Linux의 엔드포인트용 Microsoft Defender 개인 정보

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Microsoft는 Linux에서 엔드포인트용 Defender를 사용할 때 데이터를 수집하고 사용하는 방법을 선택하는 데 필요한 정보 및 컨트롤을 제공하기 위해 최선을 다하고 있습니다.

이 문서에서는 제품 내에서 사용할 수 있는 개인 정보 보호 컨트롤, 정책 설정을 사용하여 이러한 컨트롤을 관리하는 방법 및 수집되는 데이터 이벤트에 대한 자세한 내용을 설명합니다.

Linux의 엔드포인트용 Microsoft Defender 개인 정보 제어 개요

이 섹션에서는 Linux의 엔드포인트용 Defender에서 수집하는 다양한 유형의 데이터에 대한 개인 정보 보호 제어에 대해 설명합니다.

진단 데이터

진단 데이터는 엔드포인트용 Defender를 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품을 개선하는 데 사용됩니다.

일부 진단 데이터는 필수 사항이지만, 일부 진단 데이터는 선택 사항입니다. 조직의 정책 설정과 같은 개인 정보 보호 제어를 사용하여 필요한 진단 데이터를 보낼지 또는 선택적 진단 데이터를 보낼지 선택할 수 있는 기능을 제공합니다.

엔드포인트용 Defender 클라이언트 소프트웨어에 대한 두 가지 수준의 진단 데이터를 선택할 수 있습니다.

  • 필수: 엔드포인트용 Defender를 최신 상태로 유지하고 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.
  • 선택 사항: Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 수정하는 데 도움이 되는 향상된 정보를 제공하는 기타 데이터입니다.

기본적으로 필요한 진단 데이터만 Microsoft로 전송됩니다.

클라우드 제공 보호 데이터

클라우드 제공 보호는 클라우드의 최신 보호 데이터에 액세스할 수 있는 향상된 더 빠른 보호를 제공하는 데 사용됩니다.

클라우드 제공 보호 서비스를 사용하도록 설정하는 것은 선택 사항이 아니지만 엔드포인트 및 네트워크에서 맬웨어에 대한 중요한 보호를 제공하기 때문에 권장됩니다.

예제 데이터

샘플 데이터는 분석할 수 있도록 Microsoft 의심스러운 샘플을 전송하여 제품의 보호 기능을 개선하는 데 사용됩니다. 자동 샘플 제출을 사용하도록 설정하는 것은 선택 사항입니다.

샘플 제출을 제어하는 세 가지 수준이 있습니다.

  • 없음: 의심스러운 샘플이 Microsoft에 제출되지 않습니다.
  • 안전: PII(개인 식별 정보)가 포함되지 않은 의심스러운 샘플만 자동으로 제출됩니다. 이 값은 기본값입니다.
  • 모두: 모든 의심스러운 샘플이 Microsoft에 제출됩니다.

정책 설정을 사용하여 개인 정보 관리

IT 관리자인 경우 엔터프라이즈 수준에서 이러한 컨트롤을 구성할 수 있습니다.

이전 섹션에 설명된 다양한 유형의 데이터에 대한 개인 정보 제어는 Linux의 엔드포인트용 Defender 기본 설정 설정에 자세히 설명되어 있습니다.

새 정책 설정과 마찬가지로, organization 정책 설정을 보다 광범위하게 구현하기 전에 구성한 설정이 원하는 효과가 있는지 확인하기 위해 제한된 제어 환경에서 신중하게 테스트해야 합니다.

진단 데이터 이벤트

이 섹션에서는 필요한 진단 데이터로 간주되는 항목과 선택적 진단 데이터로 간주되는 항목과 수집되는 이벤트 및 필드에 대한 설명을 설명합니다.

모든 이벤트에 공통적인 데이터 필드

범주 또는 데이터 하위 형식에 관계없이 모든 이벤트에 공통적인 이벤트에 대한 몇 가지 정보가 있습니다.

다음 필드는 모든 이벤트에 대해 일반적인 것으로 간주됩니다.

필드 설명
플랫폼 앱이 실행되는 플랫폼의 광범위한 분류입니다. Microsoft에서 문제가 발생할 수 있는 플랫폼을 식별하여 우선 순위를 올바르게 지정할 수 있습니다.
machine_guid 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다.
sense_guid 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다.
org_id 디바이스가 속한 엔터프라이즈와 연결된 고유 식별자입니다. Microsoft에서 문제가 일부 엔터프라이즈 집합에 영향을 미치는지 여부와 영향을 받는 기업 수를 식별할 수 있습니다.
hostname 로컬 디바이스 이름(DNS 접미사 없음) Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다.
product_guid 제품의 고유 식별자입니다. Microsoft에서 제품의 다양한 버전에 영향을 미치는 문제를 구분할 수 있습니다.
app_version Linux 애플리케이션의 엔드포인트용 Defender 버전입니다. Microsoft에서 문제를 표시하는 제품의 버전을 식별하여 올바르게 우선 순위를 지정할 수 있습니다.
sig_version 보안 인텔리전스 데이터베이스의 버전입니다. Microsoft에서 문제를 표시하는 보안 인텔리전스 버전을 식별하여 우선 순위를 올바르게 지정할 수 있습니다.
supported_compressions 애플리케이션에서 지원하는 압축 알고리즘 목록(예 ['gzip']: ). Microsoft에서 애플리케이션과 통신할 때 사용할 수 있는 압축 유형을 이해할 수 있습니다.
release_ring 디바이스가 연결된 링(예: Insider Fast, Insider Slow, Production). Microsoft에서 문제가 발생할 수 있는 릴리스 링을 식별하여 우선 순위를 올바르게 지정할 수 있습니다.

필수 진단 데이터

필수 진단 데이터는 엔드포인트용 Defender를 최신 상태로 유지하고 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.

필수 진단 데이터는 디바이스 또는 소프트웨어 구성과 관련될 수 있는 엔드포인트용 Microsoft Defender 문제를 식별하는 데 도움이 됩니다. 예를 들어 엔드포인트용 Defender 기능이 특정 운영 체제 버전, 새로 도입된 기능 또는 특정 엔드포인트용 Defender 기능을 사용하지 않도록 설정한 경우에 더 자주 충돌하는지 확인하는 데 도움이 될 수 있습니다. 필요한 진단 데이터는 Microsoft가 이러한 문제를 보다 신속하게 감지, 진단 및 해결하여 사용자 또는 조직에 미치는 영향을 줄이는 데 도움이 됩니다.

소프트웨어 설치 및 인벤토리 데이터 이벤트

엔드포인트용 Microsoft Defender 설치/제거:

다음 필드가 수집됩니다.

필드 설명
correlation_id 설치와 연결된 고유 식별자입니다.
버전 패키지의 버전입니다.
심각도 메시지의 심각도(예: 정보)입니다.
코드 작업을 설명하는 코드입니다.
문자 메시지 제품 설치와 관련된 추가 정보입니다.

엔드포인트용 Microsoft Defender 구성:

다음 필드가 수집됩니다.

필드 설명
antivirus_engine.enable_real_time_protection 디바이스에서 실시간 보호를 사용할 수 있는지 여부입니다.
antivirus_engine.passive_mode 디바이스에서 수동 모드를 사용할 수 있는지 여부입니다.
cloud_service.enabled 디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부입니다.
cloud_service.timeout 애플리케이션이 엔드포인트용 Defender 클라우드와 통신하는 시간 제한입니다.
cloud_service.heartbeat_interval 제품이 클라우드로 보낸 연속 하트비트 사이의 간격입니다.
cloud_service.service_uri 클라우드와 통신하는 데 사용되는 URI입니다.
cloud_service.diagnostic_level 디바이스의 진단 수준(필수, 선택 사항)입니다.
cloud_service.automatic_sample_submission 디바이스의 자동 샘플 제출 수준(없음, 안전, 모두).
cloud_service.automatic_definition_update_enabled 자동 정의 업데이트가 켜져 있는지 여부입니다.
edr.early_preview 디바이스에서 EDR 초기 미리 보기 기능을 실행해야 하는지 여부입니다.
edr.group_id 검색 및 응답 구성 요소에서 사용하는 그룹 식별자입니다.
edr.tags 사용자 정의 태그입니다.
기능. [선택적 기능 이름] 미리 보기 기능 목록과 사용 여부.

제품 및 서비스 사용 데이터 이벤트

보안 인텔리전스 업데이트 보고서:

다음 필드가 수집됩니다.

필드 설명
from_version 원래 보안 인텔리전스 버전입니다.
to_version 새 보안 인텔리전스 버전.
상태 성공 또는 실패를 나타내는 업데이트의 상태입니다.
using_proxy 프록시를 통해 업데이트가 수행되었는지 여부입니다.
오류 업데이트에 실패한 경우 오류 코드입니다.
이유 업데이트에 실패한 경우 오류 메시지입니다.

필수 진단 데이터에 대한 제품 및 서비스 성능 데이터 이벤트

커널 확장 통계:

다음 필드가 수집됩니다.

필드 설명
버전 Linux의 엔드포인트용 Defender 버전입니다.
instance_id 커널 확장 시작 시 생성된 고유 식별자입니다.
trace_level 커널 확장의 추적 수준입니다.
하위 실시간 보호에 사용되는 기본 하위 시스템입니다.
ipc.connects 커널 확장에서 수신한 연결 요청 수입니다.
ipc.rejects 커널 확장에서 거부된 연결 요청 수입니다.
ipc.connected 커널 확장에 대한 활성 연결이 있는지 여부입니다.

지원 데이터

진단 로그:

진단 로그는 피드백 제출 기능의 일부로 사용자의 동의를 통해서만 수집됩니다. 다음 파일은 지원 로그의 일부로 수집됩니다.

  • /var/log/microsoft/mdatp 아래의 모든 파일
  • Linux의 엔드포인트용 Defender에서 만들고 사용하는 /etc/opt/microsoft/mdatp 아래의 파일 하위 집합
  • /var/log/microsoft/mdatp/*.log 아래의 제품 설치 및 제거 로그

선택적 진단 데이터

선택적 진단 데이터는 Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 해결하는 데 도움이 되는 향상된 정보를 제공하는 추가 데이터입니다.

선택 사항 진단 데이터를 보내는 경우 필수 진단 데이터도 함께 보내야 합니다.

선택적 진단 데이터의 예로는 Microsoft가 제품 구성에 대해 수집한 데이터(예: 디바이스에 설정된 제외 수) 및 제품 성능(제품 구성 요소의 성능에 대한 집계 측정값)이 있습니다.

선택적 진단 데이터에 대한 소프트웨어 설정 및 인벤토리 데이터 이벤트

엔드포인트용 Microsoft Defender 구성:

다음 필드가 수집됩니다.

필드 설명
connection_retry_timeout 클라우드와 통신할 때 연결 다시 시도 시간 초과
file_hash_cache_maximum 제품 캐시의 크기입니다.
crash_upload_daily_limit 매일 업로드되는 크래시 로그 제한입니다.
antivirus_engine.exclusions[].is_directory 검사에서 제외가 디렉터리인지 여부입니다.
antivirus_engine.exclusions[].path 검사에서 제외된 경로입니다.
antivirus_engine.exclusions[].extension 검색에서 제외된 확장입니다.
antivirus_engine.exclusions[].name 검사에서 제외된 파일의 이름입니다.
antivirus_engine.scan_cache_maximum 제품 캐시의 크기입니다.
antivirus_engine.maximum_scan_threads 검사에 사용되는 최대 스레드 수입니다.
antivirus_engine.threat_restoration_exclusion_time 격리에서 복원된 파일을 다시 검색하기 전에 시간이 초과됩니다.
antivirus_engine.threat_type_settings 제품에서 다양한 위협 유형을 처리하는 방법에 대한 구성입니다.
filesystem_scanner.full_scan_directory 전체 검사 디렉터리.
filesystem_scanner.quick_scan_directories 빠른 검사에 사용되는 디렉터리 목록입니다.
edr.latency_mode 검색 및 응답 구성 요소에서 사용하는 대기 시간 모드입니다.
edr.proxy_address 검색 및 응답 구성 요소에서 사용하는 프록시 주소입니다.

Microsoft 자동 업데이트 구성:

다음 필드가 수집됩니다.

필드 설명
how_to_check 제품 업데이트 확인 방법을 결정합니다(예: 자동 또는 수동).
channel_name 디바이스와 연결된 채널을 업데이트합니다.
manifest_server 업데이트를 다운로드하는 데 사용되는 서버입니다.
update_cache 업데이트를 저장하는 데 사용되는 캐시의 위치입니다.

제품 및 서비스 사용

진단 로그 업로드 시작 보고서

다음 필드가 수집됩니다.

필드 설명
sha256 지원 로그의 SHA256 식별자입니다.
크기 지원 로그의 크기입니다.
original_path 지원 로그의 경로입니다(항상 /var/opt/microsoft/mdatp/wdavdiag/).
format 지원 로그의 형식입니다.

진단 로그 업로드 완료 보고서

다음 필드가 수집됩니다.

필드 설명
request_id 지원 로그 업로드 요청에 대한 상관 관계 ID입니다.
sha256 지원 로그의 SHA256 식별자입니다.
blob_sas_uri 애플리케이션에서 지원 로그를 업로드하는 데 사용하는 URI입니다.

제품 서비스 및 사용량에 대한 제품 및 서비스 성능 데이터 이벤트

예기치 않은 애플리케이션 종료(크래시):

예기치 않은 응용 프로그램 종료 및 종료 시의 응용 프로그램 상태입니다.

커널 확장 통계:

다음 필드가 수집됩니다.

필드 설명
pkt_ack_timeout 다음 속성은 커널 확장 시작 이후 발생한 이벤트 수를 나타내는 집계된 숫자 값입니다.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.포크
ipc.kauth.file_op.create

리소스

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.