Personvern for Microsoft Defender for endepunkt på Linux
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Microsoft er forpliktet til å gi deg informasjonen og kontrollene du trenger for å ta valg om hvordan dataene samles inn og brukes når du bruker Defender for Endpoint på Linux.
Denne artikkelen beskriver personvernkontrollene som er tilgjengelige i produktet, hvordan du administrerer disse kontrollene med policyinnstillinger og mer informasjon om datahendelsene som samles inn.
Oversikt over personvernkontroller i Microsoft Defender for endepunkt på Linux
Denne delen beskriver personvernkontrollene for de ulike datatypene som samles inn av Defender for Endpoint på Linux.
Diagnosedata
Diagnosedata brukes til å holde Defender for endepunkt sikkert og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer.
Enkelte diagnosedata er obligatoriske, mens andre diagnosedata er valgfrie. Vi gir deg muligheten til å velge om du vil sende oss nødvendige eller valgfrie diagnosedata ved hjelp av personvernkontroller, for eksempel policyinnstillinger for organisasjoner.
Det finnes to nivåer med diagnosedata for Defender for endepunktklientprogramvare som du kan velge mellom:
- Obligatorisk: Minimumsdataene som er nødvendige for å holde Defender for endepunkt sikre, oppdaterte og yte som forventet på enheten det er installert på.
- Valgfritt: Andre data som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å oppdage, diagnostisere og løse problemer.
Som standard sendes bare nødvendige diagnosedata til Microsoft.
Skyleverte beskyttelsesdata
Skybasert levert beskyttelse brukes til å gi økt og raskere beskyttelse med tilgang til de nyeste beskyttelsesdataene i skyen.
Aktivering av den skyleverte beskyttelsestjenesten er valgfritt, men det anbefales på det sterkeste fordi den gir viktig beskyttelse mot skadelig programvare på endepunktene og på tvers av nettverket.
Eksempeldata
Eksempeldata brukes til å forbedre beskyttelsesfunksjonene til produktet ved å sende mistenkelige eksempler fra Microsoft, slik at de kan analyseres. Aktivering av automatisk innsending av eksempel er valgfritt.
Det finnes tre nivåer for å kontrollere innsending av eksempler:
- Ingen: ingen mistenkelige eksempler sendes til Microsoft.
- Trygt: Bare mistenkelige eksempler som ikke inneholder personlig identifiserbar informasjon (PII), sendes automatisk. Dette er standardverdien.
- Alle: alle mistenkelige eksempler sendes til Microsoft.
Administrere personvernkontroller med policyinnstillinger
Hvis du er IT-administrator, bør du konfigurere disse kontrollene på bedriftsnivå.
Personvernkontrollene for de ulike datatypene som er beskrevet i den foregående delen, beskrives i detalj i Angi innstillinger for Defender for Endpoint på Linux.
Som med alle nye policyinnstillinger bør du nøye teste dem ut i et begrenset, kontrollert miljø for å sikre at innstillingene du konfigurerer, har ønsket effekt før du implementerer policyinnstillingene i organisasjonen.
Diagnosedatahendelser
Denne delen beskriver hva som anses som nødvendige diagnosedata og hva som anses som valgfrie diagnosedata, sammen med en beskrivelse av hendelsene og feltene som samles inn.
Datafelt som er vanlige for alle hendelser
Noe informasjon om hendelser er felles for alle hendelser, uavhengig av kategori eller dataundertype.
Følgende felt anses som vanlige for alle hendelser:
| Felt | Beskrivelse |
|---|---|
| plattform | Den brede klassifiseringen av plattformen som appen kjører på. Gjør det mulig for Microsoft å identifisere hvilke plattformer et problem kan oppstå på, slik at det kan prioriteres på riktig måte. |
| machine_guid | Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| sense_guid | Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| org_id | Unik identifikator som er knyttet til virksomheten som enheten tilhører. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med virksomheter og hvor mange virksomheter som påvirkes. |
| vertsnavn | Navn på lokal enhet (uten DNS-suffiks). Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| product_guid | Unik identifikator for produktet. Gjør det mulig for Microsoft å skille mellom problemer som påvirker forskjellige typer av produktet. |
| app_version | Versjon av Defender for Endpoint på Linux-programmet. Gjør det mulig for Microsoft å identifisere hvilke versjoner av produktet som viser et problem, slik at det kan prioriteres på riktig måte. |
| sig_version | Versjon av database for sikkerhetsintelligens. Gjør det mulig for Microsoft å identifisere hvilke versjoner av sikkerhetsintelligensen som viser et problem, slik at det kan prioriteres på riktig måte. |
| supported_compressions | Liste over komprimeringsalgoritmer som støttes av programmet, for eksempel ['gzip']. Gjør det mulig for Microsoft å forstå hvilke typer komprimering som kan brukes når det kommuniserer med programmet. |
| release_ring | Ring som enheten er knyttet til (for eksempel Insider Fast, Insider Slow, Production). Gjør det mulig for Microsoft å identifisere hvilken utgivelsesring et problem kan oppstå på, slik at det kan prioriteres på riktig måte. |
Obligatoriske diagnosedata
Nødvendige diagnosedata er minimumsdataene som er nødvendige for å holde Defender for Endpoint sikker, oppdatert og utføre som forventet på enheten den er installert på.
Nødvendige diagnosedata bidrar til å identifisere problemer med Microsoft Defender for endepunkt som kan være relatert til en enhets- eller programvarekonfigurasjon. Det kan for eksempel hjelpe deg med å finne ut om en Defender for Endpoint-funksjon krasjer oftere på en bestemt operativsystemversjon, med nylig introduserte funksjoner, eller når enkelte Defender for Endpoint-funksjoner er deaktivert. Nødvendige diagnosedata hjelper Microsoft med å oppdage, diagnostisere og løse disse problemene raskere, slik at innvirkningen på brukere eller organisasjoner reduseres.
Datahendelser om programvareinstallasjon og -beholdning
Microsoft Defender for endepunkt installasjon/avinstallasjon:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| correlation_id | Unik identifikator som er knyttet til installasjonen. |
| versjon | Versjon av pakken. |
| Alvorlighetsgraden | Alvorsgraden for meldingen (for eksempel Informasjon). |
| kode | Kode som beskriver operasjonen. |
| Tekst | Tilleggsinformasjon som er knyttet til produktinstallasjonen. |
Microsoft Defender for endepunkt konfigurasjon:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| antivirus_engine.enable_real_time_protection | Om sanntidsbeskyttelse er aktivert på enheten eller ikke. |
| antivirus_engine.passive_mode | Om passiv modus er aktivert på enheten eller ikke. |
| cloud_service.enabled | Om skyen levert beskyttelse er aktivert på enheten eller ikke. |
| cloud_service.timeout | Tidsavbrudd når programmet kommuniserer med Defender for Endpoint-skyen. |
| cloud_service.heartbeat_interval | Intervall mellom påfølgende hjerteslag sendt av produktet til skyen. |
| cloud_service.service_uri | URI brukes til å kommunisere med skyen. |
| cloud_service.diagnostic_level | Diagnosenivået for enheten (obligatorisk, valgfritt). |
| cloud_service.automatic_sample_submission | Automatisk innsendingsnivå for eksempel på enheten (ingen, sikker, alle). |
| cloud_service.automatic_definition_update_enabled | Om automatisk definisjonsoppdatering er aktivert eller ikke. |
| edr.early_preview | Om enheten skal kjøre funksjoner for tidlig forhåndsvisning av EDR. |
| edr.group_id | Gruppeidentifikator som brukes av gjenkjennings- og svarkomponenten. |
| edr.tags | Brukerdefinerte koder. |
| Funksjoner. [valgfritt funksjonsnavn] | Liste over evalueringsfunksjoner, sammen med om de er aktivert eller ikke. |
Datahendelser for produkt- og tjenestebruk
Oppdateringsrapport for sikkerhetsintelligens:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| from_version | Opprinnelig versjon av sikkerhetsintelligens. |
| to_version | Ny versjon av sikkerhetsintelligens. |
| status | Status for oppdateringen som angir vellykket eller mislykket. |
| using_proxy | Om oppdateringen ble utført over en proxy. |
| feil | Feilkode hvis oppdateringen mislyktes. |
| grunn | Feilmelding hvis oppdateringen mislyktes. |
Datahendelser for produkt- og tjenesteytelse for nødvendige diagnosedata
Statistikk for kjerneutvidelse:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| versjon | Versjon av Defender for Endpoint på Linux. |
| instance_id | Unik identifikator generert ved oppstart av kjerneutvidelse. |
| trace_level | Sporingsnivå for kjerneutvidelsen. |
| Delsystemet | Det underliggende delsystemet som brukes til sanntidsbeskyttelse. |
| ipc.connects | Antall tilkoblingsforespørsler mottatt av kjerneutvidelsen. |
| ipc.rejects | Antall tilkoblingsforespørsler som ble avvist av kjerneutvidelsen. |
| ipc.connected | Om det er noen aktiv tilkobling til kjerneutvidelsen. |
Støttedata
Diagnoselogger:
Diagnoselogger samles bare inn med samtykke fra brukeren som en del av funksjonen for innsending av tilbakemelding. Følgende filer samles inn som en del av støtteloggene:
- Alle filer under /var/log/microsoft/mdatp
- Delsett av filer under /etc/opt/microsoft/mdatp som opprettes og brukes av Defender for Endpoint på Linux
- Logger for produktinstallasjon og avinstallasjon under /var/log/microsoft/mdatp/*.log
Valgfrie diagnosedata
Valgfrie diagnosedata er tilleggsdata som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å oppdage, diagnostisere og løse problemer.
Hvis du velger å sende oss valgfrie diagnosedata, er obligatoriske diagnosedata også inkludert.
Eksempler på valgfrie diagnosedata inkluderer data Microsoft samler inn om produktkonfigurasjon (for eksempel antall utelatelser angitt på enheten) og produktytelse (aggregerte mål om ytelsen til komponentene i produktet).
Programvareoppsett og lagerdatahendelser for valgfrie diagnosedata
Microsoft Defender for endepunkt konfigurasjon:
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| connection_retry_timeout | Tilkoblingen prøver å bli tidsavbrutt på nytt når du kommuniserer med skyen. |
| file_hash_cache_maximum | Størrelsen på produkthurtigbufferen. |
| crash_upload_daily_limit | Grensen for krasjlogger som lastes opp daglig. |
| antivirus_engine.exclusions[].is_directory | Om utelukkelsen fra skanning er en katalog eller ikke. |
| antivirus_engine.exclusions[].path | Bane som ble utelatt fra skanning. |
| antivirus_engine.exclusions[].extension | Utvidelse utelatt fra skanning. |
| antivirus_engine.exclusions[].name | Navnet på filen er utelatt fra skanning. |
| antivirus_engine.scan_cache_maximum | Størrelsen på produkthurtigbufferen. |
| antivirus_engine.maximum_scan_threads | Maksimalt antall tråder som brukes til skanning. |
| antivirus_engine.threat_restoration_exclusion_time | Tidsavbrudd før en fil som gjenopprettes fra karantene, kan oppdages på nytt. |
| antivirus_engine.threat_type_settings | Konfigurasjon for hvordan ulike trusseltyper håndteres av produktet. |
| filesystem_scanner.full_scan_directory | Fullstendig skannekatalog. |
| filesystem_scanner.quick_scan_directories | Liste over kataloger som brukes i hurtigskanning. |
| edr.latency_mode | Ventetidsmodus som brukes av gjenkjennings- og svarkomponenten. |
| edr.proxy_address | Proxy-adresse som brukes av gjenkjennings- og svarkomponenten. |
Microsoft Automatisk oppdatering av konfigurasjon:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| how_to_check | Bestemmer hvordan produktoppdateringer kontrolleres (for eksempel automatisk eller manuell). |
| channel_name | Oppdater kanal som er knyttet til enheten. |
| manifest_server | Server som brukes til å laste ned oppdateringer. |
| update_cache | Plasseringen til hurtigbufferen som brukes til å lagre oppdateringer. |
Produkt- og tjenestebruk
Rapport for opplasting av diagnoselogg startet
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| sha256 | SHA256-identifikator for støtteloggen. |
| størrelse | Størrelsen på støtteloggen. |
| original_path | Bane til støtteloggen (alltid under /var/opt/microsoft/mdatp/wdavdiag/). |
| format | Format for støtteloggen. |
Rapport for opplasting av diagnoselogg fullført
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| request_id | Korrelasjons-ID for forespørsel om opplasting av støttelogg. |
| sha256 | SHA256-identifikator for støtteloggen. |
| blob_sas_uri | URI som brukes av programmet til å laste opp støtteloggen. |
Datahendelser for produkt- og tjenesteytelse for produkttjeneste og -bruk
Uventet programslutt (krasj):
Uventede programavslutninger og tilstanden til programmet når dette skjer.
Statistikk for kjerneutvidelse:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| pkt_ack_timeout | Følgende egenskaper er aggregerte numeriske verdier, som representerer antall hendelser som har skjedd siden oppstarten av kjerneutvidelsen. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.maske | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressurser
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.