Az Végponthoz készült Microsoft Defender adatvédelmi gyakorlata Linuxon
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A Microsoft elkötelezett az adatok gyűjtésének és felhasználásának módjával kapcsolatos döntések meghozatalához szükséges információk és vezérlők biztosítása mellett, amikor a Végponthoz készült Defendert használja Linuxon.
Ez a cikk ismerteti a terméken belül elérhető adatvédelmi vezérlőket, a vezérlők házirend-beállításokkal történő kezelését, valamint az összegyűjtött adatesemények további részleteit.
A linuxos Végponthoz készült Microsoft Defender adatvédelmi vezérlőinek áttekintése
Ez a szakasz a Végponthoz készült Defender által a Linuxon gyűjtött különböző típusú adatok adatvédelmi vezérlőinek használatát ismerteti.
Diagnosztikai adatok
A diagnosztikai adatok a Végponthoz készült Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és kijavítására, valamint a termékek fejlesztésére szolgálnak.
Egyes diagnosztikai adatok kötelezők, míg mások opcionálisak. Lehetőséget biztosítunk arra, hogy adatvédelmi vezérlők, például a szervezetek szabályzatbeállításai segítségével eldöntse, hogy kötelező vagy opcionális diagnosztikai adatokat küldjön nekünk.
A Végponthoz készült Defender ügyfélszoftver diagnosztikai adatainak két szintje közül választhat:
- Kötelező: A végponthoz készült Defender biztonságának és naprakész állapotának megőrzéséhez szükséges minimális adatok, amelyek a várt módon működnek azon az eszközön, amelyre telepítve van.
- Nem kötelező: Egyéb adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és elhárításához.
Alapértelmezés szerint csak a szükséges diagnosztikai adatok lesznek elküldve a Microsoftnak.
Felhőben továbbított védelmi adatok
A felhőben biztosított védelem a felhőben található legújabb védelmi adatokhoz való hozzáféréssel nagyobb és gyorsabb védelmet biztosít.
A felhőalapú védelmi szolgáltatás engedélyezése nem kötelező, de erősen ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen.
Mintaadatok
A mintaadatok a termék védelmi képességeinek javítására szolgálnak, mivel gyanús Microsoft-mintákat küldenek az elemzésükhöz. Az automatikus mintaküldés engedélyezése nem kötelező.
A mintaküldés szabályozásának három szintje van:
- Nincs: a rendszer nem küld gyanús mintákat a Microsoftnak.
- Biztonságos: a rendszer csak a személyazonosításra alkalmas adatokat (PII) nem tartalmazó gyanús mintákat küldi el automatikusan. Ez az alapértelmezett érték.
- Minden: minden gyanús minta elküldve a Microsoftnak.
Adatvédelmi vezérlők kezelése házirend-beállításokkal
Ha Ön rendszergazda, érdemes lehet vállalati szinten konfigurálni ezeket a vezérlőket.
Az előző szakaszban ismertetett különböző típusú adatok adatvédelmi vezérlőit a Végponthoz készült Defender beállításainak megadása Linuxon című témakörben találja.
Az új szabályzatbeállításokhoz hasonlóan ezeket is gondosan tesztelje egy korlátozott, ellenőrzött környezetben, hogy a konfigurált beállítások a kívánt hatást érjék el, mielőtt szélesebb körben implementálja a házirend-beállításokat a szervezetben.
Diagnosztikai adatesemények
Ez a szakasz ismerteti, hogy mit tekintünk szükséges diagnosztikai adatnak, és mit tekintünk opcionális diagnosztikai adatnak, valamint ismerteti az összegyűjtött eseményeket és mezőket.
Az összes eseményhez gyakran használt adatmezők
Azokkal a kategóriától vagy adataltípustól független eseményekkel kapcsolatban is szerepelnek információk, amelyek az összes eseményre jellemzők.
Az alábbi mezők minden eseménynél gyakoriak:
| Mező | Leírás |
|---|---|
| Platform | Annak a platformnak a széles körű besorolása, amelyen az alkalmazás fut. Lehetővé teszi a Microsoft számára, hogy azonosítsa, mely platformokon fordulhat elő probléma, hogy a probléma megfelelően rangsorolódjon. |
| machine_guid | Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
| sense_guid | Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
| org_id | Annak a vállalatnak az egyedi azonosítója, amelyhez az eszköz tartozik. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott vállalatcsoportra, és hogy hány vállalatot érint. |
| Hostname | Helyi eszköz neve (DNS-utótag nélkül). Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
| product_guid | A termék egyedi azonosítója. Lehetővé teszi a Microsoft számára a termék különböző ízeit érintő problémák megkülönböztetését. |
| app_version | A Végponthoz készült Defender linuxos alkalmazás verziója. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a termék mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse. |
| sig_version | A biztonságiintelligencia-adatbázis verziója. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a biztonsági intelligencia mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse. |
| supported_compressions | Az alkalmazás által támogatott tömörítési algoritmusok listája, például ['gzip']: . Lehetővé teszi a Microsoft számára, hogy megértse, milyen típusú tömörítések használhatók az alkalmazással való kommunikáció során. |
| release_ring | Csengetés, amelyhez az eszköz társítva van (például Insider Fast, Insider Slow, Production). Lehetővé teszi a Microsoft számára, hogy azonosítsa, melyik kiadási körben fordul elő probléma, hogy az megfelelően rangsorolódjon. |
Kötelező diagnosztikai adatok
A szükséges diagnosztikai adatok a végponthoz készült Defender biztonságának és naprakész állapotának megőrzéséhez szükséges minimális adatok, és a várt módon működnek azon az eszközön, amelyre telepítve van.
A szükséges diagnosztikai adatok segítenek azonosítani az eszköz- vagy szoftverkonfigurációval kapcsolatos Végponthoz készült Microsoft Defender kapcsolatos problémákat. Segíthet például megállapítani, hogy a Végponthoz készült Defender szolgáltatás gyakrabban összeomlik-e egy adott operációsrendszer-verzión, az újonnan bevezetett funkciókkal, vagy ha bizonyos Végponthoz készült Defender-funkciók le vannak tiltva. A szükséges diagnosztikai adatok segítségével a Microsoft gyorsabban észlelheti, diagnosztizálhatja és kijavíthatja ezeket a problémákat, így csökken a felhasználókra vagy szervezetekre gyakorolt hatás.
Szoftverek beállításával és készletével kapcsolatos adatesemények
Végponthoz készült Microsoft Defender telepítés/eltávolítás:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| correlation_id | A telepítéshez társított egyedi azonosító. |
| Változat | A csomag verziója. |
| Súlyossága | Az üzenet súlyossága (például Tájékoztató). |
| Kód | A műveletet leíró kód. |
| Szöveg | A termék telepítésével kapcsolatos további információk. |
Végponthoz készült Microsoft Defender konfiguráció:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| antivirus_engine.enable_real_time_protection | Azt határozza meg, hogy engedélyezve van-e a valós idejű védelem az eszközön. |
| antivirus_engine.passive_mode | Azt jelzi, hogy a passzív mód engedélyezve van-e az eszközön. |
| cloud_service.enabled | Engedélyezve van-e a felhőben biztosított védelem az eszközön. |
| cloud_service.timeout | Időtúllépés, amikor az alkalmazás kommunikál a Végponthoz készült Defender felhővel. |
| cloud_service.heartbeat_interval | A termék által a felhőbe küldött egymást követő szívverések közötti időköz. |
| cloud_service.service_uri | A felhővel való kommunikációhoz használt URI. |
| cloud_service.diagnostic_level | Az eszköz diagnosztikai szintje (kötelező, nem kötelező). |
| cloud_service.automatic_sample_submission | Az eszköz automatikus mintaküldési szintje (nincs, biztonságos, mind). |
| cloud_service.automatic_definition_update_enabled | Be van-e kapcsolva az automatikus definíciófrissítés. |
| edr.early_preview | Azt határozza meg, hogy az eszköznek korai előzetes verziójú EDR-funkciókat kell-e futtatnia. |
| edr.group_id | Az észlelési és válaszösszetevő által használt csoportazonosító. |
| edr.tags | Felhasználó által definiált címkék. |
| Funkciók. [választható szolgáltatásnév] | Az előzetes verziójú funkciók listája, valamint az, hogy engedélyezve vannak-e vagy sem. |
Termékek és szolgáltatások használatával kapcsolatos adatesemények
Biztonságiintelligencia-frissítési jelentés:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| from_version | A biztonsági intelligencia eredeti verziója. |
| to_version | Új biztonságiintelligencia-verzió. |
| Állapot | A frissítés állapota, amely a sikeres vagy sikertelen működést jelzi. |
| using_proxy | Azt jelzi, hogy a frissítés proxyn keresztül történt-e. |
| Hiba | Hibakód, ha a frissítés sikertelen volt. |
| Ok | Hibaüzenet, ha a frissítés sikertelen volt. |
Termék- és szolgáltatásteljesítmény-adatesemények a szükséges diagnosztikai adatokhoz
Kernelbővítmény statisztikái:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| Változat | Végponthoz készült Defender verziója Linuxon. |
| instance_id | A kernelbővítmény indításakor létrehozott egyedi azonosító. |
| trace_level | A kernelbővítmény nyomkövetési szintje. |
| Alrendszer | A valós idejű védelem alapjául szolgáló alrendszer. |
| ipc.connects | A kernelbővítmény által fogadott csatlakozási kérelmek száma. |
| ipc.rejects | A kernelbővítmény által elutasított csatlakozási kérelmek száma. |
| ipc.connected | Van-e aktív kapcsolat a kernelbővítménnyel. |
Támogatási adatok
Diagnosztikai naplók:
A diagnosztikai naplók gyűjtése csak a felhasználó hozzájárulásával történik a visszajelzés elküldése funkció részeként. A támogatási naplók részeként a következő fájlokat gyűjtjük össze:
- Minden fájl a /var/log/microsoft/mdatp alatt
- A Végponthoz készült Defender által Linuxon létrehozott és használt /etc/opt/microsoft/mdatp alatt található fájlok részhalmaza
- Termék telepítési és eltávolítási naplói a /var/log/microsoft/mdatp/*.log
Opcionális diagnosztikai adatok
Az opcionális diagnosztikai adatok olyan további adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és javításához.
Ha úgy dönt, hogy elküldi nekünk az opcionális diagnosztikai adatokat, a rendszer a szükséges diagnosztikai adatokat is továbbítja azokkal.
A választható diagnosztikai adatok közé tartoznak a Microsoft által a termékkonfigurációról (például az eszközön beállított kizárások számáról) és a termék teljesítményéről gyűjtött adatok (a termék összetevőinek teljesítményére vonatkozó összesített mértékek).
Szoftverbeállítási és készletadat-események opcionális diagnosztikai adatokhoz
Végponthoz készült Microsoft Defender konfiguráció:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| connection_retry_timeout | A kapcsolat újrapróbálkozása időtúllépéssel a felhővel folytatott kommunikáció során. |
| file_hash_cache_maximum | A termék gyorsítótárának mérete. |
| crash_upload_daily_limit | A naponta feltöltött összeomlási naplók korlátja. |
| antivirus_engine.exclusions[].is_directory | Azt határozza meg, hogy a vizsgálatból való kizárás könyvtár-e. |
| antivirus_engine.exclusions[].path | A vizsgálatból kizárt elérési út. |
| antivirus_engine.exclusions[].extension | A bővítmény ki van zárva a vizsgálatból. |
| antivirus_engine.exclusions[].name | A vizsgálatból kizárt fájl neve. |
| antivirus_engine.scan_cache_maximum | A termék gyorsítótárának mérete. |
| antivirus_engine.maximum_scan_threads | A vizsgálathoz használt szálak maximális száma. |
| antivirus_engine.threat_restoration_exclusion_time | Időtúllépés a karanténból visszaállított fájl újbóli észlelése előtt. |
| antivirus_engine.threat_type_settings | A különböző fenyegetéstípusok termék általi kezelésének konfigurációja. |
| filesystem_scanner.full_scan_directory | Teljes vizsgálati könyvtár. |
| filesystem_scanner.quick_scan_directories | A gyorsvizsgálatban használt könyvtárak listája. |
| edr.latency_mode | Az észlelési és válasz összetevő által használt késési mód. |
| edr.proxy_address | Az észlelési és válaszösszetevő által használt proxycím. |
A Microsoft automatikus frissítési konfigurációja:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| how_to_check | Meghatározza a termékfrissítések ellenőrzését (például automatikus vagy manuális). |
| channel_name | Az eszközhöz társított csatorna frissítése. |
| manifest_server | A frissítések letöltéséhez használt kiszolgáló. |
| update_cache | A frissítések tárolására használt gyorsítótár helye. |
Termékek és szolgáltatások használata
Diagnosztikai napló feltöltése megkezdődött jelentés
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| sha256 | A támogatási napló SHA256 azonosítója. |
| Méret | A támogatási napló mérete. |
| original_path | A támogatási napló elérési útja (mindig a /var/opt/microsoft/mdatp/wdavdiag/ alatt). |
| Formátum | A támogatási napló formátuma. |
A diagnosztikai napló feltöltése befejeződött jelentés
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| request_id | A támogatási napló feltöltési kérésének korrelációs azonosítója. |
| sha256 | A támogatási napló SHA256 azonosítója. |
| blob_sas_uri | Az alkalmazás által a támogatási napló feltöltéséhez használt URI. |
Termék- és szolgáltatásteljesítmény-adatesemények a termékszolgáltatáshoz és -használathoz
Váratlan alkalmazáskilépés (összeomlás):
Alkalmazások váratlan kilépése, illetve az alkalmazás állapota, amikor ez történik.
Kernelbővítmény statisztikái:
A gyűjtés a következő mezőkre terjed ki:
| Mező | Leírás |
|---|---|
| pkt_ack_timeout | Az alábbi tulajdonságok összesített numerikus értékek, amelyek a kernelbővítmény indítása óta történt események számát jelölik. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Források
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.