Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Корпорация Майкрософт обязуется предоставить вам сведения и элементы управления, необходимые для выбора способа сбора и использования данных при использовании Defender для конечной точки на Linux.
В этой статье описываются элементы управления конфиденциальностью, доступные в продукте, как управлять этими элементами управления с помощью параметров политики, а также дополнительные сведения о собираемых событиях данных.
Обзор элементов управления конфиденциальностью в Microsoft Defender для конечной точки на Linux
В этом разделе описаны элементы управления конфиденциальностью для различных типов данных, собираемых Defender для конечной точки на Linux.
Диагностические данные
Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта.
Некоторые диагностические данные являются обязательными, а некоторые — необязательными. Мы предоставляем вам возможность выбирать, следует ли отправлять нам необходимые или необязательные диагностические данные с помощью элементов управления конфиденциальностью, таких как параметры политики для организаций.
Существует два уровня диагностических данных для клиентского программного обеспечения Defender для конечной точки, которые можно выбрать:
- Обязательный. Минимальные данные, необходимые для обеспечения безопасности, актуальности и актуальности Defender для конечной точки на устройстве, на котором он установлен.
- Необязательно. Другие данные, которые помогают корпорации Майкрософт вносить улучшения в продукт и предоставляют расширенные сведения, помогающие обнаруживать, диагностировать и устранять проблемы.
По умолчанию в корпорацию Майкрософт отправляются только необходимые диагностические данные.
Данные защиты, доставляемые в облако
Облачная защита используется для повышения и ускорения защиты с доступом к последним данным защиты в облаке.
Включение облачной службы защиты является необязательным, однако настоятельно рекомендуется, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и в сети.
Образец данных
Примеры данных используются для улучшения возможностей защиты продукта путем отправки подозрительных примеров Майкрософт для их анализа. Включение автоматической отправки образцов является необязательным.
Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение используется по умолчанию.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
Управление инструментами для обеспечения конфиденциальности с помощью параметров политики
Если вы являетесь ИТ-администратором, вы можете настроить эти элементы управления на уровне предприятия.
Элементы управления конфиденциальностью для различных типов данных, описанные в предыдущем разделе, подробно описаны в разделе Настройка параметров Defender для конечной точки на Linux.
Как и в случае с любыми новыми параметрами политики, их следует тщательно протестировать в ограниченной контролируемой среде, чтобы убедиться, что настроенные параметры имеют желаемый эффект, прежде чем вы будете более широко внедрять параметры политики в своей организации.
События диагностических данных
В этом разделе описаны необходимые диагностические данные и необязательные диагностические данные, а также описание собираемых событий и полей.
Поля данных, которые являются общими для всех событий
Существует некоторая информация о событиях, которая является общей для всех событий, независимо от категории или подтипа данных.
Следующие поля считаются общими для всех событий:
| Поле | Описание |
|---|---|
| платформа | Широкая классификация платформы, на которой работает приложение. Позволяет корпорации Майкрософт определять, на каких платформах может возникнуть проблема, чтобы правильно определить приоритеты. |
| machine_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| sense_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| org_id | Уникальный идентификатор, связанный с предприятием, к которому принадлежит устройство. Позволяет корпорации Майкрософт определить, влияют ли проблемы на избранный набор предприятий и сколько предприятий затронуто. |
| Узла | Имя локального устройства (без DNS-суффикса). Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| product_guid | Уникальный идентификатор продукта. Позволяет корпорации Майкрософт различать проблемы, влияющие на различные варианты продукта. |
| app_version | Версия Defender для конечной точки в приложении Linux. Позволяет корпорации Майкрософт определить, в каких версиях продукта отображается проблема, чтобы можно было правильно определить приоритеты. |
| sig_version | Версия базы данных аналитики безопасности. Позволяет корпорации Майкрософт определить, в каких версиях аналитики безопасности отображается проблема, чтобы можно было правильно определить приоритеты. |
| supported_compressions | Список алгоритмов сжатия, поддерживаемых приложением, например ['gzip']. Позволяет корпорации Майкрософт понять, какие типы сжатия можно использовать при обмене данными с приложением. |
| release_ring | Вызов, с которым связано устройство (например, "Предварительная оценка", "Медленная оценка", "Рабочая"). Позволяет корпорации Майкрософт определить, в каком кольце выпуска может возникнуть проблема, чтобы правильно определить приоритеты. |
Обязательные диагностические данные
Обязательные диагностические данные — это минимальные данные, необходимые для обеспечения безопасности, актуальности и актуальности Defender для конечной точки на устройстве, на котором он установлен.
Необходимые диагностические данные помогают выявить проблемы с Microsoft Defender для конечной точки, которые могут быть связаны с конфигурацией устройства или программного обеспечения. Например, он может помочь определить, происходит ли чаще сбой функции Defender для конечной точки в конкретной версии операционной системы, с новыми функциями или при отключении определенных функций Defender для конечной точки. Необходимые диагностические данные помогают корпорации Майкрософт быстрее обнаруживать, диагностировать и устранять эти проблемы, чтобы снизить влияние на пользователей или организации.
События данных установки и учета программного обеспечения
Microsoft Defender для конечной точки установка и удаление:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| correlation_id | Уникальный идентификатор, связанный с установкой. |
| version | Версия пакета. |
| severity | Серьезность сообщения (например, информационная). |
| code | Код, описывающий операцию. |
| текст | Дополнительные сведения, связанные с установкой продукта. |
конфигурация Microsoft Defender для конечной точки:
Собираются следующие поля:
| Поле | Описание |
|---|---|
| antivirus_engine.enable_real_time_protection | Включена ли защита в режиме реального времени на устройстве. |
| antivirus_engine.passive_mode | Включен ли пассивный режим на устройстве или нет. |
| cloud_service.enabled | Включена ли облачная защита на устройстве. |
| cloud_service.timeout | Истекает время ожидания, когда приложение взаимодействует с облаком Defender для конечной точки. |
| cloud_service.heartbeat_interval | Интервал между последовательными пульсами, отправляемыми продуктом в облако. |
| cloud_service.service_uri | URI, используемый для взаимодействия с облаком. |
| cloud_service.diagnostic_level | Уровень диагностики устройства (обязательный, необязательный). |
| cloud_service.automatic_sample_submission | Уровень автоматической отправки образца устройства (нет, безопасность, все). |
| cloud_service.automatic_definition_update_enabled | Независимо от того, включено ли автоматическое обновление определений. |
| edr.early_preview | Указывает, должно ли устройство запускать функции ранней предварительной версии EDR. |
| edr.group_id | Идентификатор группы, используемый компонентом обнаружения и ответа. |
| edr.tags | Определяемые пользователем теги. |
| Функции. [необязательное имя компонента] | Список предварительных версий функций, а также сведения о том, включены ли они. |
События данных использования продуктов и служб
Отчет об обновлении аналитики безопасности:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| from_version | Исходная версия аналитики безопасности. |
| to_version | Новая версия аналитики безопасности. |
| status | Состояние обновления, указывающее на успех или сбой. |
| using_proxy | Указывает, было ли обновление выполнено через прокси-сервер. |
| error | Код ошибки, если обновление завершилось сбоем. |
| reason | Сообщение об ошибке, если обновление завершилось сбоем. |
События данных о производительности продуктов и служб для необходимых диагностических данных
Статистика расширения ядра:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| version | Версия Defender для конечной точки на Linux. |
| instance_id | Уникальный идентификатор, созданный при запуске расширения ядра. |
| trace_level | Уровень трассировки расширения ядра. |
| Подсистемы | Базовая подсистема, используемая для защиты в режиме реального времени. |
| ipc.connects | Число запросов на подключение, полученных расширением ядра. |
| ipc.rejects | Число запросов на подключение, отклоненных расширением ядра. |
| ipc.connected | Существует ли активное подключение к расширению ядра. |
Данные поддержки
Журналы диагностики:
Журналы диагностики собираются только с согласия пользователя в рамках функции отправки отзывов. В журналах поддержки собираются следующие файлы:
- Все файлы в /var/log/microsoft/mdatp
- Подмножество файлов в /etc/opt/microsoft/mdatp, созданных и используемых Defender для конечной точки на Linux
- Журналы установки и удаления продукта в разделе /var/log/microsoft/mdatp/*.log
Необязательные диагностические данные
Необязательные диагностические данные — это дополнительные данные, которые помогают корпорации Майкрософт улучшить продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.
Если выбрана отправка необязательных диагностических данных, обязательные диагностические данные также будут включены.
Примеры необязательных диагностических данных включают данные, собираемые корпорацией Майкрософт о конфигурации продукта (например, количестве исключений, установленных на устройстве) и производительности продукта (статистические показатели производительности компонентов продукта).
События настройки программного обеспечения и инвентаризации данных для необязательных диагностических данных
конфигурация Microsoft Defender для конечной точки:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| connection_retry_timeout | Время ожидания повторных попыток подключения при обмене данными с облаком. |
| file_hash_cache_maximum | Размер кэша продукта. |
| crash_upload_daily_limit | Ограничение ежедневной отправки журналов сбоев. |
| antivirus_engine.exclusions[].is_directory | Независимо от того, является ли исключение из сканирования каталогом. |
| antivirus_engine.exclusions[].path | Путь, исключенный из сканирования. |
| antivirus_engine.exclusions[].extension | Расширение, исключенное из сканирования. |
| antivirus_engine.exclusions[].name | Имя файла, исключенного из сканирования. |
| antivirus_engine.scan_cache_maximum | Размер кэша продукта. |
| antivirus_engine.maximum_scan_threads | Максимальное количество потоков, используемых для сканирования. |
| antivirus_engine.threat_restoration_exclusion_time | Время ожидания перед повторным обнаружением файла, восстановленного из карантина. |
| antivirus_engine.threat_type_settings | Настройка того, как продукт обрабатывает различные типы угроз. |
| filesystem_scanner.full_scan_directory | Каталог полной проверки. |
| filesystem_scanner.quick_scan_directoryies | Список каталогов, используемых при быстрой проверке. |
| edr.latency_mode | Режим задержки, используемый компонентом обнаружения и ответа. |
| edr.proxy_address | Адрес прокси-сервера, используемый компонентом обнаружения и ответа. |
Конфигурация автоматического обновления Майкрософт:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| how_to_check | Определяет, как проверяются обновления продукта (например, автоматически или вручную). |
| channel_name | Канал обновления, связанный с устройством. |
| manifest_server | Сервер, используемый для скачивания обновлений. |
| update_cache | Расположение кэша, используемого для хранения обновлений. |
использование продуктов и служб;
Отчет о начале отправки журнала диагностики
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| sha256 | Идентификатор SHA256 журнала поддержки. |
| size | Размер журнала поддержки. |
| original_path | Путь к журналу поддержки (всегда в разделе /var/opt/microsoft/mdatp/wdavdiag/). |
| format | Формат журнала поддержки. |
Отчет о завершении отправки журнала диагностики
Собираются следующие поля:
| Поле | Описание |
|---|---|
| request_id | Идентификатор корреляции для запроса на отправку журнала поддержки. |
| sha256 | Идентификатор SHA256 журнала поддержки. |
| blob_sas_uri | URI, используемый приложением для отправки журнала поддержки. |
События данных о производительности продуктов и служб для службы продуктов и их использования
Непредвиденное завершение работы приложения (сбой)
Случаи непредвиденного выхода из приложения и состояние приложения при этом.
Статистика расширения ядра:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| pkt_ack_timeout | Следующие свойства представляют собой агрегированные числовые значения, представляющие количество событий, произошедших с момента запуска расширения ядра. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |