Personvern for Microsoft Defender for endepunkt på macOS

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Microsoft er forpliktet til å gi deg informasjonen og kontrollene du trenger for å ta valg om hvordan dataene samles inn og brukes når du bruker Microsoft Defender for endepunkt på macOS.

Dette emnet beskriver personvernkontrollene som er tilgjengelige i produktet, hvordan du administrerer disse kontrollene med policyinnstillinger og mer informasjon om datahendelsene som samles inn.

Oversikt over personvernkontroller i Microsoft Defender for endepunkt på macOS

Denne delen beskriver personvernkontrollene for de ulike datatypene som samles inn av Microsoft Defender for endepunkt på macOS.

Diagnosedata

Diagnosedata brukes til å holde Microsoft Defender for endepunkt sikker og oppdatert, oppdage, diagnostisere og løse problemer og også gjøre produktforbedringer.

Enkelte diagnosedata er obligatoriske, mens andre diagnosedata er valgfrie. Vi gir deg muligheten til å velge om du vil sende oss obligatoriske eller valgfrie diagnosedata via bruken av personvernkontroller, for eksempel policyinnstillinger for organisasjoner.

Det finnes to nivåer med diagnosedata for Microsoft Defender for endepunkt klientprogramvare som du kan velge mellom:

  • Obligatorisk: Minimumsdataene som er nødvendige for å holde Microsoft Defender for endepunkt sikre, oppdaterte og yte som forventet på enheten den er installert på.

  • Valgfritt: Tilleggsdata som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å hjelpe til med å oppdage, diagnostisere og løse problemer.

Som standard sendes bare nødvendige diagnosedata til Microsoft.

Skyleverte beskyttelsesdata

Skybasert levert beskyttelse brukes til å gi økt og raskere beskyttelse med tilgang til de nyeste beskyttelsesdataene i skyen.

Aktivering av den skyleverte beskyttelsestjenesten er valgfritt, men det anbefales på det sterkeste fordi den gir viktig beskyttelse mot skadelig programvare på endepunktene og på tvers av nettverket.

Eksempeldata

Eksempeldata brukes til å forbedre beskyttelsesfunksjonene til produktet ved å sende mistenkelige eksempler fra Microsoft, slik at de kan analyseres. Aktivering av automatisk innsending av eksempel er valgfritt.

Når denne funksjonen er aktivert og eksemplet som samles inn sannsynligvis inneholder personlige opplysninger, blir brukeren bedt om samtykke.

Administrere personvernkontroller med policyinnstillinger

Hvis du er IT-administrator, bør du konfigurere disse kontrollene på bedriftsnivå.

Personvernkontrollene for de ulike datatypene som er beskrevet i forrige del, beskrives i detalj i angi innstillinger for Microsoft Defender for endepunkt på macOS.

Som med alle nye policyinnstillinger bør du nøye teste dem ut i et begrenset, kontrollert miljø for å sikre at innstillingene du konfigurerer, har ønsket effekt før du implementerer policyinnstillingene i organisasjonen.

Diagnosedatahendelser

Denne delen beskriver hva som anses som nødvendige diagnosedata og hva som anses som valgfrie diagnosedata, sammen med en beskrivelse av hendelsene og feltene som samles inn.

Datafelt som er vanlige for alle hendelser

Noe informasjon om hendelser er felles for alle hendelser, uavhengig av kategori eller dataundertype.

Følgende felt anses som vanlige for alle hendelser:

Felt Beskrivelse
Plattform Den brede klassifiseringen av plattformen som appen kjører på. Gjør det mulig for Microsoft å identifisere hvilke plattformer et problem kan oppstå på, slik at det kan prioriteres på riktig måte.
machine_guid Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes.
sense_guid Unik identifikator som er knyttet til enheten. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes.
org_id Unik identifikator som er knyttet til virksomheten som enheten tilhører. Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med virksomheter og hvor mange virksomheter som påvirkes.
Vertsnavn Navn på lokal enhet (uten DNS-suffiks). Gjør det mulig for Microsoft å identifisere om problemer påvirker et utvalgt sett med installasjoner og hvor mange brukere som påvirkes.
product_guid Unik identifikator for produktet. Gjør det mulig for Microsoft å skille mellom problemer som påvirker forskjellige typer av produktet.
app_version Versjon av Microsoft Defender for endepunkt på macOS-programmet. Gjør det mulig for Microsoft å identifisere hvilke versjoner av produktet som viser et problem, slik at det kan prioriteres på riktig måte.
sig_version Versjon av database for sikkerhetsintelligens. Gjør det mulig for Microsoft å identifisere hvilke versjoner av sikkerhetsintelligensen som viser et problem, slik at det kan prioriteres på riktig måte.
supported_compressions Liste over komprimeringsalgoritmer som støttes av programmet, for eksempel ['gzip']. Gjør det mulig for Microsoft å forstå hvilke typer komprimering som kan brukes når det kommuniserer med programmet.
release_ring Ring som enheten er knyttet til (for eksempel Insider Fast, Insider Slow, Production). Gjør det mulig for Microsoft å identifisere hvilken utgivelsesring et problem kan oppstå på, slik at det kan prioriteres på riktig måte.

Obligatoriske diagnosedata

Nødvendige diagnosedata er minimumsdataene som er nødvendige for å holde Microsoft Defender for endepunkt sikre, oppdaterte og utføre som forventet på enheten den er installert på.

Nødvendige diagnosedata bidrar til å identifisere problemer med Microsoft Defender for endepunkt som kan være relatert til en enhets- eller programvarekonfigurasjon. Det kan for eksempel hjelpe deg med å finne ut om en Microsoft Defender for endepunkt-funksjon krasjer oftere på en bestemt operativsystemversjon, med nylig introduserte funksjoner, eller når bestemte Microsoft Defender for endepunkt funksjoner er deaktivert. Nødvendige diagnosedata hjelper Microsoft med å oppdage, diagnostisere og løse disse problemene raskere, slik at innvirkningen på brukere eller organisasjoner reduseres.

Datahendelser om programvareinstallasjon og -beholdning

Microsoft Defender for endepunkt installasjon/avinstallasjon:

Følgende felt samles inn:

Felt Beskrivelse
correlation_id Unik identifikator som er knyttet til installasjonen.
Versjon Versjon av pakken.
Alvorlighetsgraden Alvorsgraden for meldingen (for eksempel Informasjon).
Koden Kode som beskriver operasjonen.
Tekst Tilleggsinformasjon som er knyttet til produktinstallasjonen.

Microsoft Defender for endepunkt konfigurasjon:

Følgende felter samles inn:

Felt Beskrivelse
antivirus_engine.enable_real_time_protection Om sanntidsbeskyttelse er aktivert på enheten eller ikke.
antivirus_engine.passive_mode Om passiv modus er aktivert på enheten eller ikke.
cloud_service.enabled Om skyen levert beskyttelse er aktivert på enheten eller ikke.
cloud_service.timeout Tidsavbrudd når programmet kommuniserer med Microsoft Defender for endepunkt skyen.
cloud_service.heartbeat_interval Intervall mellom påfølgende hjerteslag sendt av produktet til skyen.
cloud_service.service_uri URI brukes til å kommunisere med skyen.
cloud_service.diagnostic_level Diagnosenivået for enheten (obligatorisk, valgfritt).
cloud_service.automatic_sample_submission Om automatisk innsending av eksempel er aktivert eller ikke.
cloud_service.automatic_definition_update_enabled Om automatisk definisjonsoppdatering er aktivert eller ikke.
edr.early_preview Om enheten skal kjøre funksjoner for tidlig forhåndsvisning av EDR.
edr.group_id Gruppeidentifikator som brukes av gjenkjennings- og svarkomponenten.
edr.tags Brukerdefinerte koder.
Funksjoner. [valgfritt funksjonsnavn] Liste over evalueringsfunksjoner, sammen med om de er aktivert eller ikke.

Datahendelser for produkt- og tjenestebruk

Oppdateringsrapport for sikkerhetsintelligens:

Følgende felt samles inn:

Felt Beskrivelse
from_version Opprinnelig versjon av sikkerhetsintelligens.
to_version Ny versjon av sikkerhetsintelligens.
Status Status for oppdateringen som angir vellykket eller mislykket.
using_proxy Om oppdateringen ble utført over en proxy.
Feil Feilkode hvis oppdateringen mislyktes.
Grunn Feilmelding hvis den oppdaterte filen.

Datahendelser for produkt- og tjenesteytelse for nødvendige diagnosedata

Uventet programslutt (krasj):

Samler inn systeminformasjon og tilstanden til et program når et program uventet avsluttes.

Følgende felt samles inn:

Felt Beskrivelse
v1_crash_count Antall ganger V1-motorprosessen krasjet hver time på klientmaskinen
v2_crash_count Antall ganger V2-motorprosessen krasjet hver time på klientmaskinen
EDR_crash_count Antall ganger EDR-prosessen krasjet hver time på klientmaskinen

Statistikk for kjerneutvidelse:

Følgende felt samles inn:

Felt Beskrivelse
Versjon Versjon av Microsoft Defender for endepunkt på macOS.
instance_id Unik identifikator generert ved oppstart av kjerneutvidelse.
trace_level Sporingsnivå for kjerneutvidelsen.
Delsystemet Det underliggende delsystemet som brukes til sanntidsbeskyttelse.
ipc.connects Antall tilkoblingsforespørsler mottatt av kjerneutvidelsen.
ipc.rejects Antall tilkoblingsforespørsler som ble avvist av kjerneutvidelsen.
ipc.connected Om det er noen aktiv tilkobling til kjerneutvidelsen.

Støttedata

Diagnoselogger:

Diagnoselogger samles bare inn med samtykke fra brukeren som en del av funksjonen for innsending av tilbakemelding. Følgende filer samles inn som en del av støtteloggene:

  • Alle filer under /Bibliotek/Logger/Microsoft/mdatp/
  • Delsett av filer under /Bibliotek/Programstøtte/Microsoft/Defender/ som opprettes og brukes av Microsoft Defender for endepunkt på macOS
  • Delsett av filer under /Bibliotek/Administrerte innstillinger som brukes av Microsoft Defender for endepunkt på macOS
  • /Bibliotek/Logger/Microsoft/autoupdate.log
  • $HOME/Bibliotek/Innstillinger/com.microsoft.autoupdate2.plist

Valgfrie diagnosedata

Valgfrie diagnosedata er tilleggsdata som hjelper Microsoft med å gjøre produktforbedringer og gir forbedret informasjon for å oppdage, diagnostisere og løse problemer.

Hvis du velger å sende oss valgfrie diagnosedata, er obligatoriske diagnosedata også inkludert.

Eksempler på valgfrie diagnosedata inkluderer data Microsoft samler inn om produktkonfigurasjon (for eksempel antall utelatelser angitt på enheten) og produktytelse (aggregerte mål om ytelsen til komponentene i produktet).

Programvareoppsett og lagerdatahendelser for valgfrie diagnosedata

Microsoft Defender for endepunkt konfigurasjon:

Følgende felter samles inn:

Felt Beskrivelse
connection_retry_timeout Tilkoblingen prøver å bli tidsavbrutt når du kommuniserer med skyen.
file_hash_cache_maximum Størrelsen på produkthurtigbufferen.
crash_upload_daily_limit Grensen for krasjlogger som lastes opp daglig.
antivirus_engine.exclusions[].is_directory Om utelukkelsen fra skanning er en katalog eller ikke.
antivirus_engine.exclusions[].path Bane som ble utelatt fra skanning.
antivirus_engine.exclusions[].extension Utvidelse utelatt fra skanning.
antivirus_engine.exclusions[].name Navnet på filen er utelatt fra skanning.
antivirus_engine.scan_cache_maximum Størrelsen på produkthurtigbufferen.
antivirus_engine.maximum_scan_threads Maksimalt antall tråder som brukes til skanning.
antivirus_engine.threat_restoration_exclusion_time Tidsavbrudd før en fil som gjenopprettes fra karantene, kan oppdages på nytt.
antivirus_engine.threat_type_settings Konfigurasjon for hvordan ulike trusseltyper håndteres av produktet.
filesystem_scanner.full_scan_directory Fullstendig skannekatalog.
filesystem_scanner.quick_scan_directories Liste over kataloger som brukes i hurtigskanning.
edr.latency_mode Ventetidsmodus som brukes av gjenkjennings- og svarkomponenten.
edr.proxy_address Proxy-adresse som brukes av gjenkjennings- og svarkomponenten.

Microsoft Automatisk oppdatering av konfigurasjon:

Følgende felter samles inn:

Felt Beskrivelse
how_to_check Bestemmer hvordan produktoppdateringer kontrolleres (for eksempel automatisk eller manuell).
channel_name Oppdater kanal som er knyttet til enheten.
manifest_server Server som brukes til å laste ned oppdateringer.
update_cache Plasseringen til hurtigbufferen som brukes til å lagre oppdateringer.

Produkt- og tjenestebruk

Rapport for opplasting av diagnoselogg startet

Følgende felter samles inn:

Felt Beskrivelse
sha256 SHA256-identifikator for støtteloggen.
Størrelse Størrelsen på støtteloggen.
original_path Bane til støtteloggen (alltid under /Bibliotek/Programstøtte/Microsoft/Defender/wdavdiag/).
Format Format for støtteloggen.
Metadata Informasjon om innholdet i støtteloggen.

Rapport for opplasting av diagnoselogg fullført

Følgende felt samles inn:

Felt Beskrivelse
request_id Korrelasjons-ID for forespørsel om opplasting av støttelogg.
sha256 SHA256-identifikator for støtteloggen.
blob_sas_uri URI som brukes av programmet til å laste opp støtteloggen.

Datahendelser for produkt- og tjenesteytelse for produkt- og tjenestebruk

Uventet programslutt (krasj):

Uventede programavslutninger og tilstanden til programmet når dette skjer.

Statistikk for kjerneutvidelse:

Følgende felter samles inn:

Felt Beskrivelse
pkt_ack_timeout Følgende egenskaper er aggregerte numeriske verdier, som representerer antall hendelser som har skjedd siden oppstarten av kjerneutvidelsen.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.maske
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ressurser

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.