Privacidade para Microsoft Defender para Ponto de Extremidade no macOS
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
A Microsoft está comprometida em fornecer as informações e controles necessários para fazer escolhas sobre como seus dados são coletados e usados quando você estiver usando Microsoft Defender para Ponto de Extremidade no macOS.
Este tópico descreve os controles de privacidade disponíveis no produto, como gerenciar esses controles com configurações de política e mais detalhes sobre os eventos de dados coletados.
Esta seção descreve os controles de privacidade para os diferentes tipos de dados coletados pelo Microsoft Defender para Ponto de Extremidade no macOS.
Os dados de diagnóstico são usados para manter Microsoft Defender para Ponto de Extremidade seguros e atualizados, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto.
Alguns dados de diagnóstico são necessários, enquanto alguns dados de diagnóstico são opcionais. Oferecemos a você a possibilidade de escolher se nos enviará dados de diagnóstico obrigatórios ou opcionais por meio do uso de controles de privacidade, como configurações de políticas para organizações.
Há dois níveis de dados de diagnóstico para Microsoft Defender para Ponto de Extremidade software cliente que você pode escolher:
Necessário: os dados mínimos necessários para ajudar a manter Microsoft Defender para Ponto de Extremidade seguros, atualizados e executados conforme o esperado no dispositivo em que ele está instalado.
Opcional: dados adicionais que ajudam a Microsoft a fazer melhorias no produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.
Por padrão, somente os dados de diagnóstico necessários são enviados para a Microsoft.
A proteção fornecida pela nuvem é usada para fornecer proteção cada vez mais rápida com acesso aos dados de proteção mais recentes na nuvem.
Habilitar o serviço de proteção entregue na nuvem é opcional, no entanto, é altamente recomendável porque fornece proteção importante contra malware em seus pontos de extremidade e em toda a sua rede.
Os dados de exemplo são usados para melhorar os recursos de proteção do produto, enviando exemplos suspeitos da Microsoft para que possam ser analisados. Habilitar o envio automático de exemplo é opcional.
Quando esse recurso está habilitado e o exemplo coletado provavelmente conterá informações pessoais, o usuário será solicitado a consentir.
Se você for um administrador de TI, talvez queira configurar esses controles no nível da empresa.
Os controles de privacidade para os vários tipos de dados descritos na seção anterior são descritos em detalhes em Definir preferências para Microsoft Defender para Ponto de Extremidade no macOS.
Assim como em qualquer nova configuração de política, você deve testá-las cuidadosamente em um ambiente limitado e controlado para garantir que as configurações configuradas tenham o efeito desejado antes de implementar as configurações de política de forma mais ampla em sua organização.
Esta seção descreve o que é considerado dados de diagnóstico necessários e o que é considerado dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos coletados.
Há algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou do subtipo de dados.
Os seguintes campos são considerados comuns para todos os eventos:
Campo | Descrição |
---|---|
plataforma | A classificação ampla da plataforma na qual o aplicativo está em execução. Permite que a Microsoft identifique em quais plataformas um problema pode estar ocorrendo para que ele possa ser priorizado corretamente. |
machine_guid | Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
sense_guid | Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
org_id | Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de empresas e quantas empresas são afetadas. |
Hostname | Nome do dispositivo local (sem sufixo DNS). Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
product_guid | Identificador exclusivo do produto. Permite que a Microsoft diferencie problemas que afetam diferentes sabores do produto. |
app_version | Versão do Microsoft Defender para Ponto de Extremidade no aplicativo macOS. Permite que a Microsoft identifique quais versões do produto estão mostrando um problema para que ele possa ser priorizado corretamente. |
sig_version | Versão do banco de dados de inteligência de segurança. Permite que a Microsoft identifique quais versões da inteligência de segurança estão mostrando um problema para que ela possa ser priorizada corretamente. |
supported_compressions | Lista de algoritmos de compactação com suporte pelo aplicativo, por exemplo ['gzip'] . Permite que a Microsoft entenda quais tipos de compressões podem ser usadas quando se comunica com o aplicativo. |
release_ring | Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em qual anel de versão um problema pode estar ocorrendo para que ele possa ser priorizado corretamente. |
Os dados de diagnóstico necessários são os dados mínimos necessários para ajudar a manter Microsoft Defender para Ponto de Extremidade seguros, atualizados e executados conforme o esperado no dispositivo em que ele está instalado.
Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Ponto de Extremidade que podem estar relacionados a uma configuração de dispositivo ou software. Por exemplo, ele pode ajudar a determinar se um recurso Microsoft Defender para Ponto de Extremidade falha com mais frequência em uma determinada versão do sistema operacional, com recursos recém-introduzidos ou quando determinados recursos Microsoft Defender para Ponto de Extremidade estão desabilitados. Os dados de diagnóstico necessários ajudam a Microsoft a detectar, diagnosticar e corrigir esses problemas mais rapidamente para que o impacto para usuários ou organizações seja reduzido.
Microsoft Defender para Ponto de Extremidade instalação/desinstalação:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
correlation_id | Identificador exclusivo associado à instalação. |
versão | Versão do pacote. |
severity | Gravidade da mensagem (por exemplo, Informativo). |
código | Código que descreve a operação. |
texto | Informações adicionais associadas à instalação do produto. |
Microsoft Defender para Ponto de Extremidade configuração:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
antivirus_engine.enable_real_time_protection | Se a proteção em tempo real está habilitada no dispositivo ou não. |
antivirus_engine.passive_mode | Se o modo passivo está habilitado no dispositivo ou não. |
cloud_service.habilitado | Se a proteção fornecida pela nuvem está habilitada no dispositivo ou não. |
cloud_service.timeout | Tempo limite quando o aplicativo se comunica com a nuvem Microsoft Defender para Ponto de Extremidade. |
cloud_service.heartbeat_interval | Intervalo entre pulsações consecutivas enviadas pelo produto para a nuvem. |
cloud_service.service_uri | URI usado para se comunicar com a nuvem. |
cloud_service.diagnostic_level | Nível de diagnóstico do dispositivo (necessário, opcional). |
cloud_service.automatic_sample_submission | Se o envio automático de exemplo está ativado ou não. |
cloud_service.automatic_definition_update_enableed | Se a atualização de definição automática está ativada ou não. |
edr.early_preview | Se o dispositivo deve executar recursos de visualização antecipada do EDR. |
edr.group_id | Identificador de grupo usado pelo componente de detecção e resposta. |
edr.tags | Marcas definidas pelo usuário. |
Características. [nome do recurso opcional] | Lista de recursos de visualização, juntamente com se eles estão habilitados ou não. |
Relatório de atualização de inteligência de segurança:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
from_version | Versão original de inteligência de segurança. |
to_version | Nova versão de inteligência de segurança. |
status | Status da atualização que indica êxito ou falha. |
using_proxy | Se a atualização foi feita por meio de um proxy. |
erro | Código de erro se a atualização falhar. |
motivo | Mensagem de erro se o arquivo atualizado. |
Saída inesperada do aplicativo (falha):
Coleta informações do sistema e o estado de um aplicativo quando um aplicativo sai inesperadamente.
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
v1_crash_count | Número de vezes que o processo do mecanismo V1 falhou a cada hora no computador cliente |
v2_crash_count | Número de vezes que o processo do mecanismo V2 falhou a cada hora no computador cliente |
EDR_crash_count | Número de vezes que o processo EDR falha a cada hora no computador cliente |
Estatísticas de extensão do Kernel:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
versão | Versão do Microsoft Defender para Ponto de Extremidade no macOS. |
instance_id | Identificador exclusivo gerado na inicialização de extensão do kernel. |
trace_level | Nível de rastreamento da extensão do kernel. |
Subsistema | O subsistema subjacente usado para proteção em tempo real. |
ipc.connects | Número de solicitações de conexão recebidas pela extensão do kernel. |
ipc.rejects | Número de solicitações de conexão rejeitadas pela extensão do kernel. |
ipc.connected | Se há alguma conexão ativa com a extensão do kernel. |
Logs de diagnóstico:
Os logs de diagnóstico são coletados apenas com o consentimento do usuário como parte do recurso de envio de comentários. Os seguintes arquivos são coletados como parte dos logs de suporte:
- Todos os arquivos em /Library/Logs/Microsoft/mdatp/
- Subconjunto de arquivos em /Library/Application Support/Microsoft/Defender/ que são criados e usados por Microsoft Defender para Ponto de Extremidade no macOS
- Subconjunto de arquivos em /Biblioteca/Preferências Gerenciadas que são usados por Microsoft Defender para Ponto de Extremidade no macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a fazer melhorias no produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.
Se você optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico necessários também serão incluídos.
Exemplos de dados de diagnóstico opcionais incluem dados coletados pela Microsoft sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).
Microsoft Defender para Ponto de Extremidade configuração:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
connection_retry_timeout | Tempo limite de repetição de conexão ao se comunicar com a nuvem. |
file_hash_cache_maximum | Tamanho do cache do produto. |
crash_upload_daily_limit | Limite de logs de falha carregados diariamente. |
antivirus_engine.exclusões[].is_directory | Se a exclusão da verificação é um diretório ou não. |
antivirus_engine.exclusions[].path | Caminho que foi excluído da verificação. |
antivirus_engine.exclusions[].extension | Extensão excluída da verificação. |
antivirus_engine.excludentes[].name | Nome do arquivo excluído da verificação. |
antivirus_engine.scan_cache_maximum | Tamanho do cache do produto. |
antivirus_engine.maximum_scan_threads | Número máximo de threads usados para verificação. |
antivirus_engine.threat_restoration_exclusion_time | Tempo limite antes que um arquivo restaurado da quarentena possa ser detectado novamente. |
antivirus_engine.threat_type_settings | Configuração de como diferentes tipos de ameaças são tratados pelo produto. |
filesystem_scanner.full_scan_directory | Diretório de verificação completo. |
filesystem_scanner.quick_scan_directories | Lista de diretórios usados na verificação rápida. |
edr.latency_mode | Modo de latência usado pelo componente de detecção e resposta. |
edr.proxy_address | Endereço proxy usado pelo componente de detecção e resposta. |
Configuração de Atualização Automática da Microsoft:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
how_to_check | Determina como as atualizações de produto são verificadas (por exemplo, automáticas ou manuais). |
channel_name | Canal de atualização associado ao dispositivo. |
manifest_server | Servidor usado para baixar atualizações. |
update_cache | Local do cache usado para armazenar atualizações. |
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
sha256 | Identificador SHA256 do log de suporte. |
size | Tamanho do log de suporte. |
original_path | Caminho para o log de suporte (sempre em /Library/Application Support/Microsoft/Defender/wdavdiag/). |
format | Formato do log de suporte. |
Metadados | Informações sobre o conteúdo do log de suporte. |
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
Request_id | ID de correlação para a solicitação de carregamento de log de suporte. |
sha256 | Identificador SHA256 do log de suporte. |
blob_sas_uri | URI usado pelo aplicativo para carregar o log de suporte. |
Saída inesperada do aplicativo (falha):
Saídas inesperadas do aplicativo e o estado do aplicativo quando isso acontece.
Estatísticas de extensão do Kernel:
Os seguintes campos são coletados:
Campo | Descrição |
---|---|
pkt_ack_timeout | As propriedades a seguir são valores numéricos agregados, representando a contagem de eventos ocorridos desde a inicialização da extensão do kernel. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.negado | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.