Microsoft Defender per endpoint l'archiviazione e la privacy dei dati

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questa sezione illustra alcune delle domande più frequenti relative alla privacy e alla gestione dei dati per Defender per endpoint.

Nota

Questo articolo illustra i dettagli relativi all'archiviazione e alla privacy dei dati relativi a Defender per endpoint e Defender per le aziende. Per altre informazioni relative a Defender per endpoint e ad altri prodotti e servizi come Microsoft Defender Antivirus e Windows, vedere Informativa sulla privacy microsoft e domande frequenti sulla privacy di Windows.

Quali dati vengono raccolti Microsoft Defender per endpoint?

Microsoft Defender per endpoint raccoglie informazioni dai dispositivi configurati e le archivia in un tenant dedicato al cliente e separato specifico del servizio a scopo di amministrazione, rilevamento e creazione di report.

Le informazioni raccolte includono i dati dei file (nomi file, dimensioni e hash), i dati di elaborazione (processi in esecuzione, hash), i dati del Registro di sistema, i dati di connessione di rete (indirizzi IP host e porte) e i dettagli del dispositivo (identificatori del dispositivo, nomi e versione del sistema operativo).

Microsoft archivia questi dati in modo sicuro in Microsoft Azure e lo mantiene in conformità alle procedure di privacy Microsoft e ai criteri del Centro protezione Microsoft.

Questi dati consentono a Defender per endpoint di:

  • Identificare in modo proattivo gli indicatori di attacco (I/O) nell'organizzazione
  • Generare avvisi se è stato rilevato un possibile attacco
  • Fornire alle operazioni di sicurezza una visualizzazione di dispositivi, file e URL correlati ai segnali di minaccia provenienti dalla rete, consentendo di analizzare ed esplorare la presenza di minacce alla sicurezza nella rete.

Microsoft non usa i dati per la pubblicità.

Protezione e crittografia dei dati

Il servizio Defender per endpoint utilizza tecnologie di protezione dei dati all'avanguardia, basate sull'infrastruttura di Microsoft Azure.

Esistono vari aspetti rilevanti per la protezione dei dati di cui il nostro servizio si occupa. La crittografia è uno degli aspetti più critici e include la crittografia dei dati inattivi, la crittografia in anteprima e la gestione delle chiavi con Key Vault. Per altre informazioni su altre tecnologie usate dal servizio Defender per endpoint, vedere Panoramica della crittografia di Azure.

In tutti gli scenari, i dati vengono crittografati con la crittografia AES a 256 bit al minimo.

Posizione di archiviazione dei dati

Defender per endpoint opera nei data center di Microsoft Azure nell'Unione europea, nel Regno Unito, nella Stati Uniti o in Australia. I dati dei clienti raccolti dal servizio possono essere archiviati in: (a) la posizione geografica del tenant identificata durante il provisioning oppure (b) la posizione geografica definita dalle regole di archiviazione dei dati di un servizio online se questo servizio online viene usato da Defender per endpoint per elaborare tali dati. Per altre informazioni, vedere Dove vengono archiviati i dati dei clienti di Microsoft 365.

I dati dei clienti in forma pseudonima possono anche essere archiviati nei sistemi di archiviazione e elaborazione centrali nel Stati Uniti.

Selezionare Serve assistenza? nel portale di Microsoft Defender per contattare il supporto tecnico Microsoft per il provisioning Microsoft Defender XDR in un'altra posizione del data center.

Condivisione dei dati per Microsoft Defender per endpoint

Microsoft Defender per endpoint condivide i dati, inclusi i dati dei clienti, tra i prodotti Microsoft seguenti, concessi in licenza anche dal cliente.

  • Microsoft Sentinel
  • Microsoft Tunnel per la gestione di applicazioni mobili - Android
  • Microsoft Defender for Cloud
  • Microsoft Defender per identità
  • Microsoft Security Exposure Management (anteprima pubblica)

I dati sono isolati da altri dati dei clienti?

Sì, i dati sono isolati tramite l'autenticazione di accesso e la separazione logica in base all'identificatore del cliente. Ogni cliente può accedere solo ai dati raccolti dalla propria organizzazione e ai dati generici forniti da Microsoft.

In che modo Microsoft impedisce attività insider dannose e abuso di ruoli con privilegi elevati?

Per impostazione predefinita, gli sviluppatori e gli amministratori Microsoft hanno ricevuto privilegi sufficienti per svolgere i compiti assegnati per operare ed evolvere il servizio. Microsoft distribuisce combinazioni di controlli preventivi, investigativi e reattivi, inclusi i meccanismi seguenti per proteggere da attività amministrative e/o sviluppatori non autorizzati:

  • Stretto controllo di accesso ai dati sensibili
  • Combinazioni di controlli che migliorano notevolmente il rilevamento indipendente di attività dannose
  • Più livelli di monitoraggio, registrazione e creazione di report

Inoltre, Microsoft esegue controlli di verifica in background di alcuni membri del personale operativo e limita l'accesso ad applicazioni, sistemi e infrastruttura di rete in proporzione al livello di verifica in background. Il personale operativo segue un processo formale quando è necessario accedere all'account di un cliente o alle informazioni correlate nell'esecuzione dei propri compiti.

L'accesso ai dati per i servizi distribuiti nei data center di Microsoft Azure per enti pubblici viene concesso solo al personale operativo che è stato sottoposto a screening e approvato per gestire i dati soggetti a determinate normative e requisiti governativi, ad esempio FedRAMP, NIST 800.171 (DIB), ITAR, IRS 1075, DoD L4 e CJIS.

I dati vengono condivisi con altri clienti?

No. I dati dei clienti sono isolati da altri clienti e non vengono condivisi. Tuttavia, l'intelligence sulle minacce sui dati risultanti dall'elaborazione Microsoft e che non contiene dati specifici del cliente potrebbe essere condivisa con altri clienti. Ogni cliente può accedere solo ai dati raccolti dalla propria organizzazione e ai dati generici forniti da Microsoft.

Per quanto tempo Microsoft archivierà i dati? Che cos'è il criterio di conservazione dei dati di Microsoft?

Durante l'onboarding dei servizi

I dati di Microsoft Defender per endpoint vengono conservati per 180 giorni, visibili nel portale. Tuttavia, nell'esperienza di ricerca avanzata, è accessibile tramite una query per 30 giorni.

Alla risoluzione o alla scadenza del contratto

I dati vengono conservati ed è disponibile durante il periodo di tolleranza o la modalità sospesa della licenza. Al termine di questo periodo, tali dati verranno cancellati dai sistemi Microsoft per renderli irrecuperabili, entro 180 giorni dalla risoluzione o dalla scadenza del contratto.

Dati di ricerca avanzata

La ricerca avanzata è uno strumento di ricerca delle minacce basato sulla query che permette di esplorare dati non elaborati fino a 30 giorni.

Microsoft può aiutarci a mantenere la conformità alle normative?

Microsoft fornisce ai clienti informazioni dettagliate sui programmi di sicurezza e conformità di Microsoft, inclusi i report di controllo e i pacchetti di conformità, per aiutarli a valutare Defender for Endpoint Services in base ai propri requisiti legali e normativi. Defender per endpoint ha ottenuto una serie di certificazioni tra cui ISO, SOC, FedRAMP High e PCI e continua a perseguire certificazioni nazionali, regionali e specifiche del settore aggiuntive.

Fornendo ai clienti servizi conformi e verificati in modo indipendente, Microsoft semplifica il raggiungimento della conformità per l'infrastruttura e le applicazioni eseguite.

Per altre informazioni sui report di certificazione di Defender per endpoint, vedere Centro protezione Microsoft.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.