macOS 用 Microsoft Defender for Endpoint のプライバシー
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Microsoft は、macOS でMicrosoft Defender for Endpointを使用しているときにデータを収集および使用する方法について選択するために必要な情報とコントロールを提供することに取り組んでいます。
このトピックでは、製品内で使用できるプライバシー制御、ポリシー設定を使用してこれらのコントロールを管理する方法、および収集されるデータ イベントの詳細について説明します。
macOS でのMicrosoft Defender for Endpointのプライバシー制御の概要
このセクションでは、macOS でMicrosoft Defender for Endpointによって収集されるさまざまな種類のデータのプライバシー制御について説明します。
診断ログ
診断データは、Microsoft Defender for Endpoint安全で最新の状態を維持し、問題を検出、診断、修正し、製品を改善するために使用されます。
診断データには、必須のものとオプションのものがあります。 組織のポリシー設定などのプライバシー コントロールを使用することで、必須の診断データとオプションの診断データのどちらを Microsoft に送信するかを選択することができます。
Microsoft Defender for Endpoint クライアント ソフトウェアの診断データには、次の 2 つのレベルから選択できます。
必須: Microsoft Defender for Endpointをセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータ。
省略可能: Microsoft が製品の改善に役立ち、問題の検出、診断、修復に役立つ強化された情報を提供する追加データ。
既定では、必要な診断データのみが Microsoft に送信されます。
クラウドで提供される保護データ
クラウド提供の保護は、クラウド内の最新の保護データにアクセスして、保護を強化し、より迅速に提供するために使用されます。
クラウド配信の保護サービスを有効にすることはオプションですが、エンドポイントやネットワーク全体でマルウェアに対する重要な保護を提供するため、強くお勧めします。
サンプル データ
サンプル データは、分析できるように Microsoft の不審なサンプルを送信することで、製品の保護機能を向上させるために使用されます。 自動サンプル送信の有効化は省略可能です。
この機能が有効になっていて、収集されたサンプルに個人情報が含まれている可能性がある場合、ユーザーは同意を求められます。
ポリシーの設定でプライバシー コントロールを管理します
IT 管理者の場合は、これらのコントロールをエンタープライズ レベルで構成できます。
前のセクションで説明したさまざまな種類のデータのプライバシー制御については、「macOS でMicrosoft Defender for Endpointの基本設定を設定する」で詳しく説明します。
新しいポリシー設定と同様に、制限された制御された環境で慎重にテストし、構成した設定が目的の効果を得られるようにしてから、organizationでポリシー設定をより広く実装する必要があります。
診断データ イベント
このセクションでは、必要な診断データと見なされる内容と、オプションの診断データと見なされる内容と、収集されるイベントとフィールドの説明について説明します。
すべてのイベントに共通するデータ フィールド
カテゴリやデータ サブタイプに関係なく、すべてのイベントに共通するイベントに関する情報があります。
次のフィールドは、すべてのイベントに共通と見なされます。
フィールド | 説明 |
---|---|
platform | アプリが実行されているプラットフォームの広範な分類。 問題が発生している可能性のあるプラットフォームを Microsoft が特定して、問題を正しく優先順位付けできるようにします。 |
machine_guid | デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
sense_guid | デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
org_id | デバイスが属するエンタープライズに関連付けられている一意の識別子。 Microsoft は、問題が一連の企業に影響を与えているかどうか、および影響を受ける企業の数を特定できます。 |
ホスト | ローカル デバイス名 (DNS サフィックスなし)。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。 |
product_guid | 製品の一意識別子。 Microsoft が製品のさまざまなフレーバーに影響を与える問題を区別できるようにします。 |
app_version | macOS アプリケーションのMicrosoft Defender for Endpointのバージョン。 Microsoft は、問題が表示されている製品のバージョンを特定して、正しく優先順位を付けることができます。 |
sig_version | セキュリティ インテリジェンス データベースのバージョン。 Microsoft が問題を示しているセキュリティ インテリジェンスのバージョンを特定して、正しく優先順位を付けることができます。 |
supported_compressions | アプリケーションでサポートされている圧縮アルゴリズムの一覧 (例: ['gzip'] )。 アプリケーションと通信するときに使用できる圧縮の種類を Microsoft が理解できるようにします。 |
release_ring | デバイスが関連付けられているリング (Insider Fast、Insider Slow、Production など)。 問題が発生している可能性のあるリリース リングを Microsoft が特定して、問題を正しく優先できるようにします。 |
必須診断データ
必要な診断データは、Microsoft Defender for Endpointをセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータです。
必要な診断データは、デバイスまたはソフトウェアの構成に関連する可能性があるMicrosoft Defender for Endpointに関する問題を特定するのに役立ちます。 たとえば、特定のオペレーティング システムバージョンでMicrosoft Defender for Endpoint機能がクラッシュする頻度が高いかどうか、新しく導入された機能、または特定のMicrosoft Defender for Endpoint機能が無効になっているかどうかを判断するのに役立ちます。 必要な診断データは、Microsoft がこれらの問題をより迅速に検出、診断、修正し、ユーザーまたは組織への影響を軽減するのに役立ちます。
ソフトウェアのセットアップと在庫データ イベント
インストール/アンインストールMicrosoft Defender for Endpoint:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
correlation_id | インストールに関連付けられている一意の識別子。 |
version | パッケージのバージョン。 |
severity | メッセージの重大度 (Informational など)。 |
code | 操作を記述するコード。 |
テキスト | 製品のインストールに関連する追加情報。 |
Microsoft Defender for Endpoint構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
antivirus_engine.enable_real_time_protection | デバイスでリアルタイム保護が有効かどうか。 |
antivirus_engine.passive_mode | デバイスでパッシブ モードが有効かどうか。 |
cloud_service.enabled | クラウド配信保護がデバイスで有効かどうか。 |
cloud_service.timeout | アプリケーションがMicrosoft Defender for Endpoint クラウドと通信するときにタイムアウトします。 |
cloud_service.heartbeat_interval | 製品によってクラウドに送信される連続するハートビート間の間隔。 |
cloud_service.service_uri | クラウドとの通信に使用される URI。 |
cloud_service.diagnostic_level | デバイスの診断レベル (必須、省略可能)。 |
cloud_service.automatic_sample_submission | サンプルの自動送信が有効になっているかどうか。 |
cloud_service.automatic_definition_update_enabled | 定義の自動更新が有効になっているかどうか。 |
edr.early_preview | デバイスで EDR 早期プレビュー機能を実行するかどうか。 |
edr.group_id | 検出と応答コンポーネントによって使用されるグループ識別子。 |
edr.tags | ユーザー定義タグ。 |
機能。[省略可能な機能名] | プレビュー機能の一覧と、有効かどうか。 |
製品とサービスの利用状況データ イベント
セキュリティ インテリジェンスの更新レポート:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
from_version | 元のセキュリティ インテリジェンス バージョン。 |
to_version | 新しいセキュリティ インテリジェンス バージョン。 |
status | 成功または失敗を示す更新プログラムの状態。 |
using_proxy | 更新がプロキシ経由で行われたかどうか。 |
error | 更新に失敗した場合のエラー コード。 |
理由 | 更新されたファイルの場合は、エラー メッセージ。 |
必要な診断データの製品とサービスのパフォーマンス データ イベント
予期しないアプリケーションの終了 (クラッシュ):
アプリケーションが予期せず終了したときに、システム情報とアプリケーションの状態を収集します。
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
v1_crash_count | クライアント コンピューターで V1 エンジン プロセスが 1 時間ごとにクラッシュした回数 |
v2_crash_count | クライアント マシンで V2 エンジン プロセスが 1 時間ごとにクラッシュした回数 |
EDR_crash_count | クライアント コンピューターで EDR プロセスが 1 時間ごとにクラッシュした回数 |
カーネル拡張機能の統計:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
version | macOS 上のMicrosoft Defender for Endpointのバージョン。 |
instance_id | カーネル拡張機能の起動時に生成される一意の識別子。 |
trace_level | カーネル拡張機能のトレース レベル。 |
サブシステム | リアルタイム保護に使用される基になるサブシステム。 |
ipc.connects | カーネル拡張機能によって受信された接続要求の数。 |
ipc.rejects | カーネル拡張機能によって拒否された接続要求の数。 |
ipc.connected | カーネル拡張機能へのアクティブな接続があるかどうか。 |
サポート データ
診断ログ:
診断ログは、フィードバック送信機能の一部としてユーザーの同意を得た場合にのみ収集されます。 次のファイルは、サポート ログの一部として収集されます。
- /Library/Logs/Microsoft/mdatp/ のすべてのファイル
- /Library/Application Support/Microsoft/Defender/ の下にある、macOS 上のMicrosoft Defender for Endpointによって作成および使用されるファイルのサブセット
- macOS 上のMicrosoft Defender for Endpointで使用される /Library/Managed Preferences の下のファイルのサブセット
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
オプションの診断データ
オプションの診断データ は、Microsoft が製品を改善するのに役立つ追加データであり、問題の検出、診断、修正に役立つ強化された情報を提供します。
オプションの診断データを送信するよう選択した場合は、必須の診断データも含まれています。
オプションの診断データの例としては、Microsoft が製品構成に関して収集したデータ (デバイスに設定されている除外の数など) や製品のパフォーマンス (製品のコンポーネントのパフォーマンスに関する集計メジャー) などがあります。
オプションの診断データのソフトウェアセットアップとインベントリ データ イベント
Microsoft Defender for Endpoint構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
connection_retry_timeout | クラウドとの通信時の接続再試行タイムアウト。 |
file_hash_cache_maximum | 製品キャッシュのサイズ。 |
crash_upload_daily_limit | 毎日アップロードされるクラッシュ ログの制限。 |
antivirus_engine.exclusions[].is_directory | スキャンからの除外がディレクトリであるかどうか。 |
antivirus_engine.exclusions[].path | スキャンから除外されたパス。 |
antivirus_engine.exclusions[].extension | スキャンから除外された拡張機能。 |
antivirus_engine.exclusions[].name | スキャンから除外されたファイルの名前。 |
antivirus_engine.scan_cache_maximum | 製品キャッシュのサイズ。 |
antivirus_engine.maximum_scan_threads | スキャンに使用されるスレッドの最大数。 |
antivirus_engine.threat_restoration_exclusion_time | 検疫から復元されたファイルを再度検出する前にタイムアウトします。 |
antivirus_engine.threat_type_settings | 製品によって異なる脅威の種類がどのように処理されるかの構成。 |
filesystem_scanner.full_scan_directory | フル スキャン ディレクトリ。 |
filesystem_scanner.quick_scan_directories | クイック スキャンで使用されるディレクトリの一覧。 |
edr.latency_mode | 検出と応答コンポーネントで使用される待機時間モード。 |
edr.proxy_address | 検出と応答コンポーネントによって使用されるプロキシ アドレス。 |
Microsoft Auto-Update の構成:
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
how_to_check | 製品更新プログラムのチェック方法を決定します (自動や手動など)。 |
channel_name | デバイスに関連付けられているチャネルを更新します。 |
manifest_server | 更新プログラムのダウンロードに使用されるサーバー。 |
update_cache | 更新プログラムの格納に使用されるキャッシュの場所。 |
製品とサービスの使用
診断ログのアップロード開始レポート
収集されるフィールドは、次のとおりです。
フィールド | 説明 |
---|---|
sha256 | サポート ログの SHA256 識別子。 |
size | サポート ログのサイズ。 |
original_path | サポート ログへのパス (常に /Library/Application Support/Microsoft/Defender/wdavdiag/) の下にあります。 |
format | サポート ログの形式。 |
metadata | サポート ログの内容に関する情報。 |
診断ログのアップロード完了レポート
以下のフィールドが収集されます。
フィールド | 説明 |
---|---|
request_id | サポート ログアップロード要求の関連付け ID。 |
sha256 | サポート ログの SHA256 識別子。 |
blob_sas_uri | アプリケーションがサポート ログをアップロードするために使用する URI。 |
製品とサービスの使用状況に関する製品とサービスのパフォーマンス データ イベント
予期しないアプリケーションの終了 (クラッシュ):
原因不明のアプリケーションの終了とその発生時のアプリケーションの状態。
カーネル拡張機能の統計:
以下のフィールドが収集されます。
フィールド | 説明 |
---|---|
pkt_ack_timeout | 次のプロパティは、カーネル拡張機能の起動後に発生したイベントの数を表す、集計された数値です。 |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
リソース
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。