Megosztás a következőn keresztül:


Végponthoz készült Microsoft Defender adatainak védelme macOS rendszeren

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A Microsoft elkötelezett az adatok gyűjtésének és felhasználásának módjával kapcsolatos döntések meghozatalához szükséges információk és vezérlők biztosítása mellett a macOS-en Végponthoz készült Microsoft Defender használatakor.

Ez a témakör ismerteti a terméken belül elérhető adatvédelmi vezérlőket, a vezérlők házirend-beállításokkal történő kezelését, valamint az összegyűjtött adatesemények további részleteit.

A macOS-en Végponthoz készült Microsoft Defender adatvédelmi vezérlőinek áttekintése

Ez a szakasz a macOS rendszeren Végponthoz készült Microsoft Defender által gyűjtött különböző típusú adatok adatvédelmi vezérlőinek leírását ismerteti.

Diagnosztikai adatok

A diagnosztikai adatok a Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és megoldására, valamint a termékek fejlesztésére szolgálnak.

Egyes diagnosztikai adatok kötelezők, míg mások opcionálisak. Ön dönthet arról, hogy a kötelező diagnosztikai adatok mellett az opcionális adatokat is elküldi-e nekünk. Ezt adatvédelmi vezérlők, például a szervezetek házirend-beállításainak használatával teheti meg.

Az Végponthoz készült Microsoft Defender ügyfélszoftver diagnosztikai adatainak két szintje közül választhat:

  • Kötelező: A Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzéséhez szükséges minimális adatok, amelyek a várt módon működnek azon az eszközön, amelyen telepítve van.

  • Nem kötelező: További adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és elhárításához.

Alapértelmezés szerint csak a szükséges diagnosztikai adatok lesznek elküldve a Microsoftnak.

Felhőben továbbított védelmi adatok

A felhőben biztosított védelem a felhőben található legújabb védelmi adatokhoz való hozzáféréssel nagyobb és gyorsabb védelmet biztosít.

A felhőalapú védelmi szolgáltatás engedélyezése nem kötelező, de erősen ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen.

Mintaadatok

A mintaadatok a termék védelmi képességeinek javítására szolgálnak, mivel gyanús Microsoft-mintákat küldenek az elemzésükhöz. Az automatikus mintaküldés engedélyezése nem kötelező.

Ha ez a funkció engedélyezve van, és az összegyűjtött minta valószínűleg személyes adatokat tartalmaz, a rendszer hozzájárulást kér a felhasználótól.

Adatvédelmi vezérlők kezelése házirend-beállításokkal

Ha Ön rendszergazda, érdemes lehet vállalati szinten konfigurálni ezeket a vezérlőket.

Az előző szakaszban ismertetett különböző típusú adatok adatvédelmi vezérlőit a macOS-en futó Végponthoz készült Microsoft Defender beállításainak megadása című cikk ismerteti részletesen.

Az új szabályzatbeállításokhoz hasonlóan ezeket is gondosan tesztelje egy korlátozott, ellenőrzött környezetben, hogy a konfigurált beállítások a kívánt hatást érjék el, mielőtt szélesebb körben implementálja a házirend-beállításokat a szervezetben.

Diagnosztikai adatesemények

Ez a szakasz ismerteti, hogy mit tekintünk szükséges diagnosztikai adatnak, és mit tekintünk opcionális diagnosztikai adatnak, valamint ismerteti az összegyűjtött eseményeket és mezőket.

Az összes eseményhez gyakran használt adatmezők

Azokkal a kategóriától vagy adataltípustól független eseményekkel kapcsolatban is szerepelnek információk, amelyek az összes eseményre jellemzők.

Az alábbi mezők minden eseménynél gyakoriak:

Mező Leírás
Platform Annak a platformnak a széles körű besorolása, amelyen az alkalmazás fut. Lehetővé teszi a Microsoft számára, hogy azonosítsa, mely platformokon fordulhat elő probléma, hogy a probléma megfelelően rangsorolódjon.
machine_guid Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint.
sense_guid Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint.
org_id Annak a vállalatnak az egyedi azonosítója, amelyhez az eszköz tartozik. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott vállalatcsoportra, és hogy hány vállalatot érint.
Hostname Helyi eszköz neve (DNS-utótag nélkül). Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint.
product_guid A termék egyedi azonosítója. Lehetővé teszi a Microsoft számára a termék különböző ízeit érintő problémák megkülönböztetését.
app_version A Végponthoz készült Microsoft Defender verziója macOS-alkalmazáson. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a termék mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse.
sig_version A biztonságiintelligencia-adatbázis verziója. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a biztonsági intelligencia mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse.
supported_compressions Az alkalmazás által támogatott tömörítési algoritmusok listája, például ['gzip']: . Lehetővé teszi a Microsoft számára, hogy megértse, milyen típusú tömörítések használhatók az alkalmazással való kommunikáció során.
release_ring Csengetés, amelyhez az eszköz társítva van (például Insider Fast, Insider Slow, Production). Lehetővé teszi a Microsoft számára, hogy azonosítsa, melyik kiadási körben fordul elő probléma, hogy az megfelelően rangsorolódjon.

Kötelező diagnosztikai adatok

A szükséges diagnosztikai adatok az Végponthoz készült Microsoft Defender biztonságának, naprakész állapotának megőrzéséhez és a várt módon történő végrehajtásához szükséges minimális adatok a telepített eszközön.

A szükséges diagnosztikai adatok segítenek azonosítani az eszköz- vagy szoftverkonfigurációval kapcsolatos Végponthoz készült Microsoft Defender kapcsolatos problémákat. Segíthet például megállapítani, hogy egy Végponthoz készült Microsoft Defender szolgáltatás gyakrabban összeomlik-e egy adott operációsrendszer-verzión, az újonnan bevezetett funkciókkal, vagy ha bizonyos Végponthoz készült Microsoft Defender funkciók le vannak tiltva. A szükséges diagnosztikai adatok segítségével a Microsoft gyorsabban észlelheti, diagnosztizálhatja és kijavíthatja ezeket a problémákat, így csökken a felhasználókra vagy szervezetekre gyakorolt hatás.

Szoftverek beállításával és készletével kapcsolatos adatesemények

Végponthoz készült Microsoft Defender telepítés/eltávolítás:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
correlation_id A telepítéshez társított egyedi azonosító.
Változat A csomag verziója.
Súlyossága Az üzenet súlyossága (például Tájékoztató).
Kód A műveletet leíró kód.
Szöveg A termék telepítésével kapcsolatos további információk.

Végponthoz készült Microsoft Defender konfiguráció:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
antivirus_engine.enable_real_time_protection Azt határozza meg, hogy engedélyezve van-e a valós idejű védelem az eszközön.
antivirus_engine.passive_mode Azt jelzi, hogy a passzív mód engedélyezve van-e az eszközön.
cloud_service.enabled Engedélyezve van-e a felhőben biztosított védelem az eszközön.
cloud_service.timeout Időtúllépés, amikor az alkalmazás kommunikál a Végponthoz készült Microsoft Defender felhővel.
cloud_service.heartbeat_interval A termék által a felhőbe küldött egymást követő szívverések közötti időköz.
cloud_service.service_uri A felhővel való kommunikációhoz használt URI.
cloud_service.diagnostic_level Az eszköz diagnosztikai szintje (kötelező, nem kötelező).
cloud_service.automatic_sample_submission Be van-e kapcsolva az automatikus mintaküldés.
cloud_service.automatic_definition_update_enabled Be van-e kapcsolva az automatikus definíciófrissítés.
edr.early_preview Azt határozza meg, hogy az eszköznek korai előzetes verziójú EDR-funkciókat kell-e futtatnia.
edr.group_id Az észlelési és válaszösszetevő által használt csoportazonosító.
edr.tags Felhasználó által definiált címkék.
Funkciók. [választható szolgáltatásnév] Az előzetes verziójú funkciók listája, valamint az, hogy engedélyezve vannak-e vagy sem.

Termékek és szolgáltatások használatával kapcsolatos adatesemények

Biztonságiintelligencia-frissítési jelentés:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
from_version A biztonsági intelligencia eredeti verziója.
to_version Új biztonságiintelligencia-verzió.
Állapot A frissítés állapota, amely a sikeres vagy sikertelen működést jelzi.
using_proxy Azt jelzi, hogy a frissítés proxyn keresztül történt-e.
Hiba Hibakód, ha a frissítés sikertelen volt.
Ok Hibaüzenet, ha a frissített be van iktatva.

Termék- és szolgáltatásteljesítmény-adatesemények a szükséges diagnosztikai adatokhoz

Váratlan alkalmazáskilépés (összeomlás):

Rendszeradatokat és egy alkalmazás állapotát gyűjti, amikor egy alkalmazás váratlanul kilép.

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
v1_crash_count A V1-motorfolyamat óránkénti összeomlásainak száma az ügyfélszámítógépen
v2_crash_count 2-es verzióú motorfolyamat óránkénti összeomlásainak száma az ügyfélszámítógépen
EDR_crash_count Az EDR-folyamat óránkénti összeomlásainak száma az ügyfélszámítógépen

Kernelbővítmény statisztikái:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
Változat A Végponthoz készült Microsoft Defender verziója macOS rendszeren.
instance_id A kernelbővítmény indításakor létrehozott egyedi azonosító.
trace_level A kernelbővítmény nyomkövetési szintje.
Alrendszer A valós idejű védelem alapjául szolgáló alrendszer.
ipc.connects A kernelbővítmény által fogadott csatlakozási kérelmek száma.
ipc.rejects A kernelbővítmény által elutasított csatlakozási kérelmek száma.
ipc.connected Van-e aktív kapcsolat a kernelbővítménnyel.

Támogatási adatok

Diagnosztikai naplók:

A diagnosztikai naplók gyűjtése csak a felhasználó hozzájárulásával történik a visszajelzés elküldése funkció részeként. A támogatási naplók részeként a következő fájlokat gyűjtjük össze:

  • Minden fájl a /Library/Logs/Microsoft/mdatp/ alatt
  • A macOS-en Végponthoz készült Microsoft Defender által létrehozott és használt /Library/Application Support/Microsoft/Defender/ alatti fájlok részhalmaza
  • A macOS-en Végponthoz készült Microsoft Defender által használt /Library/Managed Preferences mappában lévő fájlok részhalmaza
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Opcionális diagnosztikai adatok

Az opcionális diagnosztikai adatok olyan további adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és javításához.

Ha úgy dönt, hogy elküldi nekünk az opcionális diagnosztikai adatokat, a rendszer a szükséges diagnosztikai adatokat is továbbítja azokkal.

A választható diagnosztikai adatok közé tartoznak a Microsoft által a termékkonfigurációról (például az eszközön beállított kizárások számáról) és a termék teljesítményéről gyűjtött adatok (a termék összetevőinek teljesítményére vonatkozó összesített mértékek).

Szoftverbeállítási és készletadat-események opcionális diagnosztikai adatokhoz

Végponthoz készült Microsoft Defender konfiguráció:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
connection_retry_timeout A kapcsolat újrapróbálkozása időtúllépés miatt megszakad a felhővel folytatott kommunikáció során.
file_hash_cache_maximum A termék gyorsítótárának mérete.
crash_upload_daily_limit A naponta feltöltött összeomlási naplók korlátja.
antivirus_engine.exclusions[].is_directory Azt határozza meg, hogy a vizsgálatból való kizárás könyvtár-e.
antivirus_engine.exclusions[].path A vizsgálatból kizárt elérési út.
antivirus_engine.exclusions[].extension A bővítmény ki van zárva a vizsgálatból.
antivirus_engine.exclusions[].name A vizsgálatból kizárt fájl neve.
antivirus_engine.scan_cache_maximum A termék gyorsítótárának mérete.
antivirus_engine.maximum_scan_threads A vizsgálathoz használt szálak maximális száma.
antivirus_engine.threat_restoration_exclusion_time Időtúllépés a karanténból visszaállított fájl újbóli észlelése előtt.
antivirus_engine.threat_type_settings A különböző fenyegetéstípusok termék általi kezelésének konfigurációja.
filesystem_scanner.full_scan_directory Teljes vizsgálati könyvtár.
filesystem_scanner.quick_scan_directories A gyorsvizsgálatban használt könyvtárak listája.
edr.latency_mode Az észlelési és válasz összetevő által használt késési mód.
edr.proxy_address Az észlelési és válaszösszetevő által használt proxycím.

A Microsoft automatikus frissítési konfigurációja:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
how_to_check Meghatározza a termékfrissítések ellenőrzését (például automatikus vagy manuális).
channel_name Az eszközhöz társított csatorna frissítése.
manifest_server A frissítések letöltéséhez használt kiszolgáló.
update_cache A frissítések tárolására használt gyorsítótár helye.

Termékek és szolgáltatások használata

Diagnosztikai napló feltöltése megkezdődött jelentés

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
sha256 A támogatási napló SHA256 azonosítója.
Méret A támogatási napló mérete.
original_path A támogatási napló elérési útja (mindig a /Library/Application Support/Microsoft/Defender/wdavdiag/ területen).
Formátum A támogatási napló formátuma.
Metaadat A támogatási napló tartalmával kapcsolatos információk.

A diagnosztikai napló feltöltése befejeződött jelentés

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
request_id A támogatási napló feltöltési kérésének korrelációs azonosítója.
sha256 A támogatási napló SHA256 azonosítója.
blob_sas_uri Az alkalmazás által a támogatási napló feltöltéséhez használt URI.

Termék- és szolgáltatásteljesítmény-adatesemények a termék- és szolgáltatáshasználathoz

Váratlan alkalmazáskilépés (összeomlás):

Alkalmazások váratlan kilépése, illetve az alkalmazás állapota, amikor ez történik.

Kernelbővítmény statisztikái:

A gyűjtés a következő mezőkre terjed ki:

Mező Leírás
pkt_ack_timeout Az alábbi tulajdonságok összesített numerikus értékek, amelyek a kernelbővítmény indítása óta történt események számát jelölik.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Források

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.