Privacidade para Microsoft Defender para Ponto de Extremidade no macOS

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A Microsoft está comprometida em fornecer as informações e controles necessários para fazer escolhas sobre como seus dados são coletados e usados quando você estiver usando Microsoft Defender para Ponto de Extremidade no macOS.

Este tópico descreve os controles de privacidade disponíveis no produto, como gerenciar esses controles com configurações de política e mais detalhes sobre os eventos de dados coletados.

Visão geral dos controles de privacidade no Microsoft Defender para Ponto de Extremidade no macOS

Esta seção descreve os controles de privacidade para os diferentes tipos de dados coletados pelo Microsoft Defender para Ponto de Extremidade no macOS.

Dados de diagnóstico

Os dados de diagnóstico são usados para manter Microsoft Defender para Ponto de Extremidade seguros e atualizados, detectar, diagnosticar e corrigir problemas e também fazer melhorias no produto.

Alguns dados de diagnóstico são necessários, enquanto alguns dados de diagnóstico são opcionais. Oferecemos a você a possibilidade de escolher se nos enviará dados de diagnóstico obrigatórios ou opcionais por meio do uso de controles de privacidade, como configurações de políticas para organizações.

Há dois níveis de dados de diagnóstico para Microsoft Defender para Ponto de Extremidade software cliente que você pode escolher:

  • Necessário: os dados mínimos necessários para ajudar a manter Microsoft Defender para Ponto de Extremidade seguros, atualizados e executados conforme o esperado no dispositivo em que ele está instalado.

  • Opcional: dados adicionais que ajudam a Microsoft a fazer melhorias no produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.

Por padrão, somente os dados de diagnóstico necessários são enviados para a Microsoft.

Dados de proteção fornecidos pela nuvem

A proteção fornecida pela nuvem é usada para fornecer proteção cada vez mais rápida com acesso aos dados de proteção mais recentes na nuvem.

Habilitar o serviço de proteção entregue na nuvem é opcional, no entanto, é altamente recomendável porque fornece proteção importante contra malware em seus pontos de extremidade e em toda a sua rede.

Dados de exemplo

Os dados de exemplo são usados para melhorar os recursos de proteção do produto, enviando exemplos suspeitos da Microsoft para que possam ser analisados. Habilitar o envio automático de exemplo é opcional.

Quando esse recurso está habilitado e o exemplo coletado provavelmente conterá informações pessoais, o usuário será solicitado a consentir.

Gerenciar os controles de privacidade com as configurações de política

Se você for um administrador de TI, talvez queira configurar esses controles no nível da empresa.

Os controles de privacidade para os vários tipos de dados descritos na seção anterior são descritos em detalhes em Definir preferências para Microsoft Defender para Ponto de Extremidade no macOS.

Assim como em qualquer nova configuração de política, você deve testá-las cuidadosamente em um ambiente limitado e controlado para garantir que as configurações configuradas tenham o efeito desejado antes de implementar as configurações de política de forma mais ampla em sua organização.

Eventos de dados de diagnóstico

Esta seção descreve o que é considerado dados de diagnóstico necessários e o que é considerado dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos coletados.

Campos de dados comuns para todos os eventos

Há algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou do subtipo de dados.

Os seguintes campos são considerados comuns para todos os eventos:

Campo Descrição
plataforma A classificação ampla da plataforma na qual o aplicativo está em execução. Permite que a Microsoft identifique em quais plataformas um problema pode estar ocorrendo para que ele possa ser priorizado corretamente.
machine_guid Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados.
sense_guid Identificador exclusivo associado ao dispositivo. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados.
org_id Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de empresas e quantas empresas são afetadas.
Hostname Nome do dispositivo local (sem sufixo DNS). Permite que a Microsoft identifique se os problemas estão afetando um conjunto seleto de instalações e quantos usuários são afetados.
product_guid Identificador exclusivo do produto. Permite que a Microsoft diferencie problemas que afetam diferentes sabores do produto.
app_version Versão do Microsoft Defender para Ponto de Extremidade no aplicativo macOS. Permite que a Microsoft identifique quais versões do produto estão mostrando um problema para que ele possa ser priorizado corretamente.
sig_version Versão do banco de dados de inteligência de segurança. Permite que a Microsoft identifique quais versões da inteligência de segurança estão mostrando um problema para que ela possa ser priorizada corretamente.
supported_compressions Lista de algoritmos de compactação com suporte pelo aplicativo, por exemplo ['gzip']. Permite que a Microsoft entenda quais tipos de compressões podem ser usadas quando se comunica com o aplicativo.
release_ring Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em qual anel de versão um problema pode estar ocorrendo para que ele possa ser priorizado corretamente.

Dados de diagnóstico obrigatórios

Os dados de diagnóstico necessários são os dados mínimos necessários para ajudar a manter Microsoft Defender para Ponto de Extremidade seguros, atualizados e executados conforme o esperado no dispositivo em que ele está instalado.

Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Ponto de Extremidade que podem estar relacionados a uma configuração de dispositivo ou software. Por exemplo, ele pode ajudar a determinar se um recurso Microsoft Defender para Ponto de Extremidade falha com mais frequência em uma determinada versão do sistema operacional, com recursos recém-introduzidos ou quando determinados recursos Microsoft Defender para Ponto de Extremidade estão desabilitados. Os dados de diagnóstico necessários ajudam a Microsoft a detectar, diagnosticar e corrigir esses problemas mais rapidamente para que o impacto para usuários ou organizações seja reduzido.

Configuração do software e eventos de dados de inventário

Microsoft Defender para Ponto de Extremidade instalação/desinstalação:

Os seguintes campos são coletados:

Campo Descrição
correlation_id Identificador exclusivo associado à instalação.
versão Versão do pacote.
severity Gravidade da mensagem (por exemplo, Informativo).
código Código que descreve a operação.
texto Informações adicionais associadas à instalação do produto.

Microsoft Defender para Ponto de Extremidade configuração:

Os seguintes campos são coletados:

Campo Descrição
antivirus_engine.enable_real_time_protection Se a proteção em tempo real está habilitada no dispositivo ou não.
antivirus_engine.passive_mode Se o modo passivo está habilitado no dispositivo ou não.
cloud_service.habilitado Se a proteção fornecida pela nuvem está habilitada no dispositivo ou não.
cloud_service.timeout Tempo limite quando o aplicativo se comunica com a nuvem Microsoft Defender para Ponto de Extremidade.
cloud_service.heartbeat_interval Intervalo entre pulsações consecutivas enviadas pelo produto para a nuvem.
cloud_service.service_uri URI usado para se comunicar com a nuvem.
cloud_service.diagnostic_level Nível de diagnóstico do dispositivo (necessário, opcional).
cloud_service.automatic_sample_submission Se o envio automático de exemplo está ativado ou não.
cloud_service.automatic_definition_update_enableed Se a atualização de definição automática está ativada ou não.
edr.early_preview Se o dispositivo deve executar recursos de visualização antecipada do EDR.
edr.group_id Identificador de grupo usado pelo componente de detecção e resposta.
edr.tags Marcas definidas pelo usuário.
Características. [nome do recurso opcional] Lista de recursos de visualização, juntamente com se eles estão habilitados ou não.

Produtos e eventos de dados e uso do serviço

Relatório de atualização de inteligência de segurança:

Os seguintes campos são coletados:

Campo Descrição
from_version Versão original de inteligência de segurança.
to_version Nova versão de inteligência de segurança.
status Status da atualização que indica êxito ou falha.
using_proxy Se a atualização foi feita por meio de um proxy.
erro Código de erro se a atualização falhar.
motivo Mensagem de erro se o arquivo atualizado.

Eventos de dados de desempenho de produto e serviço para dados de diagnóstico necessários

Saída inesperada do aplicativo (falha):

Coleta informações do sistema e o estado de um aplicativo quando um aplicativo sai inesperadamente.

Os seguintes campos são coletados:

Campo Descrição
v1_crash_count Número de vezes que o processo do mecanismo V1 falhou a cada hora no computador cliente
v2_crash_count Número de vezes que o processo do mecanismo V2 falhou a cada hora no computador cliente
EDR_crash_count Número de vezes que o processo EDR falha a cada hora no computador cliente

Estatísticas de extensão do Kernel:

Os seguintes campos são coletados:

Campo Descrição
versão Versão do Microsoft Defender para Ponto de Extremidade no macOS.
instance_id Identificador exclusivo gerado na inicialização de extensão do kernel.
trace_level Nível de rastreamento da extensão do kernel.
Subsistema O subsistema subjacente usado para proteção em tempo real.
ipc.connects Número de solicitações de conexão recebidas pela extensão do kernel.
ipc.rejects Número de solicitações de conexão rejeitadas pela extensão do kernel.
ipc.connected Se há alguma conexão ativa com a extensão do kernel.

Dados de suporte

Logs de diagnóstico:

Os logs de diagnóstico são coletados apenas com o consentimento do usuário como parte do recurso de envio de comentários. Os seguintes arquivos são coletados como parte dos logs de suporte:

  • Todos os arquivos em /Library/Logs/Microsoft/mdatp/
  • Subconjunto de arquivos em /Library/Application Support/Microsoft/Defender/ que são criados e usados por Microsoft Defender para Ponto de Extremidade no macOS
  • Subconjunto de arquivos em /Biblioteca/Preferências Gerenciadas que são usados por Microsoft Defender para Ponto de Extremidade no macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Dados de diagnóstico opcionais

Dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a fazer melhorias no produto e fornece informações aprimoradas para ajudar a detectar, diagnosticar e corrigir problemas.

Se você optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico necessários também serão incluídos.

Exemplos de dados de diagnóstico opcionais incluem dados coletados pela Microsoft sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).

Eventos de dados de configuração de software e inventário para dados de diagnóstico opcionais

Microsoft Defender para Ponto de Extremidade configuração:

Os seguintes campos são coletados:

Campo Descrição
connection_retry_timeout Tempo limite de repetição de conexão ao se comunicar com a nuvem.
file_hash_cache_maximum Tamanho do cache do produto.
crash_upload_daily_limit Limite de logs de falha carregados diariamente.
antivirus_engine.exclusões[].is_directory Se a exclusão da verificação é um diretório ou não.
antivirus_engine.exclusions[].path Caminho que foi excluído da verificação.
antivirus_engine.exclusions[].extension Extensão excluída da verificação.
antivirus_engine.excludentes[].name Nome do arquivo excluído da verificação.
antivirus_engine.scan_cache_maximum Tamanho do cache do produto.
antivirus_engine.maximum_scan_threads Número máximo de threads usados para verificação.
antivirus_engine.threat_restoration_exclusion_time Tempo limite antes que um arquivo restaurado da quarentena possa ser detectado novamente.
antivirus_engine.threat_type_settings Configuração de como diferentes tipos de ameaças são tratados pelo produto.
filesystem_scanner.full_scan_directory Diretório de verificação completo.
filesystem_scanner.quick_scan_directories Lista de diretórios usados na verificação rápida.
edr.latency_mode Modo de latência usado pelo componente de detecção e resposta.
edr.proxy_address Endereço proxy usado pelo componente de detecção e resposta.

Configuração de Atualização Automática da Microsoft:

Os seguintes campos são coletados:

Campo Descrição
how_to_check Determina como as atualizações de produto são verificadas (por exemplo, automáticas ou manuais).
channel_name Canal de atualização associado ao dispositivo.
manifest_server Servidor usado para baixar atualizações.
update_cache Local do cache usado para armazenar atualizações.

Uso de produtos e serviços

Relatório iniciado de upload de log de diagnóstico

Os seguintes campos são coletados:

Campo Descrição
sha256 Identificador SHA256 do log de suporte.
size Tamanho do log de suporte.
original_path Caminho para o log de suporte (sempre em /Library/Application Support/Microsoft/Defender/wdavdiag/).
format Formato do log de suporte.
Metadados Informações sobre o conteúdo do log de suporte.

Relatório concluído de upload de log de diagnóstico

Os seguintes campos são coletados:

Campo Descrição
Request_id ID de correlação para a solicitação de carregamento de log de suporte.
sha256 Identificador SHA256 do log de suporte.
blob_sas_uri URI usado pelo aplicativo para carregar o log de suporte.

Eventos de dados de desempenho de produto e serviço para uso de produto e serviço

Saída inesperada do aplicativo (falha):

Saídas inesperadas do aplicativo e o estado do aplicativo quando isso acontece.

Estatísticas de extensão do Kernel:

Os seguintes campos são coletados:

Campo Descrição
pkt_ack_timeout As propriedades a seguir são valores numéricos agregados, representando a contagem de eventos ocorridos desde a inicialização da extensão do kernel.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.negado
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Recursos

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.