Végponthoz készült Microsoft Defender adatainak védelme macOS rendszeren
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
A Microsoft elkötelezett az adatok gyűjtésének és felhasználásának módjával kapcsolatos döntések meghozatalához szükséges információk és vezérlők biztosítása mellett a macOS-en Végponthoz készült Microsoft Defender használatakor.
Ez a témakör ismerteti a terméken belül elérhető adatvédelmi vezérlőket, a vezérlők házirend-beállításokkal történő kezelését, valamint az összegyűjtött adatesemények további részleteit.
Ez a szakasz a macOS rendszeren Végponthoz készült Microsoft Defender által gyűjtött különböző típusú adatok adatvédelmi vezérlőinek leírását ismerteti.
A diagnosztikai adatok a Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzésére, a problémák észlelésére, diagnosztizálására és megoldására, valamint a termékek fejlesztésére szolgálnak.
Egyes diagnosztikai adatok kötelezők, míg mások opcionálisak. Ön dönthet arról, hogy a kötelező diagnosztikai adatok mellett az opcionális adatokat is elküldi-e nekünk. Ezt adatvédelmi vezérlők, például a szervezetek házirend-beállításainak használatával teheti meg.
Az Végponthoz készült Microsoft Defender ügyfélszoftver diagnosztikai adatainak két szintje közül választhat:
Kötelező: A Végponthoz készült Microsoft Defender biztonságának és naprakész állapotának megőrzéséhez szükséges minimális adatok, amelyek a várt módon működnek azon az eszközön, amelyen telepítve van.
Nem kötelező: További adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és elhárításához.
Alapértelmezés szerint csak a szükséges diagnosztikai adatok lesznek elküldve a Microsoftnak.
A felhőben biztosított védelem a felhőben található legújabb védelmi adatokhoz való hozzáféréssel nagyobb és gyorsabb védelmet biztosít.
A felhőalapú védelmi szolgáltatás engedélyezése nem kötelező, de erősen ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen.
A mintaadatok a termék védelmi képességeinek javítására szolgálnak, mivel gyanús Microsoft-mintákat küldenek az elemzésükhöz. Az automatikus mintaküldés engedélyezése nem kötelező.
Ha ez a funkció engedélyezve van, és az összegyűjtött minta valószínűleg személyes adatokat tartalmaz, a rendszer hozzájárulást kér a felhasználótól.
Ha Ön rendszergazda, érdemes lehet vállalati szinten konfigurálni ezeket a vezérlőket.
Az előző szakaszban ismertetett különböző típusú adatok adatvédelmi vezérlőit a macOS-en futó Végponthoz készült Microsoft Defender beállításainak megadása című cikk ismerteti részletesen.
Az új szabályzatbeállításokhoz hasonlóan ezeket is gondosan tesztelje egy korlátozott, ellenőrzött környezetben, hogy a konfigurált beállítások a kívánt hatást érjék el, mielőtt szélesebb körben implementálja a házirend-beállításokat a szervezetben.
Ez a szakasz ismerteti, hogy mit tekintünk szükséges diagnosztikai adatnak, és mit tekintünk opcionális diagnosztikai adatnak, valamint ismerteti az összegyűjtött eseményeket és mezőket.
Azokkal a kategóriától vagy adataltípustól független eseményekkel kapcsolatban is szerepelnek információk, amelyek az összes eseményre jellemzők.
Az alábbi mezők minden eseménynél gyakoriak:
Mező | Leírás |
---|---|
Platform | Annak a platformnak a széles körű besorolása, amelyen az alkalmazás fut. Lehetővé teszi a Microsoft számára, hogy azonosítsa, mely platformokon fordulhat elő probléma, hogy a probléma megfelelően rangsorolódjon. |
machine_guid | Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
sense_guid | Az eszközhöz társított egyedi azonosító. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
org_id | Annak a vállalatnak az egyedi azonosítója, amelyhez az eszköz tartozik. Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott vállalatcsoportra, és hogy hány vállalatot érint. |
Hostname | Helyi eszköz neve (DNS-utótag nélkül). Lehetővé teszi a Microsoft számára annak azonosítását, hogy a problémák hatással vannak-e egy adott telepítésre, és hogy hány felhasználót érint. |
product_guid | A termék egyedi azonosítója. Lehetővé teszi a Microsoft számára a termék különböző ízeit érintő problémák megkülönböztetését. |
app_version | A Végponthoz készült Microsoft Defender verziója macOS-alkalmazáson. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a termék mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse. |
sig_version | A biztonságiintelligencia-adatbázis verziója. Lehetővé teszi a Microsoft számára, hogy azonosítsa, hogy a biztonsági intelligencia mely verzióiban jelenik meg probléma, hogy az megfelelően rangsorolásra kerülhesse. |
supported_compressions | Az alkalmazás által támogatott tömörítési algoritmusok listája, például ['gzip'] : . Lehetővé teszi a Microsoft számára, hogy megértse, milyen típusú tömörítések használhatók az alkalmazással való kommunikáció során. |
release_ring | Csengetés, amelyhez az eszköz társítva van (például Insider Fast, Insider Slow, Production). Lehetővé teszi a Microsoft számára, hogy azonosítsa, melyik kiadási körben fordul elő probléma, hogy az megfelelően rangsorolódjon. |
A szükséges diagnosztikai adatok az Végponthoz készült Microsoft Defender biztonságának, naprakész állapotának megőrzéséhez és a várt módon történő végrehajtásához szükséges minimális adatok a telepített eszközön.
A szükséges diagnosztikai adatok segítenek azonosítani az eszköz- vagy szoftverkonfigurációval kapcsolatos Végponthoz készült Microsoft Defender kapcsolatos problémákat. Segíthet például megállapítani, hogy egy Végponthoz készült Microsoft Defender szolgáltatás gyakrabban összeomlik-e egy adott operációsrendszer-verzión, az újonnan bevezetett funkciókkal, vagy ha bizonyos Végponthoz készült Microsoft Defender funkciók le vannak tiltva. A szükséges diagnosztikai adatok segítségével a Microsoft gyorsabban észlelheti, diagnosztizálhatja és kijavíthatja ezeket a problémákat, így csökken a felhasználókra vagy szervezetekre gyakorolt hatás.
Végponthoz készült Microsoft Defender telepítés/eltávolítás:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
correlation_id | A telepítéshez társított egyedi azonosító. |
Változat | A csomag verziója. |
Súlyossága | Az üzenet súlyossága (például Tájékoztató). |
Kód | A műveletet leíró kód. |
Szöveg | A termék telepítésével kapcsolatos további információk. |
Végponthoz készült Microsoft Defender konfiguráció:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
antivirus_engine.enable_real_time_protection | Azt határozza meg, hogy engedélyezve van-e a valós idejű védelem az eszközön. |
antivirus_engine.passive_mode | Azt jelzi, hogy a passzív mód engedélyezve van-e az eszközön. |
cloud_service.enabled | Engedélyezve van-e a felhőben biztosított védelem az eszközön. |
cloud_service.timeout | Időtúllépés, amikor az alkalmazás kommunikál a Végponthoz készült Microsoft Defender felhővel. |
cloud_service.heartbeat_interval | A termék által a felhőbe küldött egymást követő szívverések közötti időköz. |
cloud_service.service_uri | A felhővel való kommunikációhoz használt URI. |
cloud_service.diagnostic_level | Az eszköz diagnosztikai szintje (kötelező, nem kötelező). |
cloud_service.automatic_sample_submission | Be van-e kapcsolva az automatikus mintaküldés. |
cloud_service.automatic_definition_update_enabled | Be van-e kapcsolva az automatikus definíciófrissítés. |
edr.early_preview | Azt határozza meg, hogy az eszköznek korai előzetes verziójú EDR-funkciókat kell-e futtatnia. |
edr.group_id | Az észlelési és válaszösszetevő által használt csoportazonosító. |
edr.tags | Felhasználó által definiált címkék. |
Funkciók. [választható szolgáltatásnév] | Az előzetes verziójú funkciók listája, valamint az, hogy engedélyezve vannak-e vagy sem. |
Biztonságiintelligencia-frissítési jelentés:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
from_version | A biztonsági intelligencia eredeti verziója. |
to_version | Új biztonságiintelligencia-verzió. |
Állapot | A frissítés állapota, amely a sikeres vagy sikertelen működést jelzi. |
using_proxy | Azt jelzi, hogy a frissítés proxyn keresztül történt-e. |
Hiba | Hibakód, ha a frissítés sikertelen volt. |
Ok | Hibaüzenet, ha a frissített be van iktatva. |
Váratlan alkalmazáskilépés (összeomlás):
Rendszeradatokat és egy alkalmazás állapotát gyűjti, amikor egy alkalmazás váratlanul kilép.
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
v1_crash_count | A V1-motorfolyamat óránkénti összeomlásainak száma az ügyfélszámítógépen |
v2_crash_count | 2-es verzióú motorfolyamat óránkénti összeomlásainak száma az ügyfélszámítógépen |
EDR_crash_count | Az EDR-folyamat óránkénti összeomlásainak száma az ügyfélszámítógépen |
Kernelbővítmény statisztikái:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
Változat | A Végponthoz készült Microsoft Defender verziója macOS rendszeren. |
instance_id | A kernelbővítmény indításakor létrehozott egyedi azonosító. |
trace_level | A kernelbővítmény nyomkövetési szintje. |
Alrendszer | A valós idejű védelem alapjául szolgáló alrendszer. |
ipc.connects | A kernelbővítmény által fogadott csatlakozási kérelmek száma. |
ipc.rejects | A kernelbővítmény által elutasított csatlakozási kérelmek száma. |
ipc.connected | Van-e aktív kapcsolat a kernelbővítménnyel. |
Diagnosztikai naplók:
A diagnosztikai naplók gyűjtése csak a felhasználó hozzájárulásával történik a visszajelzés elküldése funkció részeként. A támogatási naplók részeként a következő fájlokat gyűjtjük össze:
- Minden fájl a /Library/Logs/Microsoft/mdatp/ alatt
- A macOS-en Végponthoz készült Microsoft Defender által létrehozott és használt /Library/Application Support/Microsoft/Defender/ alatti fájlok részhalmaza
- A macOS-en Végponthoz készült Microsoft Defender által használt /Library/Managed Preferences mappában lévő fájlok részhalmaza
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Az opcionális diagnosztikai adatok olyan további adatok, amelyek segítenek a Microsoftnak a termékfejlesztésben, és továbbfejlesztett információkat biztosítanak a problémák észleléséhez, diagnosztizálásához és javításához.
Ha úgy dönt, hogy elküldi nekünk az opcionális diagnosztikai adatokat, a rendszer a szükséges diagnosztikai adatokat is továbbítja azokkal.
A választható diagnosztikai adatok közé tartoznak a Microsoft által a termékkonfigurációról (például az eszközön beállított kizárások számáról) és a termék teljesítményéről gyűjtött adatok (a termék összetevőinek teljesítményére vonatkozó összesített mértékek).
Végponthoz készült Microsoft Defender konfiguráció:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
connection_retry_timeout | A kapcsolat újrapróbálkozása időtúllépés miatt megszakad a felhővel folytatott kommunikáció során. |
file_hash_cache_maximum | A termék gyorsítótárának mérete. |
crash_upload_daily_limit | A naponta feltöltött összeomlási naplók korlátja. |
antivirus_engine.exclusions[].is_directory | Azt határozza meg, hogy a vizsgálatból való kizárás könyvtár-e. |
antivirus_engine.exclusions[].path | A vizsgálatból kizárt elérési út. |
antivirus_engine.exclusions[].extension | A bővítmény ki van zárva a vizsgálatból. |
antivirus_engine.exclusions[].name | A vizsgálatból kizárt fájl neve. |
antivirus_engine.scan_cache_maximum | A termék gyorsítótárának mérete. |
antivirus_engine.maximum_scan_threads | A vizsgálathoz használt szálak maximális száma. |
antivirus_engine.threat_restoration_exclusion_time | Időtúllépés a karanténból visszaállított fájl újbóli észlelése előtt. |
antivirus_engine.threat_type_settings | A különböző fenyegetéstípusok termék általi kezelésének konfigurációja. |
filesystem_scanner.full_scan_directory | Teljes vizsgálati könyvtár. |
filesystem_scanner.quick_scan_directories | A gyorsvizsgálatban használt könyvtárak listája. |
edr.latency_mode | Az észlelési és válasz összetevő által használt késési mód. |
edr.proxy_address | Az észlelési és válaszösszetevő által használt proxycím. |
A Microsoft automatikus frissítési konfigurációja:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
how_to_check | Meghatározza a termékfrissítések ellenőrzését (például automatikus vagy manuális). |
channel_name | Az eszközhöz társított csatorna frissítése. |
manifest_server | A frissítések letöltéséhez használt kiszolgáló. |
update_cache | A frissítések tárolására használt gyorsítótár helye. |
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
sha256 | A támogatási napló SHA256 azonosítója. |
Méret | A támogatási napló mérete. |
original_path | A támogatási napló elérési útja (mindig a /Library/Application Support/Microsoft/Defender/wdavdiag/ területen). |
Formátum | A támogatási napló formátuma. |
Metaadat | A támogatási napló tartalmával kapcsolatos információk. |
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
request_id | A támogatási napló feltöltési kérésének korrelációs azonosítója. |
sha256 | A támogatási napló SHA256 azonosítója. |
blob_sas_uri | Az alkalmazás által a támogatási napló feltöltéséhez használt URI. |
Váratlan alkalmazáskilépés (összeomlás):
Alkalmazások váratlan kilépése, illetve az alkalmazás állapota, amikor ez történik.
Kernelbővítmény statisztikái:
A gyűjtés a következő mezőkre terjed ki:
Mező | Leírás |
---|---|
pkt_ack_timeout | Az alábbi tulajdonságok összesített numerikus értékek, amelyek a kernelbővítmény indítása óta történt események számát jelölik. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Tipp.
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.