Privacy voor Microsoft Defender voor Eindpunt in Linux
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Microsoft doet er alles aan om u te voorzien van de informatie en besturingselementen die u nodig hebt om keuzes te maken over hoe uw gegevens worden verzameld en gebruikt wanneer u Defender voor Eindpunt in Linux gebruikt.
In dit artikel worden de privacybesturingselementen beschreven die beschikbaar zijn in het product, hoe u deze besturingselementen beheert met beleidsinstellingen en meer informatie over de gegevens die worden verzameld.
In deze sectie worden de privacybesturingselementen beschreven voor de verschillende typen gegevens die worden verzameld door Defender voor Eindpunt in Linux.
Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen.
Sommige diagnostische gegevens zijn vereist, terwijl andere diagnostische gegevens optioneel zijn. We bieden u de mogelijkheid om te kiezen of u ons vereiste of optionele diagnostische gegevens wilt verzenden met behulp van privacybesturingselementen, zoals beleidsinstellingen voor organisaties.
Er zijn twee niveaus van diagnostische gegevens voor Defender voor Eindpunt-clientsoftware waaruit u kunt kiezen:
- Vereist: de minimale gegevens die nodig zijn om Defender voor Eindpunt veilig en up-to-date te houden en te laten presteren zoals verwacht op het apparaat waarop het is geïnstalleerd.
- Optioneel: Andere gegevens waarmee Microsoft productverbeteringen aanbrengt en uitgebreide informatie biedt om problemen op te sporen, te diagnosticeren en op te lossen.
Standaard worden alleen vereiste diagnostische gegevens naar Microsoft verzonden.
Cloudbeveiliging wordt gebruikt om betere en snellere beveiliging te bieden met toegang tot de nieuwste beveiligingsgegevens in de cloud.
Het inschakelen van de cloudbeveiligingsservice is optioneel, maar wordt ten zeerste aanbevolen omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en in uw netwerk.
Voorbeeldgegevens worden gebruikt om de beveiligingsmogelijkheden van het product te verbeteren door verdachte voorbeelden van Microsoft te verzenden, zodat ze kunnen worden geanalyseerd. Het inschakelen van automatische voorbeeldinzending is optioneel.
Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:
- Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
- Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde.
- Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.
Als u een IT-beheerder bent, kunt u deze besturingselementen op ondernemingsniveau configureren.
De privacybesturingselementen voor de verschillende typen gegevens die in de vorige sectie worden beschreven, worden uitgebreid beschreven in Voorkeuren instellen voor Defender voor Eindpunt in Linux.
Net als bij nieuwe beleidsinstellingen moet u deze zorgvuldig testen in een beperkte, beheerde omgeving om ervoor te zorgen dat de instellingen die u configureert het gewenste effect hebben voordat u de beleidsinstellingen breder implementeert in uw organisatie.
In deze sectie wordt beschreven wat wordt beschouwd als vereiste diagnostische gegevens en wat wordt beschouwd als optionele diagnostische gegevens, samen met een beschrijving van de gebeurtenissen en velden die worden verzameld.
Er zijn gegevens over gebeurtenissen die voor alle gebeurtenissen geldt, ongeacht het subtype van de categorie of gegevens.
De volgende velden worden beschouwd als gemeenschappelijk voor alle gebeurtenissen:
Veld | Beschrijving |
---|---|
platform | De brede classificatie van het platform waarop de app wordt uitgevoerd. Hiermee kan Microsoft bepalen op welke platforms een probleem kan optreden, zodat het probleem op de juiste manier kan worden geprioriteerd. |
machine_guid | Unieke id die is gekoppeld aan het apparaat. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed. |
sense_guid | Unieke id die is gekoppeld aan het apparaat. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed. |
org_id | Unieke id die is gekoppeld aan de onderneming waartoe het apparaat behoort. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een selecte set ondernemingen en hoeveel ondernemingen worden beïnvloed. |
hostnaam | Lokale apparaatnaam (zonder DNS-achtervoegsel). Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed. |
product_guid | Unieke id van het product. Hiermee kan Microsoft onderscheid maken tussen problemen die van invloed zijn op verschillende smaken van het product. |
app_version | Versie van de Toepassing Defender voor Eindpunt op Linux. Hiermee kan Microsoft bepalen welke versies van het product een probleem vertonen, zodat deze op de juiste manier kunnen worden geprioriteerd. |
sig_version | Versie van beveiligingsinformatiedatabase. Hiermee kan Microsoft bepalen welke versies van de beveiligingsinformatie een probleem vertonen, zodat deze op de juiste manier kunnen worden geprioriteerd. |
supported_compressions | Lijst met compressiealgoritmen die worden ondersteund door de toepassing, bijvoorbeeld ['gzip'] . Hiermee kan Microsoft begrijpen welke typen compressies kunnen worden gebruikt wanneer deze communiceert met de toepassing. |
release_ring | Bel dat het apparaat is gekoppeld (bijvoorbeeld Insider Fast, Insider Slow, Productie). Hiermee kan Microsoft bepalen op welke releasering een probleem kan optreden, zodat het probleem op de juiste manier kan worden geprioriteerd. |
Vereiste diagnostische gegevens zijn de minimale gegevens die nodig zijn om Defender voor Eindpunt veilig en up-to-date te houden en te laten werken zoals verwacht op het apparaat waarop het is geïnstalleerd.
Vereiste diagnostische gegevens helpen bij het identificeren van problemen met Microsoft Defender voor Eindpunt die mogelijk te maken hebben met een apparaat- of softwareconfiguratie. Het kan bijvoorbeeld helpen bepalen of een Defender voor Eindpunt-functie vaker vastloopt op een bepaalde versie van het besturingssysteem, met nieuw geïntroduceerde functies of wanneer bepaalde Defender voor Eindpunt-functies zijn uitgeschakeld. Vereiste diagnostische gegevens helpen Microsoft deze problemen sneller te detecteren, te diagnosticeren en op te lossen, zodat de impact op gebruikers of organisaties wordt verminderd.
Microsoft Defender voor Eindpunt installatie/verwijdering:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
correlation_id | Unieke id die is gekoppeld aan de installatie. |
Versie | Versie van het pakket. |
strengheid | Ernst van het bericht (bijvoorbeeld Informatie). |
code | Code die de bewerking beschrijft. |
Sms | Aanvullende informatie over de productinstallatie. |
Microsoft Defender voor Eindpunt configuratie:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
antivirus_engine.enable_real_time_protection | Of realtime-beveiliging is ingeschakeld op het apparaat of niet. |
antivirus_engine.passive_mode | Of de passieve modus is ingeschakeld op het apparaat of niet. |
cloud_service.enabled | Of cloudbeveiliging is ingeschakeld op het apparaat of niet. |
cloud_service.time-out | Time-out wanneer de toepassing communiceert met de Defender for Endpoint-cloud. |
cloud_service.heartbeat_interval | Interval tussen opeenvolgende heartbeats die door het product naar de cloud worden verzonden. |
cloud_service.service_uri | URI die wordt gebruikt om te communiceren met de cloud. |
cloud_service.diagnostic_level | Diagnostisch niveau van het apparaat (vereist, optioneel). |
cloud_service.automatic_sample_submission | Automatisch voorbeeldinzendingsniveau van het apparaat (geen, veilig, alle). |
cloud_service.automatic_definition_update_enabled | Of automatische definitie-update is ingeschakeld of niet. |
edr.early_preview | Of op het apparaat vroege preview-functies van EDR moeten worden uitgevoerd. |
edr.group_id | Groeps-id die wordt gebruikt door het detectie- en antwoordonderdeel. |
edr.tags | Door de gebruiker gedefinieerde tags. |
Functies. [optionele functienaam] | Lijst met preview-functies, samen met of ze zijn ingeschakeld of niet. |
Updaterapport voor beveiligingsinformatie:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
from_version | Oorspronkelijke versie van beveiligingsinformatie. |
to_version | Nieuwe versie van beveiligingsinformatie. |
status | Status van de update die aangeeft dat de update is geslaagd of mislukt. |
using_proxy | Of de update is uitgevoerd via een proxy. |
fout | Foutcode als de update is mislukt. |
reason | Foutbericht als de update is mislukt. |
Statistieken van kernelextensie:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
Versie | Versie van Defender voor Eindpunt in Linux. |
instance_id | Unieke id gegenereerd bij het opstarten van de kernelextensie. |
trace_level | Traceerniveau van de kernelextensie. |
Subsysteem | Het onderliggende subsysteem dat wordt gebruikt voor realtime-beveiliging. |
ipc.connects | Aantal verbindingsaanvragen dat is ontvangen door de kernelextensie. |
ipc.rejects | Aantal verbindingsaanvragen geweigerd door de kernelextensie. |
ipc.connected | Of er een actieve verbinding is met de kernelextensie. |
Diagnostische logboeken:
Diagnostische logboeken worden alleen verzameld met toestemming van de gebruiker als onderdeel van de functie voor het verzenden van feedback. De volgende bestanden worden verzameld als onderdeel van de ondersteuningslogboeken:
- Alle bestanden onder /var/log/microsoft/mdatp
- Subset van bestanden onder /etc/opt/microsoft/mdatp die zijn gemaakt en gebruikt door Defender voor Eindpunt in Linux
- Logboeken voor productinstallatie en verwijdering onder /var/log/microsoft/mdatp/*.log
Optionele diagnostische gegevens zijn aanvullende gegevens waarmee Microsoft productverbeteringen aanbrengt en uitgebreide informatie biedt om problemen te detecteren, te diagnosticeren en op te lossen.
Als u ervoor kiest ons optionele diagnostische gegevens te sturen, worden hierbij ook vereiste diagnostische gegevens opgenomen.
Voorbeelden van optionele diagnostische gegevens zijn gegevens die Microsoft verzamelt over de productconfiguratie (bijvoorbeeld het aantal uitsluitingen dat is ingesteld op het apparaat) en productprestaties (geaggregeerde metingen over de prestaties van onderdelen van het product).
Gebeurtenissen van software-installatie- en inventarisgegevens voor optionele diagnostische gegevens
Microsoft Defender voor Eindpunt configuratie:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
connection_retry_timeout | Time-out voor opnieuw proberen van de verbinding bij communicatie met de cloud. |
file_hash_cache_maximum | Grootte van de productcache. |
crash_upload_daily_limit | Limiet van crashlogboeken die dagelijks worden geüpload. |
antivirus_engine.exclusions[].is_directory | Of de uitsluiting van scannen een map is of niet. |
antivirus_engine.exclusions[].path | Pad dat is uitgesloten van scannen. |
antivirus_engine.exclusions[].extension | Extensie uitgesloten van scannen. |
antivirus_engine.exclusions[].name | Naam van het bestand dat is uitgesloten van scannen. |
antivirus_engine.scan_cache_maximum | Grootte van de productcache. |
antivirus_engine.maximum_scan_threads | Maximum aantal threads dat wordt gebruikt voor scannen. |
antivirus_engine.threat_restoration_exclusion_time | Time-out voordat een bestand dat uit de quarantaine is hersteld, opnieuw kan worden gedetecteerd. |
antivirus_engine.threat_type_settings | Configuratie voor hoe verschillende bedreigingstypen door het product worden verwerkt. |
filesystem_scanner.full_scan_directory | Volledige scanmap. |
filesystem_scanner.quick_scan_directories | Lijst met mappen die worden gebruikt in snelle scan. |
edr.latency_mode | Latentiemodus die wordt gebruikt door het detectie- en antwoordonderdeel. |
edr.proxy_address | Proxyadres dat wordt gebruikt door het detectie- en antwoordonderdeel. |
Configuratie van Microsoft Auto-Update:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
how_to_check | Bepaalt hoe productupdates worden gecontroleerd (bijvoorbeeld automatisch of handmatig). |
channel_name | Updatekanaal dat is gekoppeld aan het apparaat. |
manifest_server | Server die wordt gebruikt voor het downloaden van updates. |
update_cache | Locatie van de cache die wordt gebruikt om updates op te slaan. |
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
sha256 | SHA256-id van het ondersteuningslogboek. |
grootte | Grootte van het ondersteuningslogboek. |
original_path | Pad naar het ondersteuningslogboek (altijd onder /var/opt/microsoft/mdatp/wdavdiag/). |
formatteren | Indeling van het ondersteuningslogboek. |
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
request_id | Correlatie-id voor de aanvraag voor het uploaden van het ondersteuningslogboek. |
sha256 | SHA256-id van het ondersteuningslogboek. |
blob_sas_uri | URI die door de toepassing wordt gebruikt om het ondersteuningslogboek te uploaden. |
Onverwacht afsluiten van de toepassing (crash):
Onverwacht afsluiten van toepassing (crash) en de status van de toepassing wanneer dit gebeurt.
Statistieken van kernelextensie:
De volgende velden worden verzameld:
Veld | Beschrijving |
---|---|
pkt_ack_timeout | De volgende eigenschappen zijn geaggregeerde numerieke waarden, die het aantal gebeurtenissen vertegenwoordigen dat is opgetreden sinds het opstarten van de kernelextensie. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.