Prywatność Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Firma Microsoft dokłada wszelkich starań, aby udostępniać informacje i kontrolki potrzebne do wyboru sposobu zbierania i używania danych podczas korzystania z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
W tym temacie opisano mechanizmy kontroli prywatności dostępne w ramach produktu, sposób zarządzania tymi kontrolkami przy użyciu ustawień zasad i więcej szczegółowych informacji na temat zbieranych zdarzeń danych.
Omówienie mechanizmów kontroli prywatności w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
W tej sekcji opisano mechanizmy kontroli prywatności dla różnych typów danych zbieranych przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Dane diagnostyczne
Dane diagnostyczne służą do zapewniania Ochrona punktu końcowego w usłudze Microsoft Defender bezpieczeństwa i aktualności, wykrywania, diagnozowania i rozwiązywania problemów, a także wprowadzania ulepszeń produktu.
Niektóre dane diagnostyczne są wymagane, zaś inne dane diagnostyczne — opcjonalne. Dajemy Ci możliwość wyboru, czy wysyłać nam wymagane lub opcjonalne dane diagnostyczne przy użyciu mechanizmów ochrony prywatności, takich jak ustawienia zasad dla organizacji.
Istnieją dwa poziomy danych diagnostycznych dla Ochrona punktu końcowego w usłudze Microsoft Defender oprogramowania klienckiego, z których można wybrać:
Wymagane: minimalne dane niezbędne do zapewnienia Ochrona punktu końcowego w usłudze Microsoft Defender bezpieczeństwa, aktualności i wykonywania zgodnie z oczekiwaniami na zainstalowanym urządzeniu.
Opcjonalnie: Dodatkowe dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i korygowanie problemów.
Domyślnie do firmy Microsoft są wysyłane tylko wymagane dane diagnostyczne.
Dane ochrony dostarczanej w chmurze
Ochrona dostarczana w chmurze służy do zapewnienia zwiększonej i szybszej ochrony dzięki dostępowi do najnowszych danych ochrony w chmurze.
Włączenie usługi ochrony dostarczanej w chmurze jest opcjonalne, jednak jest wysoce zalecane, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem w punktach końcowych i w sieci.
Przykładowe dane
Przykładowe dane służą do poprawy możliwości ochrony produktu, wysyłając podejrzane próbki firmy Microsoft, aby można je było przeanalizować. Włączenie automatycznego przesyłania przykładów jest opcjonalne.
Po włączeniu tej funkcji i pobranym przykładzie prawdopodobnie będą zawierać dane osobowe, użytkownik zostanie poproszony o zgodę.
Zarządzanie mechanizmami ochrony prywatności za pomocą ustawień zasad
Jeśli jesteś administratorem IT, możesz skonfigurować te kontrolki na poziomie przedsiębiorstwa.
Mechanizmy kontroli prywatności dla różnych typów danych opisanych w poprzedniej sekcji zostały szczegółowo opisane w temacie Ustawianie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.
Podobnie jak w przypadku nowych ustawień zasad, należy dokładnie przetestować je w ograniczonym, kontrolowanym środowisku, aby upewnić się, że skonfigurowane ustawienia mają żądany efekt przed wdrożeniem ustawień zasad szerzej w organizacji.
Zdarzenia danych diagnostycznych
W tej sekcji opisano, co jest uważane za wymagane dane diagnostyczne i co jest uważane za opcjonalne dane diagnostyczne, wraz z opisem zdarzeń i pól, które są zbierane.
Pola danych, które są wspólne dla wszystkich zdarzeń
Istnieje kilka informacji o wydarzeniach wspólnych dla wszystkich zdarzeń niezależnie od kategorii lub podtypu danych.
Następujące pola są uważane za typowe dla wszystkich zdarzeń:
| Pole | Opis |
|---|---|
| Platformy | Szeroka klasyfikacja platformy, na której działa aplikacja. Umożliwia firmie Microsoft określenie, na których platformach może wystąpić problem, aby można było poprawnie określić jego priorytety. |
| machine_guid | Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
| sense_guid | Unikatowy identyfikator skojarzony z urządzeniem. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
| org_id | Unikatowy identyfikator skojarzony z przedsiębiorstwem, do którego należy urządzenie. Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw przedsiębiorstw i ilu przedsiębiorstw ma wpływ. |
| Nazwa hosta | Nazwa urządzenia lokalnego (bez sufiksu DNS). Umożliwia firmie Microsoft określenie, czy problemy mają wpływ na wybrany zestaw instalacji i ilu użytkowników ma wpływ. |
| product_guid | Unikatowy identyfikator produktu. Umożliwia firmie Microsoft rozróżnianie problemów wpływających na różne smaki produktu. |
| app_version | Wersja Ochrona punktu końcowego w usłudze Microsoft Defender w aplikacji systemu macOS. Umożliwia firmie Microsoft określenie, które wersje produktu wykazują problem, aby można było poprawnie określić jego priorytety. |
| sig_version | Wersja bazy danych analizy zabezpieczeń. Umożliwia firmie Microsoft określenie, które wersje analizy zabezpieczeń wykazują problem, aby można było prawidłowo określić jego priorytety. |
| supported_compressions | Lista algorytmów kompresji obsługiwanych przez aplikację, na przykład ['gzip']. Umożliwia firmie Microsoft zrozumienie, jakich typów kompresji można używać podczas komunikowania się z aplikacją. |
| release_ring | Pierścień skojarzony z urządzeniem (na przykład Insider Fast, Insider Slow, Production). Umożliwia firmie Microsoft określenie, na którym pierścieniu wydania może wystąpić problem, aby można było prawidłowo określić jego priorytet. |
Wymagane dane diagnostyczne
Wymagane dane diagnostyczne to minimalne dane niezbędne do zapewnienia Ochrona punktu końcowego w usłudze Microsoft Defender bezpieczeństwa, aktualności i wykonywania zgodnie z oczekiwaniami na zainstalowanym urządzeniu.
Wymagane dane diagnostyczne pomagają zidentyfikować problemy z Ochrona punktu końcowego w usłudze Microsoft Defender, które mogą być związane z konfiguracją urządzenia lub oprogramowania. Może to na przykład pomóc w ustaleniu, czy funkcja Ochrona punktu końcowego w usłudze Microsoft Defender częściej ulega awarii w określonej wersji systemu operacyjnego, z nowo wprowadzonymi funkcjami lub gdy niektóre Ochrona punktu końcowego w usłudze Microsoft Defender funkcje są wyłączone. Wymagane dane diagnostyczne pomagają firmie Microsoft szybciej wykrywać, diagnozować i rozwiązywać te problemy, aby zmniejszyć wpływ na użytkowników lub organizacje.
Konfiguracja oprogramowania i zdarzenia danych zapasów
Ochrona punktu końcowego w usłudze Microsoft Defender instalacji/odinstalowywania:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| correlation_id | Unikatowy identyfikator skojarzony z instalacją. |
| Wersja | Wersja pakietu. |
| Ważności | Ważność komunikatu (na przykład Informacje). |
| Kod | Kod opisujący operację. |
| Tekst | Dodatkowe informacje skojarzone z instalacją produktu. |
konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| antivirus_engine.enable_real_time_protection | Czy ochrona w czasie rzeczywistym jest włączona na urządzeniu, czy nie. |
| antivirus_engine.passive_mode | Czy tryb pasywny jest włączony na urządzeniu, czy nie. |
| cloud_service.enabled | Czy na urządzeniu włączono ochronę dostarczaną przez chmurę, czy nie. |
| cloud_service.limit czasu | Przekrocz limit czasu, gdy aplikacja komunikuje się z chmurą Ochrona punktu końcowego w usłudze Microsoft Defender. |
| cloud_service.heartbeat_interval | Interwał między kolejnymi pulsami wysyłanych przez produkt do chmury. |
| cloud_service.service_uri | Identyfikator URI używany do komunikacji z chmurą. |
| cloud_service.diagnostic_level | Poziom diagnostyczny urządzenia (wymagany, opcjonalny). |
| cloud_service.automatic_sample_submission | Czy automatyczne przesyłanie przykładów jest włączone, czy nie. |
| cloud_service.automatic_definition_update_enabled | Czy automatyczna aktualizacja definicji jest włączona, czy nie. |
| edr.early_preview | Czy na urządzeniu powinny działać funkcje wczesnej wersji zapoznawczej EDR. |
| edr.group_id | Identyfikator grupy używany przez składnik wykrywania i odpowiedzi. |
| edr.tags | Tagi zdefiniowane przez użytkownika. |
| Funkcje. [opcjonalna nazwa funkcji] | Lista funkcji w wersji zapoznawczej wraz z tym, czy są włączone, czy nie. |
Zdarzenia danych dotyczące użycia produktów i usług
Raport aktualizacji analizy zabezpieczeń:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| from_version | Oryginalna wersja analizy zabezpieczeń. |
| to_version | Nowa wersja analizy zabezpieczeń. |
| Stan | Stan aktualizacji wskazujący powodzenie lub niepowodzenie. |
| using_proxy | Czy aktualizacja została wykonana za pośrednictwem serwera proxy. |
| Błąd | Kod błędu, jeśli aktualizacja nie powiodła się. |
| Powodu | Komunikat o błędzie, jeśli zaktualizowano plik złożony. |
Zdarzenia danych wydajności produktu i usługi dla wymaganych danych diagnostycznych
Nieoczekiwane zamknięcie aplikacji (awaria):
Zbiera informacje o systemie i stan aplikacji, gdy aplikacja nieoczekiwanie kończy pracę.
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| v1_crash_count | Liczba awarii procesu aparatu w wersji 1 co godzinę na maszynie klienckiej |
| v2_crash_count | Liczba awarii procesu aparatu w wersji 2 co godzinę na maszynie klienckiej |
| EDR_crash_count | Liczba awarii procesu EDR co godzinę na maszynie klienckiej |
Statystyki rozszerzeń jądra:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| Wersja | Wersja Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS. |
| instance_id | Unikatowy identyfikator wygenerowany podczas uruchamiania rozszerzenia jądra. |
| trace_level | Poziom śledzenia rozszerzenia jądra. |
| Podsystemu | Bazowy podsystem używany do ochrony w czasie rzeczywistym. |
| ipc.connects | Liczba żądań połączenia odebranych przez rozszerzenie jądra. |
| ipc.rejects | Liczba żądań połączenia odrzuconych przez rozszerzenie jądra. |
| ipc.connected | Czy istnieje aktywne połączenie z rozszerzeniem jądra. |
Dane pomocy technicznej
Dzienniki diagnostyczne:
Dzienniki diagnostyczne są zbierane tylko za zgodą użytkownika w ramach funkcji przesyłania opinii. Następujące pliki są zbierane w ramach dzienników pomocy technicznej:
- Wszystkie pliki w obszarze /Library/Logs/Microsoft/mdatp/
- Podzbiór plików w obszarze /Library/Application Support/Microsoft/Defender/, które są tworzone i używane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
- Podzbiór plików w obszarze /Library/Managed Preferences, które są używane przez Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Opcjonalne dane diagnostyczne
Opcjonalne dane diagnostyczne to dodatkowe dane, które ułatwiają firmie Microsoft wprowadzanie ulepszeń produktów i udostępniają ulepszone informacje ułatwiające wykrywanie, diagnozowanie i rozwiązywanie problemów.
Jeśli zdecydujesz się wysłać nam opcjonalne dane diagnostyczne, wymagane dane diagnostyczne również zostaną dołączone.
Przykłady opcjonalnych danych diagnostycznych obejmują dane zbierane przez firmę Microsoft na temat konfiguracji produktu (na przykład liczby wykluczeń ustawionych na urządzeniu) i wydajności produktu (zagregowane miary dotyczące wydajności składników produktu).
Zdarzenia konfiguracji oprogramowania i danych spisu dla opcjonalnych danych diagnostycznych
konfiguracja Ochrona punktu końcowego w usłudze Microsoft Defender:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| connection_retry_timeout | Limit czasu ponawiania próby połączenia podczas komunikacji z chmurą. |
| file_hash_cache_maximum | Rozmiar pamięci podręcznej produktu. |
| crash_upload_daily_limit | Limit dzienników awarii przekazywanych codziennie. |
| antivirus_engine.exclusions[].is_directory | Czy wykluczenie ze skanowania jest katalogiem, czy nie. |
| antivirus_engine.exclusions[].path | Ścieżka, która została wykluczona ze skanowania. |
| antivirus_engine.exclusions[].extension | Rozszerzenie wykluczone ze skanowania. |
| antivirus_engine.exclusions[].name | Nazwa pliku wykluczonego ze skanowania. |
| antivirus_engine.scan_cache_maximum | Rozmiar pamięci podręcznej produktu. |
| antivirus_engine.maximum_scan_threads | Maksymalna liczba wątków używanych do skanowania. |
| antivirus_engine.threat_restoration_exclusion_time | Przekroczono limit czasu przed ponownym wykryciem pliku przywróconego z kwarantanny. |
| antivirus_engine.threat_type_settings | Konfiguracja sposobu obsługi różnych typów zagrożeń przez produkt. |
| filesystem_scanner.full_scan_directory | Pełny katalog skanowania. |
| filesystem_scanner.quick_scan_directories | Lista katalogów używanych w szybkim skanowaniu. |
| edr.latency_mode | Tryb opóźnienia używany przez składnik wykrywania i odpowiedzi. |
| edr.proxy_address | Adres proxy używany przez składnik wykrywania i odpowiedzi. |
Konfiguracja automatycznej aktualizacji firmy Microsoft:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| how_to_check | Określa, jak są sprawdzane aktualizacje produktów (na przykład automatyczne lub ręczne). |
| channel_name | Zaktualizuj kanał skojarzony z urządzeniem. |
| manifest_server | Serwer używany do pobierania aktualizacji. |
| update_cache | Lokalizacja pamięci podręcznej używanej do przechowywania aktualizacji. |
Użycie produktów i usług
Rozpoczęty raport dotyczący przekazywania dziennika diagnostycznego
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| sha256 | Identyfikator SHA256 dziennika pomocy technicznej. |
| Rozmiar | Rozmiar dziennika pomocy technicznej. |
| original_path | Ścieżka do dziennika pomocy technicznej (zawsze w obszarze /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Formacie | Format dziennika pomocy technicznej. |
| Metadanych | Informacje o zawartości dziennika pomocy technicznej. |
Ukończono przekazywanie dziennika diagnostycznego
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| Request_id | Identyfikator korelacji dla żądania przekazania dziennika pomocy technicznej. |
| sha256 | Identyfikator SHA256 dziennika pomocy technicznej. |
| blob_sas_uri | Identyfikator URI używany przez aplikację do przekazywania dziennika pomocy technicznej. |
Zdarzenia danych wydajności produktów i usług dla użycia produktów i usług
Nieoczekiwane zamknięcie aplikacji (awaria):
Niespodziewane zakończenie działania aplikacji oraz stan aplikacji w momencie takiego zdarzenia.
Statystyki rozszerzeń jądra:
Zbierane są dane z następujących pól:
| Pole | Opis |
|---|---|
| pkt_ack_timeout | Następujące właściwości to zagregowane wartości liczbowe reprezentujące liczbę zdarzeń, które wystąpiły od czasu uruchomienia rozszerzenia jądra. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.maska | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.rozwidlenie | |
| ipc.kauth.file_op.create |
Zasoby
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.