Personvern for Microsoft Defender for endepunkt på macOS
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Microsoft er forpliktet til å gi deg informasjonen og kontrollene du trenger for å ta valg om hvordan dataene samles inn og brukes når du bruker Microsoft Defender for endepunkt på macOS.
Dette emnet beskriver personvernkontrollene som er tilgjengelige i produktet, hvordan du administrerer disse kontrollene med policyinnstillinger og mer informasjon om datahendelsene som samles inn.
Oversikt over personvernkontroller i Microsoft Defender for endepunkt på macOS
Denne delen beskriver personvernkontrollene for de ulike datatypene som samles inn av Microsoft Defender for endepunkt på macOS.
Diagnosedata
Diagnosedata brukes til å holde Microsoft Defender for endepunkt sikker og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer.
Enkelte diagnosedata er obligatoriske, mens andre diagnosedata er valgfrie. Vi gir deg muligheten til å velge om du vil sende oss obligatoriske eller valgfrie diagnosedata via bruken av personvernkontroller, for eksempel policyinnstillinger for organisasjoner.
Det finnes to nivåer med diagnosedata for Microsoft Defender for endepunkt klientprogramvare som du kan velge mellom:
Obligatorisk: Minimumsdataene som er nødvendige for å holde Microsoft Defender for endepunkt sikre, oppdaterte og yte som forventet på enheten den er installert på.
Valgfritt: Tilleggsdata som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å hjelpe til med å oppdage, diagnostisere og løse problemer.
Som standard sendes bare nødvendige diagnosedata til Microsoft.
Skyleverte beskyttelsesdata
Skybasert levert beskyttelse brukes til å gi økt og raskere beskyttelse med tilgang til de nyeste beskyttelsesdataene i skyen.
Aktivering av den skyleverte beskyttelsestjenesten er valgfritt, men det anbefales på det sterkeste fordi den gir viktig beskyttelse mot skadelig programvare på endepunktene og på tvers av nettverket.
Eksempeldata
Eksempeldata brukes til å forbedre beskyttelsesfunksjonene til produktet ved å sende mistenkelige eksempler fra Microsoft, slik at de kan analyseres. Aktivering av automatisk innsending av eksempel er valgfritt.
Når denne funksjonen er aktivert og eksemplet som samles inn sannsynligvis inneholder personlige opplysninger, blir brukeren bedt om samtykke.
Administrere personvernkontroller med policyinnstillinger
Hvis du er IT-administrator, bør du konfigurere disse kontrollene på bedriftsnivå.
Personvernkontrollene for de ulike datatypene som er beskrevet i forrige del, beskrives i detalj i angi innstillinger for Microsoft Defender for endepunkt på macOS.
Som med alle nye policyinnstillinger bør du nøye teste dem ut i et begrenset, kontrollert miljø for å sikre at innstillingene du konfigurerer, har ønsket effekt før du implementerer policyinnstillingene i organisasjonen.
Diagnosedatahendelser
Denne delen beskriver hva som anses som nødvendige diagnosedata og hva som anses som valgfrie diagnosedata, sammen med en beskrivelse av hendelsene og feltene som samles inn.
Datafelt som er vanlige for alle hendelser
Noe informasjon om hendelser er felles for alle hendelser, uavhengig av kategori eller dataundertype.
Følgende felt anses som vanlige for alle hendelser:
| Felt | Beskrivelse |
|---|---|
| Plattform | Den brede klassifiseringen av plattformen som appen kjører på. Gjør det mulig for Microsoft å identifisere hvilke plattformer et problem kan oppstå på, slik at det kan prioriteres på riktig måte. |
| machine_guid | Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| sense_guid | Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| org_id | Unik identifikator som er knyttet til virksomheten som enheten tilhører. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med virksomheter og hvor mange virksomheter som påvirkes. |
| Vertsnavn | Navn på lokal enhet (uten DNS-suffiks). Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes. |
| product_guid | Unik identifikator for produktet. Gjør det mulig for Microsoft å skille mellom problemer som påvirker forskjellige typer av produktet. |
| app_version | Versjon av Microsoft Defender for endepunkt på macOS-programmet. Gjør det mulig for Microsoft å identifisere hvilke versjoner av produktet som viser et problem, slik at det kan prioriteres på riktig måte. |
| sig_version | Versjon av database for sikkerhetsintelligens. Gjør det mulig for Microsoft å identifisere hvilke versjoner av sikkerhetsintelligensen som viser et problem, slik at det kan prioriteres på riktig måte. |
| supported_compressions | Liste over komprimeringsalgoritmer som støttes av programmet, for eksempel ['gzip']. Gjør det mulig for Microsoft å forstå hvilke typer komprimering som kan brukes når det kommuniserer med programmet. |
| release_ring | Ring som enheten er knyttet til (for eksempel Insider Fast, Insider Slow, Production). Gjør det mulig for Microsoft å identifisere hvilken utgivelsesring et problem kan oppstå på, slik at det kan prioriteres på riktig måte. |
Obligatoriske diagnosedata
Nødvendige diagnosedata er minimumsdataene som er nødvendige for å holde Microsoft Defender for endepunkt sikre, oppdaterte og utføre som forventet på enheten den er installert på.
Nødvendige diagnosedata bidrar til å identifisere problemer med Microsoft Defender for endepunkt som kan være relatert til en enhets- eller programvarekonfigurasjon. Det kan for eksempel hjelpe deg med å finne ut om en Microsoft Defender for endepunkt-funksjon krasjer oftere på en bestemt operativsystemversjon, med nylig introduserte funksjoner, eller når bestemte Microsoft Defender for endepunkt funksjoner er deaktivert. Nødvendige diagnosedata hjelper Microsoft med å oppdage, diagnostisere og løse disse problemene raskere, slik at innvirkningen på brukere eller organisasjoner reduseres.
Datahendelser om programvareinstallasjon og -beholdning
Microsoft Defender for endepunkt installasjon/avinstallasjon:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| correlation_id | Unik identifikator som er knyttet til installasjonen. |
| Versjon | Versjon av pakken. |
| Alvorlighetsgraden | Alvorsgraden for meldingen (for eksempel Informasjon). |
| Koden | Kode som beskriver operasjonen. |
| Tekst | Tilleggsinformasjon som er knyttet til produktinstallasjonen. |
Microsoft Defender for endepunkt konfigurasjon:
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| antivirus_engine.enable_real_time_protection | Om sanntidsbeskyttelse er aktivert på enheten eller ikke. |
| antivirus_engine.passive_mode | Om passiv modus er aktivert på enheten eller ikke. |
| cloud_service.enabled | Om skyen levert beskyttelse er aktivert på enheten eller ikke. |
| cloud_service.timeout | Tidsavbrudd når programmet kommuniserer med Microsoft Defender for endepunkt skyen. |
| cloud_service.heartbeat_interval | Intervall mellom påfølgende hjerteslag sendt av produktet til skyen. |
| cloud_service.service_uri | URI brukes til å kommunisere med skyen. |
| cloud_service.diagnostic_level | Diagnosenivået for enheten (obligatorisk, valgfritt). |
| cloud_service.automatic_sample_submission | Om automatisk innsending av eksempel er aktivert eller ikke. |
| cloud_service.automatic_definition_update_enabled | Om automatisk definisjonsoppdatering er aktivert eller ikke. |
| edr.early_preview | Om enheten skal kjøre funksjoner for tidlig forhåndsvisning av EDR. |
| edr.group_id | Gruppeidentifikator som brukes av gjenkjennings- og svarkomponenten. |
| edr.tags | Brukerdefinerte koder. |
| Funksjoner. [valgfritt funksjonsnavn] | Liste over evalueringsfunksjoner, sammen med om de er aktivert eller ikke. |
Datahendelser for produkt- og tjenestebruk
Oppdateringsrapport for sikkerhetsintelligens:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| from_version | Opprinnelig versjon av sikkerhetsintelligens. |
| to_version | Ny versjon av sikkerhetsintelligens. |
| Status | Status for oppdateringen som angir vellykket eller mislykket. |
| using_proxy | Om oppdateringen ble utført over en proxy. |
| Feil | Feilkode hvis oppdateringen mislyktes. |
| Grunn | Feilmelding hvis den oppdaterte filen. |
Datahendelser for produkt- og tjenesteytelse for nødvendige diagnosedata
Uventet programslutt (krasj):
Samler inn systeminformasjon og tilstanden til et program når et program uventet avsluttes.
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| v1_crash_count | Antall ganger V1-motorprosessen krasjet hver time på klientmaskinen |
| v2_crash_count | Antall ganger V2-motorprosessen krasjet hver time på klientmaskinen |
| EDR_crash_count | Antall ganger EDR-prosessen krasjet hver time på klientmaskinen |
Statistikk for kjerneutvidelse:
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| Versjon | Versjon av Microsoft Defender for endepunkt på macOS. |
| instance_id | Unik identifikator generert ved oppstart av kjerneutvidelse. |
| trace_level | Sporingsnivå for kjerneutvidelsen. |
| Delsystemet | Det underliggende delsystemet som brukes til sanntidsbeskyttelse. |
| ipc.connects | Antall tilkoblingsforespørsler mottatt av kjerneutvidelsen. |
| ipc.rejects | Antall tilkoblingsforespørsler som ble avvist av kjerneutvidelsen. |
| ipc.connected | Om det er noen aktiv tilkobling til kjerneutvidelsen. |
Støttedata
Diagnoselogger:
Diagnoselogger samles bare inn med samtykke fra brukeren som en del av funksjonen for innsending av tilbakemelding. Følgende filer samles inn som en del av støtteloggene:
- Alle filer under /Bibliotek/Logger/Microsoft/mdatp/
- Delsett av filer under /Bibliotek/Programstøtte/Microsoft/Defender/ som opprettes og brukes av Microsoft Defender for endepunkt på macOS
- Delsett av filer under /Bibliotek/Administrerte innstillinger som brukes av Microsoft Defender for endepunkt på macOS
- /Bibliotek/Logger/Microsoft/autoupdate.log
- $HOME/Bibliotek/Innstillinger/com.microsoft.autoupdate2.plist
Valgfrie diagnosedata
Valgfrie diagnosedata er tilleggsdata som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å oppdage, diagnostisere og løse problemer.
Hvis du velger å sende oss valgfrie diagnosedata, er obligatoriske diagnosedata også inkludert.
Eksempler på valgfrie diagnosedata inkluderer data Microsoft samler inn om produktkonfigurasjon (for eksempel antall utelatelser angitt på enheten) og produktytelse (aggregerte mål om ytelsen til komponentene i produktet).
Programvareoppsett og lagerdatahendelser for valgfrie diagnosedata
Microsoft Defender for endepunkt konfigurasjon:
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| connection_retry_timeout | Tilkoblingen prøver å bli tidsavbrutt når du kommuniserer med skyen. |
| file_hash_cache_maximum | Størrelsen på produkthurtigbufferen. |
| crash_upload_daily_limit | Grensen for krasjlogger som lastes opp daglig. |
| antivirus_engine.exclusions[].is_directory | Om utelukkelsen fra skanning er en katalog eller ikke. |
| antivirus_engine.exclusions[].path | Bane som ble utelatt fra skanning. |
| antivirus_engine.exclusions[].extension | Utvidelse utelatt fra skanning. |
| antivirus_engine.exclusions[].name | Navnet på filen er utelatt fra skanning. |
| antivirus_engine.scan_cache_maximum | Størrelsen på produkthurtigbufferen. |
| antivirus_engine.maximum_scan_threads | Maksimalt antall tråder som brukes til skanning. |
| antivirus_engine.threat_restoration_exclusion_time | Tidsavbrudd før en fil som gjenopprettes fra karantene, kan oppdages på nytt. |
| antivirus_engine.threat_type_settings | Konfigurasjon for hvordan ulike trusseltyper håndteres av produktet. |
| filesystem_scanner.full_scan_directory | Fullstendig skannekatalog. |
| filesystem_scanner.quick_scan_directories | Liste over kataloger som brukes i hurtigskanning. |
| edr.latency_mode | Ventetidsmodus som brukes av gjenkjennings- og svarkomponenten. |
| edr.proxy_address | Proxy-adresse som brukes av gjenkjennings- og svarkomponenten. |
Microsoft Automatisk oppdatering av konfigurasjon:
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| how_to_check | Bestemmer hvordan produktoppdateringer kontrolleres (for eksempel automatisk eller manuell). |
| channel_name | Oppdater kanal som er knyttet til enheten. |
| manifest_server | Server som brukes til å laste ned oppdateringer. |
| update_cache | Plasseringen til hurtigbufferen som brukes til å lagre oppdateringer. |
Produkt- og tjenestebruk
Rapport for opplasting av diagnoselogg startet
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| sha256 | SHA256-identifikator for støtteloggen. |
| Størrelse | Størrelsen på støtteloggen. |
| original_path | Bane til støtteloggen (alltid under /Bibliotek/Programstøtte/Microsoft/Defender/wdavdiag/). |
| Format | Format for støtteloggen. |
| Metadata | Informasjon om innholdet i støtteloggen. |
Rapport for opplasting av diagnoselogg fullført
Følgende felt samles inn:
| Felt | Beskrivelse |
|---|---|
| request_id | Korrelasjons-ID for forespørsel om opplasting av støttelogg. |
| sha256 | SHA256-identifikator for støtteloggen. |
| blob_sas_uri | URI som brukes av programmet til å laste opp støtteloggen. |
Datahendelser for produkt- og tjenesteytelse for produkt- og tjenestebruk
Uventet programslutt (krasj):
Uventede programavslutninger og tilstanden til programmet når dette skjer.
Statistikk for kjerneutvidelse:
Følgende felter samles inn:
| Felt | Beskrivelse |
|---|---|
| pkt_ack_timeout | Følgende egenskaper er aggregerte numeriske verdier, som representerer antall hendelser som har skjedd siden oppstarten av kjerneutvidelsen. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.maske | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ressurser
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for