Linux의 엔드포인트용 Microsoft Defender 개인 정보
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
Microsoft는 Linux에서 엔드포인트용 Defender를 사용할 때 데이터를 수집하고 사용하는 방법을 선택하는 데 필요한 정보 및 컨트롤을 제공하기 위해 최선을 다하고 있습니다.
이 문서에서는 제품 내에서 사용할 수 있는 개인 정보 보호 컨트롤, 정책 설정을 사용하여 이러한 컨트롤을 관리하는 방법 및 수집되는 데이터 이벤트에 대한 자세한 내용을 설명합니다.
이 섹션에서는 Linux의 엔드포인트용 Defender에서 수집하는 다양한 유형의 데이터에 대한 개인 정보 보호 제어에 대해 설명합니다.
진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다.
일부 진단 데이터는 필수 사항이지만, 일부 진단 데이터는 선택 사항입니다. 조직의 정책 설정과 같은 개인 정보 보호 제어를 사용하여 필요한 진단 데이터를 보낼지 또는 선택적 진단 데이터를 보낼지 선택할 수 있는 기능을 제공합니다.
엔드포인트용 Defender 클라이언트 소프트웨어에 대한 두 가지 수준의 진단 데이터를 선택할 수 있습니다.
- 필수: 엔드포인트용 Defender를 최신 상태로 유지하고 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.
- 선택 사항: Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 수정하는 데 도움이 되는 향상된 정보를 제공하는 기타 데이터입니다.
기본적으로 필요한 진단 데이터만 Microsoft로 전송됩니다.
클라우드 제공 보호는 클라우드의 최신 보호 데이터에 액세스할 수 있는 향상된 더 빠른 보호를 제공하는 데 사용됩니다.
클라우드 제공 보호 서비스를 사용하도록 설정하는 것은 선택 사항이 아니지만 엔드포인트 및 네트워크에서 맬웨어에 대한 중요한 보호를 제공하기 때문에 권장됩니다.
샘플 데이터는 분석할 수 있도록 Microsoft 의심스러운 샘플을 전송하여 제품의 보호 기능을 개선하는 데 사용됩니다. 자동 샘플 제출을 사용하도록 설정하는 것은 선택 사항입니다.
샘플 제출을 제어하는 세 가지 수준이 있습니다.
- 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
- 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 값은 기본값입니다.
- 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.
IT 관리자인 경우 엔터프라이즈 수준에서 이러한 컨트롤을 구성할 수 있습니다.
이전 섹션에 설명된 다양한 유형의 데이터에 대한 개인 정보 제어는 Linux의 엔드포인트용 Defender 기본 설정 설정에 자세히 설명되어 있습니다.
새 정책 설정과 마찬가지로, organization 정책 설정을 보다 광범위하게 구현하기 전에 구성한 설정이 원하는 효과가 있는지 확인하기 위해 제한된 제어 환경에서 신중하게 테스트해야 합니다.
이 섹션에서는 필요한 진단 데이터로 간주되는 항목과 선택적 진단 데이터로 간주되는 항목과 수집되는 이벤트 및 필드에 대한 설명을 설명합니다.
범주 또는 데이터 하위 형식에 관계없이 모든 이벤트에 공통적인 이벤트에 대한 몇 가지 정보가 있습니다.
다음 필드는 모든 이벤트에 대해 일반적인 것으로 간주됩니다.
필드 | 설명 |
---|---|
플랫폼 | 앱이 실행되는 플랫폼의 광범위한 분류입니다. Microsoft에서 문제가 발생할 수 있는 플랫폼을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
machine_guid | 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
sense_guid | 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
org_id | 디바이스가 속한 엔터프라이즈와 연결된 고유 식별자입니다. Microsoft에서 문제가 일부 엔터프라이즈 집합에 영향을 미치는지 여부와 영향을 받는 기업 수를 식별할 수 있습니다. |
hostname | 로컬 디바이스 이름(DNS 접미사 없음) Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
product_guid | 제품의 고유 식별자입니다. Microsoft에서 제품의 다양한 버전에 영향을 미치는 문제를 구분할 수 있습니다. |
app_version | Linux 애플리케이션의 엔드포인트용 Defender 버전입니다. Microsoft에서 문제를 표시하는 제품의 버전을 식별하여 올바르게 우선 순위를 지정할 수 있습니다. |
sig_version | 보안 인텔리전스 데이터베이스의 버전입니다. Microsoft에서 문제를 표시하는 보안 인텔리전스 버전을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
supported_compressions | 애플리케이션에서 지원하는 압축 알고리즘 목록(예 ['gzip'] : ). Microsoft에서 애플리케이션과 통신할 때 사용할 수 있는 압축 유형을 이해할 수 있습니다. |
release_ring | 디바이스가 연결된 링(예: Insider Fast, Insider Slow, Production). Microsoft에서 문제가 발생할 수 있는 릴리스 링을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
필수 진단 데이터는 엔드포인트용 Defender를 최신 상태로 유지하고 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.
필수 진단 데이터는 디바이스 또는 소프트웨어 구성과 관련될 수 있는 엔드포인트용 Microsoft Defender 문제를 식별하는 데 도움이 됩니다. 예를 들어 엔드포인트용 Defender 기능이 특정 운영 체제 버전, 새로 도입된 기능 또는 특정 엔드포인트용 Defender 기능을 사용하지 않도록 설정한 경우에 더 자주 충돌하는지 확인하는 데 도움이 될 수 있습니다. 필요한 진단 데이터는 Microsoft가 이러한 문제를 보다 신속하게 감지, 진단 및 해결하여 사용자 또는 조직에 미치는 영향을 줄이는 데 도움이 됩니다.
엔드포인트용 Microsoft Defender 설치/제거:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
correlation_id | 설치와 연결된 고유 식별자입니다. |
버전 | 패키지의 버전입니다. |
심각도 | 메시지의 심각도(예: 정보)입니다. |
코드 | 작업을 설명하는 코드입니다. |
문자 메시지 | 제품 설치와 관련된 추가 정보입니다. |
엔드포인트용 Microsoft Defender 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
antivirus_engine.enable_real_time_protection | 디바이스에서 실시간 보호를 사용할 수 있는지 여부입니다. |
antivirus_engine.passive_mode | 디바이스에서 수동 모드를 사용할 수 있는지 여부입니다. |
cloud_service.enabled | 디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부입니다. |
cloud_service.timeout | 애플리케이션이 엔드포인트용 Defender 클라우드와 통신하는 시간 제한입니다. |
cloud_service.heartbeat_interval | 제품이 클라우드로 보낸 연속 하트비트 사이의 간격입니다. |
cloud_service.service_uri | 클라우드와 통신하는 데 사용되는 URI입니다. |
cloud_service.diagnostic_level | 디바이스의 진단 수준(필수, 선택 사항)입니다. |
cloud_service.automatic_sample_submission | 디바이스의 자동 샘플 제출 수준(없음, 안전, 모두). |
cloud_service.automatic_definition_update_enabled | 자동 정의 업데이트가 켜져 있는지 여부입니다. |
edr.early_preview | 디바이스에서 EDR 초기 미리 보기 기능을 실행해야 하는지 여부입니다. |
edr.group_id | 검색 및 응답 구성 요소에서 사용하는 그룹 식별자입니다. |
edr.tags | 사용자 정의 태그입니다. |
기능. [선택적 기능 이름] | 미리 보기 기능 목록과 사용 여부. |
보안 인텔리전스 업데이트 보고서:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
from_version | 원래 보안 인텔리전스 버전입니다. |
to_version | 새 보안 인텔리전스 버전. |
상태 | 성공 또는 실패를 나타내는 업데이트의 상태입니다. |
using_proxy | 프록시를 통해 업데이트가 수행되었는지 여부입니다. |
오류 | 업데이트에 실패한 경우 오류 코드입니다. |
이유 | 업데이트에 실패한 경우 오류 메시지입니다. |
커널 확장 통계:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
버전 | Linux의 엔드포인트용 Defender 버전입니다. |
instance_id | 커널 확장 시작 시 생성된 고유 식별자입니다. |
trace_level | 커널 확장의 추적 수준입니다. |
하위 | 실시간 보호에 사용되는 기본 하위 시스템입니다. |
ipc.connects | 커널 확장에서 수신한 연결 요청 수입니다. |
ipc.rejects | 커널 확장에서 거부된 연결 요청 수입니다. |
ipc.connected | 커널 확장에 대한 활성 연결이 있는지 여부입니다. |
진단 로그:
진단 로그는 피드백 제출 기능의 일부로 사용자의 동의를 통해서만 수집됩니다. 다음 파일은 지원 로그의 일부로 수집됩니다.
- /var/log/microsoft/mdatp 아래의 모든 파일
- Linux의 엔드포인트용 Defender에서 만들고 사용하는 /etc/opt/microsoft/mdatp 아래의 파일 하위 집합
- /var/log/microsoft/mdatp/*.log 아래의 제품 설치 및 제거 로그
선택적 진단 데이터는 Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 해결하는 데 도움이 되는 향상된 정보를 제공하는 추가 데이터입니다.
선택 사항 진단 데이터를 보내는 경우 필수 진단 데이터도 함께 보내야 합니다.
선택적 진단 데이터의 예로는 Microsoft가 제품 구성에 대해 수집한 데이터(예: 디바이스에 설정된 제외 수) 및 제품 성능(제품 구성 요소의 성능에 대한 집계 측정값)이 있습니다.
엔드포인트용 Microsoft Defender 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
connection_retry_timeout | 클라우드와 통신할 때 연결 다시 시도 시간 초과 |
file_hash_cache_maximum | 제품 캐시의 크기입니다. |
crash_upload_daily_limit | 매일 업로드되는 크래시 로그 제한입니다. |
antivirus_engine.exclusions[].is_directory | 검사에서 제외가 디렉터리인지 여부입니다. |
antivirus_engine.exclusions[].path | 검사에서 제외된 경로입니다. |
antivirus_engine.exclusions[].extension | 검색에서 제외된 확장입니다. |
antivirus_engine.exclusions[].name | 검사에서 제외된 파일의 이름입니다. |
antivirus_engine.scan_cache_maximum | 제품 캐시의 크기입니다. |
antivirus_engine.maximum_scan_threads | 검사에 사용되는 최대 스레드 수입니다. |
antivirus_engine.threat_restoration_exclusion_time | 격리에서 복원된 파일을 다시 검색하기 전에 시간이 초과됩니다. |
antivirus_engine.threat_type_settings | 제품에서 다양한 위협 유형을 처리하는 방법에 대한 구성입니다. |
filesystem_scanner.full_scan_directory | 전체 검사 디렉터리. |
filesystem_scanner.quick_scan_directories | 빠른 검사에 사용되는 디렉터리 목록입니다. |
edr.latency_mode | 검색 및 응답 구성 요소에서 사용하는 대기 시간 모드입니다. |
edr.proxy_address | 검색 및 응답 구성 요소에서 사용하는 프록시 주소입니다. |
Microsoft 자동 업데이트 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
how_to_check | 제품 업데이트 확인 방법을 결정합니다(예: 자동 또는 수동). |
channel_name | 디바이스와 연결된 채널을 업데이트합니다. |
manifest_server | 업데이트를 다운로드하는 데 사용되는 서버입니다. |
update_cache | 업데이트를 저장하는 데 사용되는 캐시의 위치입니다. |
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
sha256 | 지원 로그의 SHA256 식별자입니다. |
크기 | 지원 로그의 크기입니다. |
original_path | 지원 로그의 경로입니다(항상 /var/opt/microsoft/mdatp/wdavdiag/). |
format | 지원 로그의 형식입니다. |
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
request_id | 지원 로그 업로드 요청에 대한 상관 관계 ID입니다. |
sha256 | 지원 로그의 SHA256 식별자입니다. |
blob_sas_uri | 애플리케이션에서 지원 로그를 업로드하는 데 사용하는 URI입니다. |
예기치 않은 애플리케이션 종료(크래시):
예기치 않은 응용 프로그램 종료 및 종료 시의 응용 프로그램 상태입니다.
커널 확장 통계:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
pkt_ack_timeout | 다음 속성은 커널 확장 시작 이후 발생한 이벤트 수를 나타내는 집계된 숫자 값입니다. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.포크 | |
ipc.kauth.file_op.create |
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.