Lezen in het Engels

Delen via


Privacy voor Microsoft Defender voor Eindpunt in Linux

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Microsoft doet er alles aan om u te voorzien van de informatie en besturingselementen die u nodig hebt om keuzes te maken over hoe uw gegevens worden verzameld en gebruikt wanneer u Defender voor Eindpunt in Linux gebruikt.

In dit artikel worden de privacybesturingselementen beschreven die beschikbaar zijn in het product, hoe u deze besturingselementen beheert met beleidsinstellingen en meer informatie over de gegevens die worden verzameld.

Overzicht van privacybesturingselementen in Microsoft Defender voor Eindpunt in Linux

In deze sectie worden de privacybesturingselementen beschreven voor de verschillende typen gegevens die worden verzameld door Defender voor Eindpunt in Linux.

Diagnostische gegevens

Diagnostische gegevens worden gebruikt om Defender voor Eindpunt veilig en up-to-date te houden, problemen te detecteren, te diagnosticeren en op te lossen, en ook om productverbeteringen aan te brengen.

Sommige diagnostische gegevens zijn vereist, terwijl andere diagnostische gegevens optioneel zijn. We bieden u de mogelijkheid om te kiezen of u ons vereiste of optionele diagnostische gegevens wilt verzenden met behulp van privacybesturingselementen, zoals beleidsinstellingen voor organisaties.

Er zijn twee niveaus van diagnostische gegevens voor Defender voor Eindpunt-clientsoftware waaruit u kunt kiezen:

  • Vereist: de minimale gegevens die nodig zijn om Defender voor Eindpunt veilig en up-to-date te houden en te laten presteren zoals verwacht op het apparaat waarop het is geïnstalleerd.
  • Optioneel: Andere gegevens waarmee Microsoft productverbeteringen aanbrengt en uitgebreide informatie biedt om problemen op te sporen, te diagnosticeren en op te lossen.

Standaard worden alleen vereiste diagnostische gegevens naar Microsoft verzonden.

Cloudbezorgde beveiligingsgegevens

Cloudbeveiliging wordt gebruikt om betere en snellere beveiliging te bieden met toegang tot de nieuwste beveiligingsgegevens in de cloud.

Het inschakelen van de cloudbeveiligingsservice is optioneel, maar wordt ten zeerste aanbevolen omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en in uw netwerk.

Voorbeeldgegevens

Voorbeeldgegevens worden gebruikt om de beveiligingsmogelijkheden van het product te verbeteren door verdachte voorbeelden van Microsoft te verzenden, zodat ze kunnen worden geanalyseerd. Het inschakelen van automatische voorbeeldinzending is optioneel.

Er zijn drie niveaus voor het beheren van het indienen van voorbeelden:

  • Geen: er worden geen verdachte voorbeelden naar Microsoft verzonden.
  • Veilig: alleen verdachte steekproeven die geen persoonlijk identificeerbare informatie (PII) bevatten, worden automatisch verzonden. Dit is de standaardwaarde.
  • Alle: alle verdachte voorbeelden worden verzonden naar Microsoft.

Privacybesturingselementen met beleidsinstellingen beheren

Als u een IT-beheerder bent, kunt u deze besturingselementen op ondernemingsniveau configureren.

De privacybesturingselementen voor de verschillende typen gegevens die in de vorige sectie worden beschreven, worden uitgebreid beschreven in Voorkeuren instellen voor Defender voor Eindpunt in Linux.

Net als bij nieuwe beleidsinstellingen moet u deze zorgvuldig testen in een beperkte, beheerde omgeving om ervoor te zorgen dat de instellingen die u configureert het gewenste effect hebben voordat u de beleidsinstellingen breder implementeert in uw organisatie.

Gebeurtenissen met diagnostische gegevens

In deze sectie wordt beschreven wat wordt beschouwd als vereiste diagnostische gegevens en wat wordt beschouwd als optionele diagnostische gegevens, samen met een beschrijving van de gebeurtenissen en velden die worden verzameld.

Gegevensvelden die gemeenschappelijk zijn voor alle gebeurtenissen

Er zijn gegevens over gebeurtenissen die voor alle gebeurtenissen geldt, ongeacht het subtype van de categorie of gegevens.

De volgende velden worden beschouwd als gemeenschappelijk voor alle gebeurtenissen:

Veld Beschrijving
platform De brede classificatie van het platform waarop de app wordt uitgevoerd. Hiermee kan Microsoft bepalen op welke platforms een probleem kan optreden, zodat het probleem op de juiste manier kan worden geprioriteerd.
machine_guid Unieke id die is gekoppeld aan het apparaat. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed.
sense_guid Unieke id die is gekoppeld aan het apparaat. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed.
org_id Unieke id die is gekoppeld aan de onderneming waartoe het apparaat behoort. Hiermee kan Microsoft bepalen of problemen van invloed zijn op een selecte set ondernemingen en hoeveel ondernemingen worden beïnvloed.
hostnaam Lokale apparaatnaam (zonder DNS-achtervoegsel). Hiermee kan Microsoft bepalen of problemen van invloed zijn op een geselecteerde set installaties en hoeveel gebruikers worden beïnvloed.
product_guid Unieke id van het product. Hiermee kan Microsoft onderscheid maken tussen problemen die van invloed zijn op verschillende smaken van het product.
app_version Versie van de Toepassing Defender voor Eindpunt op Linux. Hiermee kan Microsoft bepalen welke versies van het product een probleem vertonen, zodat deze op de juiste manier kunnen worden geprioriteerd.
sig_version Versie van beveiligingsinformatiedatabase. Hiermee kan Microsoft bepalen welke versies van de beveiligingsinformatie een probleem vertonen, zodat deze op de juiste manier kunnen worden geprioriteerd.
supported_compressions Lijst met compressiealgoritmen die worden ondersteund door de toepassing, bijvoorbeeld ['gzip']. Hiermee kan Microsoft begrijpen welke typen compressies kunnen worden gebruikt wanneer deze communiceert met de toepassing.
release_ring Bel dat het apparaat is gekoppeld (bijvoorbeeld Insider Fast, Insider Slow, Productie). Hiermee kan Microsoft bepalen op welke releasering een probleem kan optreden, zodat het probleem op de juiste manier kan worden geprioriteerd.

Verplichte diagnostische gegevens

Vereiste diagnostische gegevens zijn de minimale gegevens die nodig zijn om Defender voor Eindpunt veilig en up-to-date te houden en te laten werken zoals verwacht op het apparaat waarop het is geïnstalleerd.

Vereiste diagnostische gegevens helpen bij het identificeren van problemen met Microsoft Defender voor Eindpunt die mogelijk te maken hebben met een apparaat- of softwareconfiguratie. Het kan bijvoorbeeld helpen bepalen of een Defender voor Eindpunt-functie vaker vastloopt op een bepaalde versie van het besturingssysteem, met nieuw geïntroduceerde functies of wanneer bepaalde Defender voor Eindpunt-functies zijn uitgeschakeld. Vereiste diagnostische gegevens helpen Microsoft deze problemen sneller te detecteren, te diagnosticeren en op te lossen, zodat de impact op gebruikers of organisaties wordt verminderd.

Software-instellingen en inventarisatiegegevensgebeurtenissen

Microsoft Defender voor Eindpunt installatie/verwijdering:

De volgende velden worden verzameld:

Veld Beschrijving
correlation_id Unieke id die is gekoppeld aan de installatie.
Versie Versie van het pakket.
strengheid Ernst van het bericht (bijvoorbeeld Informatie).
code Code die de bewerking beschrijft.
Sms Aanvullende informatie over de productinstallatie.

Microsoft Defender voor Eindpunt configuratie:

De volgende velden worden verzameld:

Veld Beschrijving
antivirus_engine.enable_real_time_protection Of realtime-beveiliging is ingeschakeld op het apparaat of niet.
antivirus_engine.passive_mode Of de passieve modus is ingeschakeld op het apparaat of niet.
cloud_service.enabled Of cloudbeveiliging is ingeschakeld op het apparaat of niet.
cloud_service.time-out Time-out wanneer de toepassing communiceert met de Defender for Endpoint-cloud.
cloud_service.heartbeat_interval Interval tussen opeenvolgende heartbeats die door het product naar de cloud worden verzonden.
cloud_service.service_uri URI die wordt gebruikt om te communiceren met de cloud.
cloud_service.diagnostic_level Diagnostisch niveau van het apparaat (vereist, optioneel).
cloud_service.automatic_sample_submission Automatisch voorbeeldinzendingsniveau van het apparaat (geen, veilig, alle).
cloud_service.automatic_definition_update_enabled Of automatische definitie-update is ingeschakeld of niet.
edr.early_preview Of op het apparaat vroege preview-functies van EDR moeten worden uitgevoerd.
edr.group_id Groeps-id die wordt gebruikt door het detectie- en antwoordonderdeel.
edr.tags Door de gebruiker gedefinieerde tags.
Functies. [optionele functienaam] Lijst met preview-functies, samen met of ze zijn ingeschakeld of niet.

Gebruiksgebeurtenissen van producten en services

Updaterapport voor beveiligingsinformatie:

De volgende velden worden verzameld:

Veld Beschrijving
from_version Oorspronkelijke versie van beveiligingsinformatie.
to_version Nieuwe versie van beveiligingsinformatie.
status Status van de update die aangeeft dat de update is geslaagd of mislukt.
using_proxy Of de update is uitgevoerd via een proxy.
fout Foutcode als de update is mislukt.
reason Foutbericht als de update is mislukt.

Gebeurtenissen van product- en serviceprestatiegegevens voor vereiste diagnostische gegevens

Statistieken van kernelextensie:

De volgende velden worden verzameld:

Veld Beschrijving
Versie Versie van Defender voor Eindpunt in Linux.
instance_id Unieke id gegenereerd bij het opstarten van de kernelextensie.
trace_level Traceerniveau van de kernelextensie.
Subsysteem Het onderliggende subsysteem dat wordt gebruikt voor realtime-beveiliging.
ipc.connects Aantal verbindingsaanvragen dat is ontvangen door de kernelextensie.
ipc.rejects Aantal verbindingsaanvragen geweigerd door de kernelextensie.
ipc.connected Of er een actieve verbinding is met de kernelextensie.

Ondersteuningsgegevens

Diagnostische logboeken:

Diagnostische logboeken worden alleen verzameld met toestemming van de gebruiker als onderdeel van de functie voor het verzenden van feedback. De volgende bestanden worden verzameld als onderdeel van de ondersteuningslogboeken:

  • Alle bestanden onder /var/log/microsoft/mdatp
  • Subset van bestanden onder /etc/opt/microsoft/mdatp die zijn gemaakt en gebruikt door Defender voor Eindpunt in Linux
  • Logboeken voor productinstallatie en verwijdering onder /var/log/microsoft/mdatp/*.log

Optionele diagnostische gegevens

Optionele diagnostische gegevens zijn aanvullende gegevens waarmee Microsoft productverbeteringen aanbrengt en uitgebreide informatie biedt om problemen te detecteren, te diagnosticeren en op te lossen.

Als u ervoor kiest ons optionele diagnostische gegevens te sturen, worden hierbij ook vereiste diagnostische gegevens opgenomen.

Voorbeelden van optionele diagnostische gegevens zijn gegevens die Microsoft verzamelt over de productconfiguratie (bijvoorbeeld het aantal uitsluitingen dat is ingesteld op het apparaat) en productprestaties (geaggregeerde metingen over de prestaties van onderdelen van het product).

Gebeurtenissen van software-installatie- en inventarisgegevens voor optionele diagnostische gegevens

Microsoft Defender voor Eindpunt configuratie:

De volgende velden worden verzameld:

Veld Beschrijving
connection_retry_timeout Time-out voor opnieuw proberen van de verbinding bij communicatie met de cloud.
file_hash_cache_maximum Grootte van de productcache.
crash_upload_daily_limit Limiet van crashlogboeken die dagelijks worden geüpload.
antivirus_engine.exclusions[].is_directory Of de uitsluiting van scannen een map is of niet.
antivirus_engine.exclusions[].path Pad dat is uitgesloten van scannen.
antivirus_engine.exclusions[].extension Extensie uitgesloten van scannen.
antivirus_engine.exclusions[].name Naam van het bestand dat is uitgesloten van scannen.
antivirus_engine.scan_cache_maximum Grootte van de productcache.
antivirus_engine.maximum_scan_threads Maximum aantal threads dat wordt gebruikt voor scannen.
antivirus_engine.threat_restoration_exclusion_time Time-out voordat een bestand dat uit de quarantaine is hersteld, opnieuw kan worden gedetecteerd.
antivirus_engine.threat_type_settings Configuratie voor hoe verschillende bedreigingstypen door het product worden verwerkt.
filesystem_scanner.full_scan_directory Volledige scanmap.
filesystem_scanner.quick_scan_directories Lijst met mappen die worden gebruikt in snelle scan.
edr.latency_mode Latentiemodus die wordt gebruikt door het detectie- en antwoordonderdeel.
edr.proxy_address Proxyadres dat wordt gebruikt door het detectie- en antwoordonderdeel.

Configuratie van Microsoft Auto-Update:

De volgende velden worden verzameld:

Veld Beschrijving
how_to_check Bepaalt hoe productupdates worden gecontroleerd (bijvoorbeeld automatisch of handmatig).
channel_name Updatekanaal dat is gekoppeld aan het apparaat.
manifest_server Server die wordt gebruikt voor het downloaden van updates.
update_cache Locatie van de cache die wordt gebruikt om updates op te slaan.

Gebruik van producten en services

Rapport voor uploaden van diagnostisch logboek gestart

De volgende velden worden verzameld:

Veld Beschrijving
sha256 SHA256-id van het ondersteuningslogboek.
grootte Grootte van het ondersteuningslogboek.
original_path Pad naar het ondersteuningslogboek (altijd onder /var/opt/microsoft/mdatp/wdavdiag/).
formatteren Indeling van het ondersteuningslogboek.

Voltooid rapport voor uploaden van diagnostisch logboek

De volgende velden worden verzameld:

Veld Beschrijving
request_id Correlatie-id voor de aanvraag voor het uploaden van het ondersteuningslogboek.
sha256 SHA256-id van het ondersteuningslogboek.
blob_sas_uri URI die door de toepassing wordt gebruikt om het ondersteuningslogboek te uploaden.

Gegevens over product- en serviceprestaties voor productservice en gebruik

Onverwacht afsluiten van de toepassing (crash):

Onverwacht afsluiten van toepassing (crash) en de status van de toepassing wanneer dit gebeurt.

Statistieken van kernelextensie:

De volgende velden worden verzameld:

Veld Beschrijving
pkt_ack_timeout De volgende eigenschappen zijn geaggregeerde numerieke waarden, die het aantal gebeurtenissen vertegenwoordigen dat is opgetreden sinds het opstarten van de kernelextensie.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Middelen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.