macOS의 엔드포인트용 Microsoft Defender 개인 정보
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
Microsoft는 macOS에서 엔드포인트용 Microsoft Defender 사용할 때 데이터를 수집하고 사용하는 방법을 선택하는 데 필요한 정보 및 컨트롤을 제공하기 위해 최선을 다하고 있습니다.
이 항목에서는 제품 내에서 사용할 수 있는 개인 정보 보호 컨트롤, 정책 설정을 사용하여 이러한 컨트롤을 관리하는 방법 및 수집되는 데이터 이벤트에 대한 자세한 내용을 설명합니다.
이 섹션에서는 macOS에서 엔드포인트용 Microsoft Defender 수집한 다양한 유형의 데이터에 대한 개인 정보 보호 제어에 대해 설명합니다.
진단 데이터는 엔드포인트용 Microsoft Defender 안전하고 최신 상태로 유지하고, 문제를 감지, 진단 및 해결하며, 제품 개선에도 사용됩니다.
일부 진단 데이터는 필수 사항이지만, 일부 진단 데이터는 선택 사항입니다. 조직의 정책 설정과 같은 개인 정보 보호 컨트롤 사용을 통해 필수 또는 선택 사항 진단 데이터를 전송할지 여부를 선택할 수 있습니다.
선택할 수 있는 엔드포인트용 Microsoft Defender 클라이언트 소프트웨어에 대한 두 가지 수준의 진단 데이터가 있습니다.
필수: 엔드포인트용 Microsoft Defender 안전하게 유지하고, 최신 상태로 유지하고, 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.
선택 사항: Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 수정하는 데 도움이 되는 향상된 정보를 제공하는 추가 데이터입니다.
기본적으로 필요한 진단 데이터만 Microsoft로 전송됩니다.
클라우드 제공 보호는 클라우드의 최신 보호 데이터에 액세스할 수 있는 향상된 더 빠른 보호를 제공하는 데 사용됩니다.
클라우드 제공 보호 서비스를 사용하도록 설정하는 것은 선택 사항이 아니지만 엔드포인트 및 네트워크에서 맬웨어에 대한 중요한 보호를 제공하기 때문에 권장됩니다.
샘플 데이터는 분석할 수 있도록 Microsoft 의심스러운 샘플을 전송하여 제품의 보호 기능을 개선하는 데 사용됩니다. 자동 샘플 제출을 사용하도록 설정하는 것은 선택 사항입니다.
이 기능을 사용하도록 설정하고 수집된 샘플에 개인 정보가 포함될 가능성이 있는 경우 사용자에게 동의하라는 메시지가 표시됩니다.
IT 관리자인 경우 엔터프라이즈 수준에서 이러한 컨트롤을 구성할 수 있습니다.
이전 섹션에서 설명한 다양한 유형의 데이터에 대한 개인 정보 제어는 macOS에서 엔드포인트용 Microsoft Defender 대한 기본 설정 설정에 자세히 설명되어 있습니다.
새 정책 설정과 마찬가지로, organization 정책 설정을 보다 광범위하게 구현하기 전에 구성한 설정이 원하는 효과가 있는지 확인하기 위해 제한된 제어 환경에서 신중하게 테스트해야 합니다.
이 섹션에서는 필요한 진단 데이터로 간주되는 항목과 선택적 진단 데이터로 간주되는 항목과 수집되는 이벤트 및 필드에 대한 설명을 설명합니다.
범주 또는 데이터 하위 형식에 관계없이 모든 이벤트에 공통적인 이벤트에 대한 몇 가지 정보가 있습니다.
다음 필드는 모든 이벤트에 대해 일반적인 것으로 간주됩니다.
필드 | 설명 |
---|---|
플랫폼 | 앱이 실행되는 플랫폼의 광범위한 분류입니다. Microsoft에서 문제가 발생할 수 있는 플랫폼을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
machine_guid | 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
sense_guid | 디바이스와 연결된 고유 식별자입니다. Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
org_id | 디바이스가 속한 엔터프라이즈와 연결된 고유 식별자입니다. Microsoft에서 문제가 일부 엔터프라이즈 집합에 영향을 미치는지 여부와 영향을 받는 기업 수를 식별할 수 있습니다. |
호스트 | 로컬 디바이스 이름(DNS 접미사 없음) Microsoft에서 문제가 설치 집합에 영향을 미치는지 여부와 영향을 받는 사용자 수를 식별할 수 있습니다. |
product_guid | 제품의 고유 식별자입니다. Microsoft에서 제품의 다양한 버전에 영향을 미치는 문제를 구분할 수 있습니다. |
app_version | macOS 애플리케이션의 엔드포인트용 Microsoft Defender 버전입니다. Microsoft에서 문제를 표시하는 제품의 버전을 식별하여 올바르게 우선 순위를 지정할 수 있습니다. |
sig_version | 보안 인텔리전스 데이터베이스의 버전입니다. Microsoft에서 문제를 표시하는 보안 인텔리전스 버전을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
supported_compressions | 애플리케이션에서 지원하는 압축 알고리즘 목록(예 ['gzip'] : ). Microsoft에서 애플리케이션과 통신할 때 사용할 수 있는 압축 유형을 이해할 수 있습니다. |
release_ring | 디바이스가 연결된 링(예: Insider Fast, Insider Slow, Production). Microsoft에서 문제가 발생할 수 있는 릴리스 링을 식별하여 우선 순위를 올바르게 지정할 수 있습니다. |
필수 진단 데이터는 엔드포인트용 Microsoft Defender 안전하게 유지하고, 최신 상태로 유지하고, 설치된 디바이스에서 예상대로 수행하는 데 필요한 최소 데이터입니다.
필수 진단 데이터는 디바이스 또는 소프트웨어 구성과 관련될 수 있는 엔드포인트용 Microsoft Defender 문제를 식별하는 데 도움이 됩니다. 예를 들어 특정 운영 체제 버전, 새로 도입된 기능 또는 특정 엔드포인트용 Microsoft Defender 기능을 사용하지 않도록 설정한 경우 엔드포인트용 Microsoft Defender 기능이 더 자주 충돌하는지 확인하는 데 도움이 될 수 있습니다. 필요한 진단 데이터는 Microsoft가 이러한 문제를 보다 신속하게 감지, 진단 및 해결하여 사용자 또는 조직에 미치는 영향을 줄이는 데 도움이 됩니다.
엔드포인트용 Microsoft Defender 설치/제거:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
correlation_id | 설치와 연결된 고유 식별자입니다. |
버전 | 패키지의 버전입니다. |
심각도 | 메시지의 심각도(예: 정보)입니다. |
코드 | 작업을 설명하는 코드입니다. |
텍스트 | 제품 설치와 관련된 추가 정보입니다. |
엔드포인트용 Microsoft Defender 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
antivirus_engine.enable_real_time_protection | 디바이스에서 실시간 보호를 사용할 수 있는지 여부입니다. |
antivirus_engine.passive_mode | 디바이스에서 수동 모드를 사용할 수 있는지 여부입니다. |
cloud_service.enabled | 디바이스에서 클라우드 제공 보호를 사용할 수 있는지 여부입니다. |
cloud_service.timeout | 애플리케이션이 엔드포인트용 Microsoft Defender 클라우드와 통신할 때의 시간 제한입니다. |
cloud_service.heartbeat_interval | 제품이 클라우드로 보낸 연속 하트비트 사이의 간격입니다. |
cloud_service.service_uri | 클라우드와 통신하는 데 사용되는 URI입니다. |
cloud_service.diagnostic_level | 디바이스의 진단 수준(필수, 선택 사항)입니다. |
cloud_service.automatic_sample_submission | 자동 샘플 제출이 켜져 있는지 여부입니다. |
cloud_service.automatic_definition_update_enabled | 자동 정의 업데이트가 켜져 있는지 여부입니다. |
edr.early_preview | 디바이스에서 EDR 초기 미리 보기 기능을 실행해야 하는지 여부입니다. |
edr.group_id | 검색 및 응답 구성 요소에서 사용하는 그룹 식별자입니다. |
edr.tags | 사용자 정의 태그입니다. |
기능. [선택적 기능 이름] | 미리 보기 기능 목록과 사용 여부. |
보안 인텔리전스 업데이트 보고서:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
from_version | 원래 보안 인텔리전스 버전입니다. |
to_version | 새 보안 인텔리전스 버전. |
상태 | 성공 또는 실패를 나타내는 업데이트의 상태입니다. |
using_proxy | 프록시를 통해 업데이트가 수행되었는지 여부입니다. |
오류 | 업데이트에 실패한 경우 오류 코드입니다. |
이유 | 업데이트된 파일이 제출된 경우 오류 메시지입니다. |
예기치 않은 애플리케이션 종료(크래시):
애플리케이션이 예기치 않게 종료되면 시스템 정보 및 애플리케이션의 상태를 수집합니다.
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
v1_crash_count | 클라이언트 컴퓨터에서 V1 엔진 프로세스가 매시간 충돌한 횟수 |
v2_crash_count | 클라이언트 컴퓨터에서 매시간 V2 엔진 프로세스가 충돌한 횟수 |
EDR_crash_count | 클라이언트 컴퓨터에서 EDR 프로세스가 매시간 충돌한 횟수 |
커널 확장 통계:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
버전 | macOS의 엔드포인트용 Microsoft Defender 버전입니다. |
instance_id | 커널 확장 시작 시 생성된 고유 식별자입니다. |
trace_level | 커널 확장의 추적 수준입니다. |
하위 | 실시간 보호에 사용되는 기본 하위 시스템입니다. |
ipc.connects | 커널 확장에서 수신한 연결 요청 수입니다. |
ipc.rejects | 커널 확장에서 거부된 연결 요청 수입니다. |
ipc.connected | 커널 확장에 대한 활성 연결이 있는지 여부입니다. |
진단 로그:
진단 로그는 피드백 제출 기능의 일부로 사용자의 동의를 통해서만 수집됩니다. 다음 파일은 지원 로그의 일부로 수집됩니다.
- /Library/Logs/Microsoft/mdatp/ 아래의 모든 파일
- macOS에서 엔드포인트용 Microsoft Defender 만들고 사용하는 /Library/Application Support/Microsoft/Defender/ 아래의 파일 하위 집합
- macOS에서 엔드포인트용 Microsoft Defender 사용하는 /Library/Managed Preferences 아래의 파일 하위 집합
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/라이브러리/기본 설정/com.microsoft.autoupdate2.plist
선택적 진단 데이터는 Microsoft가 제품을 개선하는 데 도움이 되며 문제를 감지, 진단 및 해결하는 데 도움이 되는 향상된 정보를 제공하는 추가 데이터입니다.
선택 사항 진단 데이터를 보내는 경우 필수 진단 데이터도 함께 보내야 합니다.
선택적 진단 데이터의 예로는 Microsoft가 제품 구성에 대해 수집한 데이터(예: 디바이스에 설정된 제외 수) 및 제품 성능(제품 구성 요소의 성능에 대한 집계 측정값)이 있습니다.
엔드포인트용 Microsoft Defender 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
connection_retry_timeout | 클라우드와 통신할 때 연결 다시 시도 시간이 초과됩니다. |
file_hash_cache_maximum | 제품 캐시의 크기입니다. |
crash_upload_daily_limit | 매일 업로드되는 크래시 로그 제한입니다. |
antivirus_engine.exclusions[].is_directory | 검사에서 제외가 디렉터리인지 여부입니다. |
antivirus_engine.exclusions[].path | 검사에서 제외된 경로입니다. |
antivirus_engine.exclusions[].extension | 검색에서 제외된 확장입니다. |
antivirus_engine.exclusions[].name | 검사에서 제외된 파일의 이름입니다. |
antivirus_engine.scan_cache_maximum | 제품 캐시의 크기입니다. |
antivirus_engine.maximum_scan_threads | 검사에 사용되는 최대 스레드 수입니다. |
antivirus_engine.threat_restoration_exclusion_time | 격리에서 복원된 파일을 다시 검색하기 전에 시간이 초과됩니다. |
antivirus_engine.threat_type_settings | 제품에서 다양한 위협 유형을 처리하는 방법에 대한 구성입니다. |
filesystem_scanner.full_scan_directory | 전체 검사 디렉터리. |
filesystem_scanner.quick_scan_directories | 빠른 검사에 사용되는 디렉터리 목록입니다. |
edr.latency_mode | 검색 및 응답 구성 요소에서 사용하는 대기 시간 모드입니다. |
edr.proxy_address | 검색 및 응답 구성 요소에서 사용하는 프록시 주소입니다. |
Microsoft 자동 업데이트 구성:
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
how_to_check | 제품 업데이트 확인 방법을 결정합니다(예: 자동 또는 수동). |
channel_name | 디바이스와 연결된 채널을 업데이트합니다. |
manifest_server | 업데이트를 다운로드하는 데 사용되는 서버입니다. |
update_cache | 업데이트를 저장하는 데 사용되는 캐시의 위치입니다. |
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
sha256 | 지원 로그의 SHA256 식별자입니다. |
크기 | 지원 로그의 크기입니다. |
original_path | 지원 로그의 경로입니다(항상 /Library/Application Support/Microsoft/Defender/wdavdiag/). |
format | 지원 로그의 형식입니다. |
메타 데이터 | 지원 로그의 콘텐츠에 대한 정보입니다. |
다음 필드가 수집됩니다.
필드 | 설명 |
---|---|
request_id | 지원 로그 업로드 요청에 대한 상관 관계 ID입니다. |
sha256 | 지원 로그의 SHA256 식별자입니다. |
blob_sas_uri | 애플리케이션에서 지원 로그를 업로드하는 데 사용하는 URI입니다. |
예기치 않은 애플리케이션 종료(크래시):
예기치 않은 응용 프로그램 종료 및 종료 시의 응용 프로그램 상태입니다.
커널 확장 통계:
다음의 필드가 수집됩니다.
필드 | 설명 |
---|---|
pkt_ack_timeout | 다음 속성은 커널 확장 시작 이후 발생한 이벤트 수를 나타내는 집계된 숫자 값입니다. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.포크 | |
ipc.kauth.file_op.create |
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.