים משותף לכל האירועים, ללא קשר לקטגוריה או לסוג המשנה של הנתונים.
השדות הבאים נחשבים נפוצים עבור כל האירועים:
| שדה | תיאור |
|---|---|
| פלטפורמה | הסיווג הרחב של הפלטפורמה שבה האפליקציה פועלת. מאפשר ל- Microsoft לזהות באילו פלטפורמות עשויה להתרחש בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי. |
| machine_guid | מזהה ייחודי המשויך למכשיר. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים. |
| sense_guid | מזהה ייחודי המשויך למכשיר. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים. |
| org_id | מזהה ייחודי המשויך לארגון שההתקן שייך אליו. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של ארגונים וכמה ארגונים מושפעים. |
| שם מחשב מארח | שם מכשיר מקומי (ללא סיומת DNS). מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים. |
| product_guid | מזהה ייחודי של המוצר. מאפשר ל- Microsoft להבחין בין בעיות המשפיעות על טעמים שונים של המוצר. |
| app_version | גירסה של Defender עבור נקודת קצה ביישום Linux. מאפשר ל- Microsoft לזהות אילו גירסאות של המוצר מציגות בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלו כראוי. |
| sig_version | גירסה של מסד נתונים של בינת אבטחה. מאפשר ל- Microsoft לזהות אילו גירסאות של בינת האבטחה מציגות בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי. |
| supported_compressions | רשימה של אלגוריתמי דחיסה הנתמכים על-ידי היישום, לדוגמה ['gzip']. מאפשר ל- Microsoft להבין באילו סוגי דחיסה ניתן להשתמש כאשר היא מתקשרת עם האפליקציה. |
| release_ring | צלצל למכשיר המשויך (לדוגמה, 'Insider מהיר', 'Insider איטי', 'ייצור'). מאפשר ל- Microsoft לזהות באיזו מהדורה עשויה להתרחש בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי. |
נתוני אבחון נדרשים
נתוני אבחון נדרשים הם כמות הנתונים המינימלית הדרושה כדי לשמור על האבטחה והביצועים הצפויים של נקודת הקצה של Defender for Endpoint במכשיר שבו הוא מותקן.
נתוני אבחון נדרשים עוזרים לזהות בעיות Microsoft Defender עבור נקודת קצה שעשויות להיות קשורות לתצורות של מכשיר או תוכנה. לדוגמה, הוא יכול לעזור לקבוע אם תכונת Defender for Endpoint קורסת בתדירות גבוהה יותר בגירסה מסוימת של מערכת ההפעלה, עם תכונות חדשות שהוצגו או כאשר תכונות מסוימות של Defender for Endpoint אינן זמינות. נתוני אבחון נדרשים עוזרים ל- Microsoft לזהות, לאבחן ולפתור בעיות אלה במהירות רבה יותר כך שההשפעה על משתמשים או ארגונים תפחת.
אירועי נתונים של הגדרת תוכנה ומלאי
Microsoft Defender עבור נקודת קצה התקנה/ הסרת התקנה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| correlation_id | מזהה ייחודי המשויך להתקנה. |
| גירסה | גירסת החבילה. |
| חומרת | חומרת ההודעה (לדוגמה מידע). |
| קוד | קוד המתאר את הפעולה. |
| טקסט | מידע נוסף המשויך להתקנת המוצר. |
Microsoft Defender עבור נקודת קצה תצורה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| antivirus_engine.enable_real_time_protection | בין אם הגנה בזמן אמת מופעלת במכשיר או לא. |
| antivirus_engine.passive_mode | אם מצב פאסיבי זמין במכשיר או לא. |
| cloud_service.enabled | אם הגנה מבוססת ענן מופעלת במכשיר או לא. |
| cloud_service.timeout | הזמן קצוב כאשר היישום מקיים תקשורת עם הענן של Defender for Endpoint. |
| cloud_service.heartbeat_interval | מרווח בין פעימות עוקבות שנשלחו על-ידי המוצר לענן. |
| cloud_service.service_uri | URI המשמש לתקשורת עם הענן. |
| cloud_service.diagnostic_level | רמת אבחון של המכשיר (נדרש, אופציונלי). |
| cloud_service.automatic_sample_submission | רמת שליחת דוגמאות אוטומטית של המכשיר (ללא, בטוחה, הכל). |
| cloud_service.automatic_definition_update_enabled | אם עדכון הגדרה אוטומטי מופעל או לא. |
| edr.early_preview | אם המכשיר אמור להפעיל תכונות תצוגה מקדימה מוקדמת של EDR. |
| edr.group_id | מזהה קבוצה המשמש את רכיב הזיהוי והתגובה. |
| תגיות edr.tags | תגיות המוגדרות על-ידי המשתמש. |
| תכונות. [שם תכונה אופציונלי] | רשימה של תכונות תצוגה מקדימה, יחד עם הזמינות או לא. |
אירועים שקשורים לנתוני שימוש במוצרים ובשירותים
דוח עדכון בינת אבטחה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| from_version | גירסת בינת אבטחה מקורית. |
| to_version | גירסה חדשה של בינת אבטחה. |
| מצב | מצב העדכון המציין הצלחה או כשל. |
| using_proxy | אם העדכון בוצע באמצעות Proxy. |
| שגיאה | קוד שגיאה אם העדכון נכשל. |
| סיבה | הודעת שגיאה אם העדכון נכשל. |
אירועי נתונים של ביצועי מוצרים ושירותים עבור נתוני אבחון נדרשים
סטטיסטיקת הרחבת ליבה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| גירסה | גירסה של Defender עבור נקודת קצה ב- Linux. |
| instance_id | מזהה ייחודי שנוצר בעת אתחול הרחבת ליבה. |
| trace_level | רמת מעקב של הרחבת הליבה. |
| מערכת משנה | מערכת המשנה המשמשת להגנה בזמן אמת. |
| ipc.connects | מספר בקשות החיבור שהתקבלו על-ידי הרחבת הליבה. |
| ipc.rejects | מספר בקשות החיבור שנדחו על-ידי הרחבת הליבה. |
| ipc.connected | אם יש חיבור פעיל להרחבת הליבה. |
נתוני תמיכה
יומני אבחון:
יומני אבחון נאספים רק בהסכמת המשתמש כחלק מתכונת שליחת המשוב. הקבצים הבאים נאספים כחלק מיומני התמיכה:
- כל הקבצים תחת /var/log/microsoft/mdatp
- קבוצת משנה של קבצים תחת /etc/opt/microsoft/mdatp שנוצרים ומשמשים את Defender for Endpoint ב- Linux
- יומני התקנה והסרת התקנה של מוצרים תחת /var/log/microsoft/mdatp/*.log
נתוני אבחון אופציונליים
נתוני אבחון אופציונליים הם נתונים נוספים שמסייעים ל- Microsoft לבצע שיפורים במוצר ומספקים מידע נוסף כדי לעזור לזהות, לאבחן ולפתור בעיות.
אם אתה בוחר לשלוח נתוני אבחון אופציונליים, הם נאספים בנוסף לנתוני האבחון הנדרשים.
דוגמאות לנתוני אבחון אופציונליים כוללות נתונים ש- Microsoft אוספת אודות תצורת המוצר (לדוגמה, מספר אי-ההכללות שהוגדרו במכשיר) וביצועי המוצר (מדדים מצטברים לגבי ביצועי רכיבי המוצר).
אירועי נתוני הגדרה ומלאי של תוכנה עבור נתוני אבחון אופציונליים
Microsoft Defender עבור נקודת קצה תצורה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| connection_retry_timeout | הזמן קצוב לניסיון חוזר לחיבור הסתיים בעת תקשורת עם הענן. |
| file_hash_cache_maximum | גודל מטמון המוצרים. |
| crash_upload_daily_limit | מגבלה של יומני קריסה שהועלו מדי יום. |
| antivirus_engine.exclusions[].is_directory | אם אי-הכללה בסריקה היא ספריה או לא. |
| antivirus_engine.exclusions[].path | הנתיב שלא נכלל בסריקה. |
| antivirus_engine.exclusions[].extension | ההרחבה לא נכללה בסריקה. |
| antivirus_engine.exclusions[].name | שם הקובץ שלא נכלל בסריקה. |
| antivirus_engine.scan_cache_maximum | גודל מטמון המוצרים. |
| antivirus_engine.maximum_scan_threads | המספר המרבי של הליכי משנה המשמשים לסריקה. |
| antivirus_engine.threat_restoration_exclusion_time | הזמן קצוב לפני שניתן יהיה לזהות שוב קובץ ששוחזר מהסגר. |
| antivirus_engine.threat_type_settings | קביעת תצורה עבור אופן טיפול בסוגי איומים שונים על-ידי המוצר. |
| filesystem_scanner.full_scan_directory | ספריית סריקה מלאה. |
| filesystem_scanner.quick_scan_directories | רשימת מדריכי כתובות המשמשים לסריקה מהירה. |
| edr.latency_mode | מצב השהיה המשמש את רכיב הזיהוי והתגובה. |
| edr.proxy_address | כתובת Proxy המשמשת את רכיב הזיהוי והתגובה. |
תצורת Microsoft Auto-Update:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| how_to_check | קובע כיצד עדכוני מוצר מסומנים (לדוגמה, אוטומטיים או ידניים). |
| channel_name | עדכן ערוץ המשויך למכשיר. |
| manifest_server | השרת המשמש להורדת עדכונים. |
| update_cache | מיקום המטמון המשמש לאחסון עדכונים. |
שימוש במוצרים ובשירותים
דוח העלאה של יומן האבחון התחיל
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| עדי תם | מזהה SHA256 של יומן התמיכה. |
| גודל | גודל יומן התמיכה. |
| original_path | נתיב אל יומן התמיכה (תמיד תחת /var/opt/microsoft/mdatp/wdavdiag/). |
| תבנית | תבנית יומן התמיכה. |
דוח ההעלאה של יומן האבחון הושלם
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| request_id | מזהה מתאם עבור בקשת ההעלאה של יומן התמיכה. |
| עדי תם | מזהה SHA256 של יומן התמיכה. |
| blob_sas_uri | ה- URI המשמש את היישום להעלאת יומן התמיכה. |
אירועי נתונים של ביצועי מוצרים ושירותים עבור שירות המוצר ושימוש
יציאה לא צפויה של יישום (קריסה):
יציאות בלתי צפויות של היישום ומצב היישום כשהן קורות.
סטטיסטיקת הרחבת ליבה:
השדות הבאים נאספים:
| שדה | תיאור |
|---|---|
| pkt_ack_timeout | המאפיינים הבאים הם ערכים מספריים מצטברים, המייצגים את ספירת האירועים שקרה מאז הפעלת סיומת ליבה. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| מסיכת ipc.kauth.vnode. | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask) | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
משאבים
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור