Privacidade para Microsoft Defender para Ponto de Extremidade no Linux
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
A Microsoft está comprometida em fornecer as informações e controles necessários para fazer escolhas sobre como seus dados são coletados e usados quando você estiver usando o Defender para Ponto de Extremidade no Linux.
Este artigo descreve os controles de privacidade disponíveis no produto, como gerenciar esses controles com configurações de política e mais detalhes sobre os eventos de dados coletados.
Visão geral dos controles de privacidade no Microsoft Defender para Ponto de Extremidade no Linux
Esta seção descreve os controles de privacidade para os diferentes tipos de dados coletados pelo Defender para Ponto de Extremidade no Linux.
Dados de diagnóstico
Os dados de diagnóstico são usados para manter o Defender para Ponto de Extremidade seguro e atualizado, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto.
Alguns dados de diagnóstico são necessários, enquanto alguns dados de diagnóstico são opcionais. Oferecemos a você a capacidade de escolher se deseja nos enviar dados de diagnóstico obrigatórios ou opcionais usando controles de privacidade, como configurações de política para organizações.
Há dois níveis de dados de diagnóstico para o software cliente do Defender para Ponto de Extremidade que você pode escolher:
- Necessário: os dados mínimos necessários para ajudar a manter o Defender para Ponto de Extremidade seguro, atualizado e funcionando conforme o esperado no dispositivo em que ele está instalado.
- Opcional: outros dados que ajudam a Microsoft a aprimorar o produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.
Por padrão, somente os dados de diagnóstico necessários são enviados para a Microsoft.
Dados de proteção fornecidos pela nuvem
A proteção fornecida pela nuvem é usada para fornecer proteção cada vez mais rápida com acesso aos dados de proteção mais recentes na nuvem.
Habilitar o serviço de proteção entregue na nuvem é opcional, no entanto, é altamente recomendável porque fornece proteção importante contra malware em seus pontos de extremidade e em toda a sua rede.
Dados de exemplo
Os dados de exemplo são usados para melhorar os recursos de proteção do produto, enviando exemplos suspeitos da Microsoft para que possam ser analisados. Habilitar o envio automático de exemplo é opcional.
Há três níveis para controlar o envio de exemplo:
- Nenhum: nenhum exemplo suspeito é enviado à Microsoft.
- Seguro: somente exemplos suspeitos que não contêm informações identificáveis pessoalmente (PII) são enviados automaticamente. Esse é o valor padrão.
- Todos: todos os exemplos suspeitos são enviados para a Microsoft.
Gerenciar os controles de privacidade com as configurações de política
Se você for um administrador de TI, talvez queira configurar esses controles no nível da empresa.
Os controles de privacidade para os vários tipos de dados descritos na seção anterior são descritos em detalhes em Definir preferências para Defender para Ponto de Extremidade no Linux.
Assim como em qualquer nova configuração de política, você deve testá-las cuidadosamente em um ambiente limitado e controlado para garantir que as configurações configuradas tenham o efeito desejado antes de implementar as configurações de política de forma mais ampla em sua organização.
Eventos de dados de diagnóstico
Esta seção descreve o que é considerado dados de diagnóstico necessários e o que é considerado dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos coletados.
Campos de dados comuns para todos os eventos
Há algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou do subtipo de dados.
Os seguintes campos são considerados comuns para todos os eventos:
| Campo | Descrição |
|---|---|
| plataforma | A classificação ampla da plataforma na qual o aplicativo está em execução. Permite que a Microsoft identifique em quais plataformas um problema pode estar ocorrendo para que ele possa ser priorizado corretamente. |
| machine_guid | Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
| sense_guid | Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
| org_id | Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de empresas e quantas empresas são afetadas. |
| Hostname | Nome do dispositivo local (sem sufixo DNS). Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados. |
| product_guid | Identificador exclusivo do produto. Permite que a Microsoft diferencie problemas que afetam diferentes sabores do produto. |
| app_version | Versão do Defender para Ponto de Extremidade no aplicativo Linux. Permite que a Microsoft identifique quais versões do produto estão mostrando um problema para que ele possa ser priorizado corretamente. |
| sig_version | Versão do banco de dados de inteligência de segurança. Permite que a Microsoft identifique quais versões da inteligência de segurança estão mostrando um problema para que ela possa ser priorizada corretamente. |
| supported_compressions | Lista de algoritmos de compactação com suporte pelo aplicativo, por exemplo ['gzip']. Permite que a Microsoft entenda quais tipos de compressões podem ser usadas quando se comunica com o aplicativo. |
| release_ring | Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em qual anel de versão um problema pode estar ocorrendo para que ele possa ser priorizado corretamente. |
Dados de diagnóstico obrigatórios
Os dados de diagnóstico necessários são os dados mínimos necessários para ajudar a manter o Defender para Ponto de Extremidade seguro, atualizado e executado conforme o esperado no dispositivo em que está instalado.
Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Ponto de Extremidade que podem estar relacionados a uma configuração de dispositivo ou software. Por exemplo, ele pode ajudar a determinar se um recurso do Defender para Ponto de Extremidade falha com mais frequência em uma versão específica do sistema operacional, com recursos recém-introduzidos ou quando determinados recursos do Defender para Ponto de Extremidade são desabilitados. Os dados de diagnóstico necessários ajudam a Microsoft a detectar, diagnosticar e corrigir esses problemas mais rapidamente para que o impacto para usuários ou organizações seja reduzido.
Configuração do software e eventos de dados de inventário
Microsoft Defender para Ponto de Extremidade instalação/desinstalação:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| correlation_id | Identificador exclusivo associado à instalação. |
| versão | Versão do pacote. |
| severity | Gravidade da mensagem (por exemplo, Informativo). |
| código | Código que descreve a operação. |
| texto | Informações adicionais associadas à instalação do produto. |
Microsoft Defender para Ponto de Extremidade configuração:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| antivirus_engine.enable_real_time_protection | Se a proteção em tempo real está habilitada no dispositivo ou não. |
| antivirus_engine.passive_mode | Se o modo passivo está habilitado no dispositivo ou não. |
| cloud_service.habilitado | Se a proteção fornecida pela nuvem está habilitada no dispositivo ou não. |
| cloud_service.timeout | Tempo limite quando o aplicativo se comunica com a nuvem defender para ponto de extremidade. |
| cloud_service.heartbeat_interval | Intervalo entre pulsações consecutivas enviadas pelo produto para a nuvem. |
| cloud_service.service_uri | URI usado para se comunicar com a nuvem. |
| cloud_service.diagnostic_level | Nível de diagnóstico do dispositivo (necessário, opcional). |
| cloud_service.automatic_sample_submission | Nível de envio automático de exemplo do dispositivo (nenhum, seguro, tudo). |
| cloud_service.automatic_definition_update_enableed | Se a atualização de definição automática está ativada ou não. |
| edr.early_preview | Se o dispositivo deve executar recursos de visualização antecipada do EDR. |
| edr.group_id | Identificador de grupo usado pelo componente de detecção e resposta. |
| edr.tags | Marcas definidas pelo usuário. |
| Características. [nome do recurso opcional] | Lista de recursos de visualização, juntamente com se eles estão habilitados ou não. |
Produtos e eventos de dados e uso do serviço
Relatório de atualização de inteligência de segurança:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| from_version | Versão original de inteligência de segurança. |
| to_version | Nova versão de inteligência de segurança. |
| status | Status da atualização que indica êxito ou falha. |
| using_proxy | Se a atualização foi feita por meio de um proxy. |
| erro | Código de erro se a atualização falhar. |
| motivo | Mensagem de erro se a atualização falhar. |
Eventos de dados de desempenho de produto e serviço para dados de diagnóstico necessários
Estatísticas de extensão do Kernel:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| versão | Versão do Defender para Ponto de Extremidade no Linux. |
| instance_id | Identificador exclusivo gerado na inicialização de extensão do kernel. |
| trace_level | Nível de rastreamento da extensão do kernel. |
| Subsistema | O subsistema subjacente usado para proteção em tempo real. |
| ipc.connects | Número de solicitações de conexão recebidas pela extensão do kernel. |
| ipc.rejects | Número de solicitações de conexão rejeitadas pela extensão do kernel. |
| ipc.connected | Se há alguma conexão ativa com a extensão do kernel. |
Dados de suporte
Logs de diagnóstico:
Os logs de diagnóstico são coletados apenas com o consentimento do usuário como parte do recurso de envio de comentários. Os seguintes arquivos são coletados como parte dos logs de suporte:
- Todos os arquivos em /var/log/microsoft/mdatp
- Subconjunto de arquivos em /etc/opt/microsoft/mdatp que são criados e usados pelo Defender para Ponto de Extremidade no Linux
- Logs de instalação e desinstalação do produto em /var/log/microsoft/mdatp/*.log
Dados de diagnóstico opcionais
Dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a fazer melhorias no produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.
Se você optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico necessários também serão incluídos.
Exemplos de dados de diagnóstico opcionais incluem dados coletados pela Microsoft sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).
Eventos de dados de configuração de software e inventário para dados de diagnóstico opcionais
Microsoft Defender para Ponto de Extremidade configuração:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| connection_retry_timeout | Tempo limite de repetição de conexão ao se comunicar com a nuvem. |
| file_hash_cache_maximum | Tamanho do cache do produto. |
| crash_upload_daily_limit | Limite de logs de falha carregados diariamente. |
| antivirus_engine.exclusões[].is_directory | Se a exclusão da verificação é um diretório ou não. |
| antivirus_engine.exclusions[].path | Caminho que foi excluído da verificação. |
| antivirus_engine.exclusions[].extension | Extensão excluída da verificação. |
| antivirus_engine.excludentes[].name | Nome do arquivo excluído da verificação. |
| antivirus_engine.scan_cache_maximum | Tamanho do cache do produto. |
| antivirus_engine.maximum_scan_threads | Número máximo de threads usados para verificação. |
| antivirus_engine.threat_restoration_exclusion_time | Tempo limite antes que um arquivo restaurado da quarentena possa ser detectado novamente. |
| antivirus_engine.threat_type_settings | Configuração de como diferentes tipos de ameaças são tratados pelo produto. |
| filesystem_scanner.full_scan_directory | Diretório de verificação completo. |
| filesystem_scanner.quick_scan_directories | Lista de diretórios usados na verificação rápida. |
| edr.latency_mode | Modo de latência usado pelo componente de detecção e resposta. |
| edr.proxy_address | Endereço proxy usado pelo componente de detecção e resposta. |
Configuração de Atualização Automática da Microsoft:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| how_to_check | Determina como as atualizações de produto são verificadas (por exemplo, automáticas ou manuais). |
| channel_name | Canal de atualização associado ao dispositivo. |
| manifest_server | Servidor usado para baixar atualizações. |
| update_cache | Local do cache usado para armazenar atualizações. |
Uso de produtos e serviços
Relatório iniciado de upload de log de diagnóstico
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| sha256 | Identificador SHA256 do log de suporte. |
| size | Tamanho do log de suporte. |
| original_path | Caminho para o log de suporte (sempre em /var/opt/microsoft/mdatp/wdavdiag/). |
| format | Formato do log de suporte. |
Relatório concluído de upload de log de diagnóstico
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| Request_id | ID de correlação para a solicitação de carregamento de log de suporte. |
| sha256 | Identificador SHA256 do log de suporte. |
| blob_sas_uri | URI usado pelo aplicativo para carregar o log de suporte. |
Eventos de dados de desempenho do produto e do serviço para o serviço e o uso do produto
Saída inesperada do aplicativo (falha):
Saídas inesperadas do aplicativo e o estado do aplicativo quando isso acontece.
Estatísticas de extensão do Kernel:
Os seguintes campos são coletados:
| Campo | Descrição |
|---|---|
| pkt_ack_timeout | As propriedades a seguir são valores numéricos agregados, representando a contagem de eventos ocorridos desde a inicialização da extensão do kernel. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.negado | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Recursos
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de