לקריאה באנגלית

שתף באמצעות


פרטיות עבור Microsoft Defender עבור נקודת קצה ב- macOS

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

Microsoft מחויבת לספק לך את המידע והפקדים הדרושים לך כדי לקבל החלטות לגבי האופן שבו הנתונים שלך נאספים ומשמשים כאשר אתה משתמש ב- Microsoft Defender עבור נקודת קצה ב- macOS.

נושא זה מתאר את בקרות הפרטיות הזמינות במוצר, כיצד לנהל פקדים אלה באמצעות הגדרות מדיניות ופרטים נוספים על אירועי הנתונים הנאספים.

מבט כולל על בקרות פרטיות ב- Microsoft Defender עבור נקודת קצה ב- macOS

סעיף זה מתאר את בקרות הפרטיות עבור סוגי הנתונים השונים הנאספים על-ידי Microsoft Defender עבור נקודת קצה macOS.

נתוני אבחון

נתוני אבחון משמשים לשמירה Microsoft Defender עבור נקודת קצה מאובטחת ומנוהכת, לזהות, לאבחן ולפתור בעיות, וגם כדי לבצע שיפורים במוצר.

חלק מנתוני האבחון הם נדרשים וחלק מנתוני האבחון הם אופציונליים. אנחנו נותנים לך את האפשרות לבחור אם לשלוח לנו נתוני אבחון נדרשים או נתוני אבחון אופציונליים דרך השימוש בבקרות הפרטיות, כמו למשל הגדרות מדיניות לארגונים.

קיימות שתי רמות של נתוני אבחון עבור Microsoft Defender עבור נקודת קצה לקוח שניתן לבחור מתוכן:

  • נדרש: הנתונים המינימליים הנחוצים כדי Microsoft Defender עבור נקודת קצה על האבטחה, האבטחה והביצועים הצפויים במכשיר שבו הוא מותקן.

  • אופציונלי: נתונים נוספים שמסייעים ל- Microsoft לבצע שיפורים במוצר ומספקים מידע נוסף כדי לעזור לזהות, לאבחן ולפתור בעיות.

כברירת מחדל, רק נתוני האבחון הנדרשים נשלחים אל Microsoft.

נתוני הגנה מבוססי ענן

הגנה מבוססת ענן משמשת כדי לספק הגנה מוגברת ומהירה יותר עם גישה לנתונים העדכניים ביותר של ההגנה בענן.

הפעלת שירות ההגנה מבוסס הענן היא אופציונלית, אך מומלץ מאוד מכיוון שהיא מספקת הגנה חשובה מפני תוכנות זדוניות ב נקודות הקצה שלך ובכל הרשת.

נתונים לדוגמה

נתונים לדוגמה משמשים לשיפור יכולות ההגנה של המוצר, על-ידי שליחת דוגמאות חשודות של Microsoft כדי שניתן יהיה לנתח אותן. הפעלת שליחת דוגמאות אוטומטית היא אופציונלית.

כאשר תכונה זו זמינה והמדגם שנאסף עשוי להכיל מידע אישי, המשתמש מתבקש לספק הסכמה.

ניהול בקרות פרטיות עם הגדרות מדיניות

אם אתה מנהל IT, ייתכן שתרצה להגדיר פקדים אלה ברמת הארגון.

בקרות הפרטיות עבור סוגי הנתונים השונים המתוארים בסעיף הקודם מתוארות בפירוט בסעיף הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS.

בדומה להגדרות מדיניות חדשות, עליך לבדוק אותן בקפידה בסביבה מוגבלת ומבוקרת כדי להבטיח שלהגדרות שתקבע את תצורתן יש את ההשפעה הרצויה לפני שתטמיע את הגדרות המדיניות בצורה נרחבת יותר בארגון שלך.

אירועי נתוני אבחון

סעיף זה מתאר מה נחשב לנתוני אבחון נדרשים ומה נחשבים לנתוני אבחון אופציונליים, יחד עם תיאור של האירועים והשדות הנאספים.

שדות נתונים נפוצים עבור כל האירועים

חלק מהמידע על אירועים משותף לכל האירועים, ללא קשר לקטגוריה או לסוג המשנה של הנתונים.

השדות הבאים נחשבים נפוצים עבור כל האירועים:

שדה תיאור
פלטפורמה הסיווג הרחב של הפלטפורמה שבה האפליקציה פועלת. מאפשר ל- Microsoft לזהות באילו פלטפורמות עשויה להתרחש בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי.
machine_guid מזהה ייחודי המשויך למכשיר. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים.
sense_guid מזהה ייחודי המשויך למכשיר. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים.
org_id מזהה ייחודי המשויך לארגון שההתקן שייך אליו. מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של ארגונים וכמה ארגונים מושפעים.
שם מחשב מארח שם מכשיר מקומי (ללא סיומת DNS). מאפשר ל- Microsoft לזהות אם בעיות משפיעות על קבוצה נבחרת של התקנות וכמה משתמשים מושפעים.
product_guid מזהה ייחודי של המוצר. מאפשר ל- Microsoft להבחין בין בעיות המשפיעות על טעמים שונים של המוצר.
app_version גירסת היישום Microsoft Defender עבור נקודת קצה macOS. מאפשר ל- Microsoft לזהות אילו גירסאות של המוצר מציגות בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלו כראוי.
sig_version גירסה של מסד נתונים של בינת אבטחה. מאפשר ל- Microsoft לזהות אילו גירסאות של בינת האבטחה מציגות בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי.
supported_compressions רשימה של אלגוריתמי דחיסה הנתמכים על-ידי היישום, לדוגמה ['gzip']. מאפשר ל- Microsoft להבין באילו סוגי דחיסה ניתן להשתמש כאשר היא מתקשרת עם האפליקציה.
release_ring צלצל למכשיר המשויך (לדוגמה, 'Insider מהיר', 'Insider איטי', 'ייצור'). מאפשר ל- Microsoft לזהות באיזו מהדורה עשויה להתרחש בעיה כדי שניתן יהיה לקבוע את סדר העדיפויות שלה כראוי.

נתוני אבחון נדרשים

נתוני האבחון הנדרשים הם כמות הנתונים המינימלית הדרושה כדי לשמור על Microsoft Defender עבור נקודת קצה מאובטחות, עדכניות וביצועים כצפוי במכשיר שבו הוא מותקן.

נתוני אבחון נדרשים עוזרים לזהות בעיות Microsoft Defender עבור נקודת קצה שעשויות להיות קשורות לתצורות של מכשיר או תוכנה. לדוגמה, הוא יכול לעזור לקבוע אם תכונה Microsoft Defender עבור נקודת קצה קורסת בתדירות גבוהה יותר בגירסה מסוימת של מערכת ההפעלה, עם תכונות חדשות שהוצגו או כאשר תכונות מסוימות של Microsoft Defender עבור נקודת קצה אינן זמינות. נתוני אבחון נדרשים עוזרים ל- Microsoft לזהות, לאבחן ולפתור בעיות אלה במהירות רבה יותר כך שההשפעה על משתמשים או ארגונים תפחת.

אירועי נתונים של הגדרת תוכנה ומלאי

Microsoft Defender עבור נקודת קצה התקנה/ הסרת התקנה:

השדות הבאים נאספים:

שדה תיאור
correlation_id מזהה ייחודי המשויך להתקנה.
גירסה גירסת החבילה.
חומרת חומרת ההודעה (לדוגמה מידע).
קוד קוד המתאר את הפעולה.
טקסט מידע נוסף המשויך להתקנת המוצר.

Microsoft Defender עבור נקודת קצה תצורה:

השדות הבאים נאספים:

שדה תיאור
antivirus_engine.enable_real_time_protection בין אם הגנה בזמן אמת מופעלת במכשיר או לא.
antivirus_engine.passive_mode אם מצב פאסיבי זמין במכשיר או לא.
cloud_service.enabled אם הגנה מבוססת ענן מופעלת במכשיר או לא.
cloud_service.timeout תם הזמן קצוב כאשר היישום מקיים תקשורת עם Microsoft Defender עבור נקודת קצה הענן.
cloud_service.heartbeat_interval מרווח בין פעימות עוקבות שנשלחו על-ידי המוצר לענן.
cloud_service.service_uri URI המשמש לתקשורת עם הענן.
cloud_service.diagnostic_level רמת אבחון של המכשיר (נדרש, אופציונלי).
cloud_service.automatic_sample_submission אם שליחת דוגמאות אוטומטית מופעלת או לא.
cloud_service.automatic_definition_update_enabled אם עדכון הגדרה אוטומטי מופעל או לא.
edr.early_preview אם המכשיר אמור להפעיל תכונות תצוגה מקדימה מוקדמת של EDR.
edr.group_id מזהה קבוצה המשמש את רכיב הזיהוי והתגובה.
תגיות edr.tags תגיות המוגדרות על-ידי המשתמש.
תכונות. [שם תכונה אופציונלי] רשימה של תכונות תצוגה מקדימה, יחד עם הזמינות או לא.

אירועים שקשורים לנתוני שימוש במוצרים ובשירותים

דוח עדכון בינת אבטחה:

השדות הבאים נאספים:

שדה תיאור
from_version גירסת בינת אבטחה מקורית.
to_version גירסה חדשה של בינת אבטחה.
מצב מצב העדכון המציין הצלחה או כשל.
using_proxy אם העדכון בוצע באמצעות Proxy.
שגיאה קוד שגיאה אם העדכון נכשל.
סיבה הודעת שגיאה אם העדכון תויק.

אירועי נתונים של ביצועי מוצרים ושירותים עבור נתוני אבחון נדרשים

יציאה לא צפויה של יישום (קריסה):

אוסף מידע מערכת ואת המצב של יישום כאשר יישום יוצא באופן בלתי צפוי.

השדות הבאים נאספים:

שדה תיאור
v1_crash_count מספר הפעמים שתהליך מנגנון V1 קרס מדי שעה במחשב הלקוח
v2_crash_count מספר הפעמים שתהליך מנגנון V2 קרס מדי שעה במחשב הלקוח
EDR_crash_count מספר הפעמים שתהליך EDR קרס מדי שעה במחשב לקוח

סטטיסטיקת הרחבת ליבה:

השדות הבאים נאספים:

שדה תיאור
גירסה גירסת Microsoft Defender עבור נקודת קצה ב- macOS.
instance_id מזהה ייחודי שנוצר בעת אתחול הרחבת ליבה.
trace_level רמת מעקב של הרחבת הליבה.
מערכת משנה מערכת המשנה המשמשת להגנה בזמן אמת.
ipc.connects מספר בקשות החיבור שהתקבלו על-ידי הרחבת הליבה.
ipc.rejects מספר בקשות החיבור שנדחו על-ידי הרחבת הליבה.
ipc.connected אם יש חיבור פעיל להרחבת הליבה.

נתוני תמיכה

יומני אבחון:

יומני אבחון נאספים רק בהסכמת המשתמש כחלק מתכונת שליחת המשוב. הקבצים הבאים נאספים כחלק מיומני התמיכה:

  • כל הקבצים תחת /Library/Logs/Microsoft/mdatp/
  • קבוצת משנה של קבצים תחת /Library/Application Support/Microsoft/Defender/ שנוצרו ומשמשים את Microsoft Defender עבור נקודת קצה ב- macOS
  • קבוצת משנה של קבצים תחת /Library/Managed Preferences המשמשות את Microsoft Defender עבור נקודת קצה ב- macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

נתוני אבחון אופציונליים

נתוני אבחון אופציונליים הם נתונים נוספים שמסייעים ל- Microsoft לבצע שיפורים במוצר ומספקים מידע נוסף כדי לעזור לזהות, לאבחן ולפתור בעיות.

אם אתה בוחר לשלוח נתוני אבחון אופציונליים, הם נאספים בנוסף לנתוני האבחון הנדרשים.

דוגמאות לנתוני אבחון אופציונליים כוללות נתונים ש- Microsoft אוספת אודות תצורת המוצר (לדוגמה, מספר אי-ההכללות שהוגדרו במכשיר) וביצועי המוצר (מדדים מצטברים לגבי ביצועי רכיבי המוצר).

אירועי נתוני הגדרה ומלאי של תוכנה עבור נתוני אבחון אופציונליים

Microsoft Defender עבור נקודת קצה תצורה:

השדות הבאים נאספים:

שדה תיאור
connection_retry_timeout הזמן קצוב לניסיון חוזר לחיבור כאשר התקשורת עם הענן תם.
file_hash_cache_maximum גודל מטמון המוצרים.
crash_upload_daily_limit מגבלה של יומני קריסה שהועלו מדי יום.
antivirus_engine.exclusions[].is_directory אם אי-הכללה בסריקה היא ספריה או לא.
antivirus_engine.exclusions[].path הנתיב שלא נכלל בסריקה.
antivirus_engine.exclusions[].extension ההרחבה לא נכללה בסריקה.
antivirus_engine.exclusions[].name שם הקובץ שלא נכלל בסריקה.
antivirus_engine.scan_cache_maximum גודל מטמון המוצרים.
antivirus_engine.maximum_scan_threads המספר המרבי של הליכי משנה המשמשים לסריקה.
antivirus_engine.threat_restoration_exclusion_time הזמן קצוב לפני שניתן יהיה לזהות שוב קובץ ששוחזר מהסגר.
antivirus_engine.threat_type_settings קביעת תצורה עבור אופן טיפול בסוגי איומים שונים על-ידי המוצר.
filesystem_scanner.full_scan_directory ספריית סריקה מלאה.
filesystem_scanner.quick_scan_directories רשימת מדריכי כתובות המשמשים לסריקה מהירה.
edr.latency_mode מצב השהיה המשמש את רכיב הזיהוי והתגובה.
edr.proxy_address כתובת Proxy המשמשת את רכיב הזיהוי והתגובה.

תצורת Microsoft Auto-Update:

השדות הבאים נאספים:

שדה תיאור
how_to_check קובע כיצד עדכוני מוצר מסומנים (לדוגמה, אוטומטיים או ידניים).
channel_name עדכן ערוץ המשויך למכשיר.
manifest_server השרת המשמש להורדת עדכונים.
update_cache מיקום המטמון המשמש לאחסון עדכונים.

שימוש במוצרים ובשירותים

דוח העלאה של יומן האבחון התחיל

השדות הבאים נאספים:

שדה תיאור
עדי תם מזהה SHA256 של יומן התמיכה.
גודל גודל יומן התמיכה.
original_path נתיב אל יומן התמיכה (תמיד תחת /Library/Application Support/Microsoft/Defender/wdavdiag/).
תבנית תבנית יומן התמיכה.
Metadata מידע אודות התוכן של יומן התמיכה.

דוח ההעלאה של יומן האבחון הושלם

השדות הבאים נאספים:

שדה תיאור
request_id מזהה מתאם עבור בקשת ההעלאה של יומן התמיכה.
עדי תם מזהה SHA256 של יומן התמיכה.
blob_sas_uri ה- URI המשמש את היישום להעלאת יומן התמיכה.

אירועי נתונים של ביצועי מוצרים ושירותים עבור שימוש במוצרים ובשירותים

יציאה לא צפויה של יישום (קריסה):

יציאות בלתי צפויות של היישום ומצב היישום כשהן קורות.

סטטיסטיקת הרחבת ליבה:

השדות הבאים נאספים:

שדה תיאור
pkt_ack_timeout המאפיינים הבאים הם ערכים מספריים מצטברים, המייצגים את ספירת האירועים שקרה מאז הפעלת סיומת ליבה.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
מסיכת ipc.kauth.vnode.
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask)
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

משאבים

טיפ

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.