次の方法で共有


macOS 用 Microsoft Defender for Endpoint のプライバシー

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Microsoft は、macOS でMicrosoft Defender for Endpointを使用しているときにデータを収集および使用する方法について選択するために必要な情報とコントロールを提供することに取り組んでいます。

このトピックでは、製品内で使用できるプライバシー制御、ポリシー設定を使用してこれらのコントロールを管理する方法、および収集されるデータ イベントの詳細について説明します。

macOS でのMicrosoft Defender for Endpointのプライバシー制御の概要

このセクションでは、macOS でMicrosoft Defender for Endpointによって収集されるさまざまな種類のデータのプライバシー制御について説明します。

診断ログ

診断データは、Microsoft Defender for Endpoint安全で最新の状態を維持し、問題を検出、診断、修正し、製品を改善するために使用されます。

診断データには、必須のものとオプションのものがあります。 組織のポリシー設定などのプライバシー コントロールを使用することで、必須の診断データとオプションの診断データのどちらを Microsoft に送信するかを選択することができます。

Microsoft Defender for Endpoint クライアント ソフトウェアの診断データには、次の 2 つのレベルから選択できます。

  • 必須: Microsoft Defender for Endpointをセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータ。

  • 省略可能: Microsoft が製品の改善に役立ち、問題の検出、診断、修復に役立つ強化された情報を提供する追加データ。

既定では、必要な診断データのみが Microsoft に送信されます。

クラウドで提供される保護データ

クラウド提供の保護は、クラウド内の最新の保護データにアクセスして、保護を強化し、より迅速に提供するために使用されます。

クラウド配信の保護サービスを有効にすることはオプションですが、エンドポイントやネットワーク全体でマルウェアに対する重要な保護を提供するため、強くお勧めします。

サンプル データ

サンプル データは、分析できるように Microsoft の不審なサンプルを送信することで、製品の保護機能を向上させるために使用されます。 自動サンプル送信の有効化は省略可能です。

この機能が有効になっていて、収集されたサンプルに個人情報が含まれている可能性がある場合、ユーザーは同意を求められます。

ポリシーの設定でプライバシー コントロールを管理します

IT 管理者の場合は、これらのコントロールをエンタープライズ レベルで構成できます。

前のセクションで説明したさまざまな種類のデータのプライバシー制御については、「macOS でMicrosoft Defender for Endpointの基本設定を設定する」で詳しく説明します。

新しいポリシー設定と同様に、制限された制御された環境で慎重にテストし、構成した設定が目的の効果を得られるようにしてから、organizationでポリシー設定をより広く実装する必要があります。

診断データ イベント

このセクションでは、必要な診断データと見なされる内容と、オプションの診断データと見なされる内容と、収集されるイベントとフィールドの説明について説明します。

すべてのイベントに共通するデータ フィールド

カテゴリやデータ サブタイプに関係なく、すべてのイベントに共通するイベントに関する情報があります。

次のフィールドは、すべてのイベントに共通と見なされます。

フィールド 説明
platform アプリが実行されているプラットフォームの広範な分類。 問題が発生している可能性のあるプラットフォームを Microsoft が特定して、問題を正しく優先順位付けできるようにします。
machine_guid デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
sense_guid デバイスに関連付けられている一意の識別子。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
org_id デバイスが属するエンタープライズに関連付けられている一意の識別子。 Microsoft は、問題が一連の企業に影響を与えているかどうか、および影響を受ける企業の数を特定できます。
ホスト ローカル デバイス名 (DNS サフィックスなし)。 Microsoft は、問題が一連のインストールに影響を与えているかどうか、および影響を受けるユーザーの数を特定できます。
product_guid 製品の一意識別子。 Microsoft が製品のさまざまなフレーバーに影響を与える問題を区別できるようにします。
app_version macOS アプリケーションのMicrosoft Defender for Endpointのバージョン。 Microsoft は、問題が表示されている製品のバージョンを特定して、正しく優先順位を付けることができます。
sig_version セキュリティ インテリジェンス データベースのバージョン。 Microsoft が問題を示しているセキュリティ インテリジェンスのバージョンを特定して、正しく優先順位を付けることができます。
supported_compressions アプリケーションでサポートされている圧縮アルゴリズムの一覧 (例: ['gzip'])。 アプリケーションと通信するときに使用できる圧縮の種類を Microsoft が理解できるようにします。
release_ring デバイスが関連付けられているリング (Insider Fast、Insider Slow、Production など)。 問題が発生している可能性のあるリリース リングを Microsoft が特定して、問題を正しく優先できるようにします。

必須診断データ

必要な診断データは、Microsoft Defender for Endpointをセキュリティで保護し、最新の状態に保ち、インストールされているデバイスで期待どおりに実行するために必要な最小限のデータです。

必要な診断データは、デバイスまたはソフトウェアの構成に関連する可能性があるMicrosoft Defender for Endpointに関する問題を特定するのに役立ちます。 たとえば、特定のオペレーティング システムバージョンでMicrosoft Defender for Endpoint機能がクラッシュする頻度が高いかどうか、新しく導入された機能、または特定のMicrosoft Defender for Endpoint機能が無効になっているかどうかを判断するのに役立ちます。 必要な診断データは、Microsoft がこれらの問題をより迅速に検出、診断、修正し、ユーザーまたは組織への影響を軽減するのに役立ちます。

ソフトウェアのセットアップと在庫データ イベント

インストール/アンインストールMicrosoft Defender for Endpoint:

収集されるフィールドは、次のとおりです。

フィールド 説明
correlation_id インストールに関連付けられている一意の識別子。
version パッケージのバージョン。
severity メッセージの重大度 (Informational など)。
code 操作を記述するコード。
テキスト 製品のインストールに関連する追加情報。

Microsoft Defender for Endpoint構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
antivirus_engine.enable_real_time_protection デバイスでリアルタイム保護が有効かどうか。
antivirus_engine.passive_mode デバイスでパッシブ モードが有効かどうか。
cloud_service.enabled クラウド配信保護がデバイスで有効かどうか。
cloud_service.timeout アプリケーションがMicrosoft Defender for Endpoint クラウドと通信するときにタイムアウトします。
cloud_service.heartbeat_interval 製品によってクラウドに送信される連続するハートビート間の間隔。
cloud_service.service_uri クラウドとの通信に使用される URI。
cloud_service.diagnostic_level デバイスの診断レベル (必須、省略可能)。
cloud_service.automatic_sample_submission サンプルの自動送信が有効になっているかどうか。
cloud_service.automatic_definition_update_enabled 定義の自動更新が有効になっているかどうか。
edr.early_preview デバイスで EDR 早期プレビュー機能を実行するかどうか。
edr.group_id 検出と応答コンポーネントによって使用されるグループ識別子。
edr.tags ユーザー定義タグ。
機能。[省略可能な機能名] プレビュー機能の一覧と、有効かどうか。

製品とサービスの利用状況データ イベント

セキュリティ インテリジェンスの更新レポート:

収集されるフィールドは、次のとおりです。

フィールド 説明
from_version 元のセキュリティ インテリジェンス バージョン。
to_version 新しいセキュリティ インテリジェンス バージョン。
status 成功または失敗を示す更新プログラムの状態。
using_proxy 更新がプロキシ経由で行われたかどうか。
error 更新に失敗した場合のエラー コード。
理由 更新されたファイルの場合は、エラー メッセージ。

必要な診断データの製品とサービスのパフォーマンス データ イベント

予期しないアプリケーションの終了 (クラッシュ):

アプリケーションが予期せず終了したときに、システム情報とアプリケーションの状態を収集します。

収集されるフィールドは、次のとおりです。

フィールド 説明
v1_crash_count クライアント コンピューターで V1 エンジン プロセスが 1 時間ごとにクラッシュした回数
v2_crash_count クライアント マシンで V2 エンジン プロセスが 1 時間ごとにクラッシュした回数
EDR_crash_count クライアント コンピューターで EDR プロセスが 1 時間ごとにクラッシュした回数

カーネル拡張機能の統計:

収集されるフィールドは、次のとおりです。

フィールド 説明
version macOS 上のMicrosoft Defender for Endpointのバージョン。
instance_id カーネル拡張機能の起動時に生成される一意の識別子。
trace_level カーネル拡張機能のトレース レベル。
サブシステム リアルタイム保護に使用される基になるサブシステム。
ipc.connects カーネル拡張機能によって受信された接続要求の数。
ipc.rejects カーネル拡張機能によって拒否された接続要求の数。
ipc.connected カーネル拡張機能へのアクティブな接続があるかどうか。

サポート データ

診断ログ:

診断ログは、フィードバック送信機能の一部としてユーザーの同意を得た場合にのみ収集されます。 次のファイルは、サポート ログの一部として収集されます。

  • /Library/Logs/Microsoft/mdatp/ のすべてのファイル
  • /Library/Application Support/Microsoft/Defender/ の下にある、macOS 上のMicrosoft Defender for Endpointによって作成および使用されるファイルのサブセット
  • macOS 上のMicrosoft Defender for Endpointで使用される /Library/Managed Preferences の下のファイルのサブセット
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

オプションの診断データ

オプションの診断データ は、Microsoft が製品を改善するのに役立つ追加データであり、問題の検出、診断、修正に役立つ強化された情報を提供します。

オプションの診断データを送信するよう選択した場合は、必須の診断データも含まれています。

オプションの診断データの例としては、Microsoft が製品構成に関して収集したデータ (デバイスに設定されている除外の数など) や製品のパフォーマンス (製品のコンポーネントのパフォーマンスに関する集計メジャー) などがあります。

オプションの診断データのソフトウェアセットアップとインベントリ データ イベント

Microsoft Defender for Endpoint構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
connection_retry_timeout クラウドとの通信時の接続再試行タイムアウト。
file_hash_cache_maximum 製品キャッシュのサイズ。
crash_upload_daily_limit 毎日アップロードされるクラッシュ ログの制限。
antivirus_engine.exclusions[].is_directory スキャンからの除外がディレクトリであるかどうか。
antivirus_engine.exclusions[].path スキャンから除外されたパス。
antivirus_engine.exclusions[].extension スキャンから除外された拡張機能。
antivirus_engine.exclusions[].name スキャンから除外されたファイルの名前。
antivirus_engine.scan_cache_maximum 製品キャッシュのサイズ。
antivirus_engine.maximum_scan_threads スキャンに使用されるスレッドの最大数。
antivirus_engine.threat_restoration_exclusion_time 検疫から復元されたファイルを再度検出する前にタイムアウトします。
antivirus_engine.threat_type_settings 製品によって異なる脅威の種類がどのように処理されるかの構成。
filesystem_scanner.full_scan_directory フル スキャン ディレクトリ。
filesystem_scanner.quick_scan_directories クイック スキャンで使用されるディレクトリの一覧。
edr.latency_mode 検出と応答コンポーネントで使用される待機時間モード。
edr.proxy_address 検出と応答コンポーネントによって使用されるプロキシ アドレス。

Microsoft Auto-Update の構成:

収集されるフィールドは、次のとおりです。

フィールド 説明
how_to_check 製品更新プログラムのチェック方法を決定します (自動や手動など)。
channel_name デバイスに関連付けられているチャネルを更新します。
manifest_server 更新プログラムのダウンロードに使用されるサーバー。
update_cache 更新プログラムの格納に使用されるキャッシュの場所。

製品とサービスの使用

診断ログのアップロード開始レポート

収集されるフィールドは、次のとおりです。

フィールド 説明
sha256 サポート ログの SHA256 識別子。
size サポート ログのサイズ。
original_path サポート ログへのパス (常に /Library/Application Support/Microsoft/Defender/wdavdiag/) の下にあります。
format サポート ログの形式。
metadata サポート ログの内容に関する情報。

診断ログのアップロード完了レポート

以下のフィールドが収集されます。

フィールド 説明
request_id サポート ログアップロード要求の関連付け ID。
sha256 サポート ログの SHA256 識別子。
blob_sas_uri アプリケーションがサポート ログをアップロードするために使用する URI。

製品とサービスの使用状況に関する製品とサービスのパフォーマンス データ イベント

予期しないアプリケーションの終了 (クラッシュ):

原因不明のアプリケーションの終了とその発生時のアプリケーションの状態。

カーネル拡張機能の統計:

以下のフィールドが収集されます。

フィールド 説明
pkt_ack_timeout 次のプロパティは、カーネル拡張機能の起動後に発生したイベントの数を表す、集計された数値です。
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

リソース

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。