Privacidade para Microsoft Defender para Endpoint no Linux
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A Microsoft está empenhada em fornecer-lhe as informações e controlos necessários para escolher a forma como os seus dados são recolhidos e utilizados quando estiver a utilizar o Defender para Endpoint no Linux.
Este artigo descreve os controlos de privacidade disponíveis no produto, como gerir estes controlos com definições de política e mais detalhes sobre os eventos de dados que são recolhidos.
Descrição geral dos controlos de privacidade no Microsoft Defender para Endpoint no Linux
Esta secção descreve os controlos de privacidade para os diferentes tipos de dados que são recolhidos pelo Defender para Endpoint no Linux.
Dados de diagnóstico
Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto.
Alguns dados de diagnóstico são obrigatórios, enquanto outros dados de diagnóstico são opcionais. Damos-lhe a capacidade de escolher se pretende enviar-nos dados de diagnóstico obrigatórios ou opcionais através de controlos de privacidade, tais como definições de política para organizações.
Existem dois níveis de dados de diagnóstico para o software de cliente do Defender para Endpoint que pode escolher:
- Obrigatório: os dados mínimos necessários para ajudar a manter o Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.
- Opcional: outros dados que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e remediar problemas.
Por predefinição, apenas os dados de diagnóstico obrigatórios são enviados à Microsoft.
Dados de proteção fornecidos pela cloud
A proteção fornecida pela cloud é utilizada para proporcionar uma proteção maior e mais rápida com acesso aos dados de proteção mais recentes na cloud.
Ativar o serviço de proteção fornecido na cloud é opcional, no entanto, é altamente recomendado porque fornece proteção importante contra software maligno nos seus pontos finais e em toda a sua rede.
Dados de exemplo
Os dados de exemplo são utilizados para melhorar as capacidades de proteção do produto ao enviar amostras suspeitas da Microsoft para que possam ser analisados. Ativar a submissão automática de exemplo é opcional.
Existem três níveis para controlar a submissão de amostras:
- Nenhum: não são submetidos exemplos suspeitos à Microsoft.
- Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Este é o valor predefinido.
- Todos: todos os exemplos suspeitos são submetidos à Microsoft.
Faça a gestão de controlos de privacidade com definições de política
Se for um administrador de TI, poderá querer configurar estes controlos ao nível da empresa.
Os controlos de privacidade dos vários tipos de dados descritos na secção anterior são descritos em detalhe em Definir preferências do Defender para Endpoint no Linux.
Tal como acontece com as novas definições de política, deve testá-las cuidadosamente num ambiente limitado e controlado para garantir que as definições que configura têm o efeito desejado antes de implementar as definições de política mais amplamente na sua organização.
Eventos de dados de diagnóstico
Esta secção descreve o que são considerados dados de diagnóstico obrigatórios e o que são considerados dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos que são recolhidos.
Campos de dados comuns a todos os eventos
Existem algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou subtipo de dados.
Os seguintes campos são considerados comuns para todos os eventos:
| Campo | Descrição |
|---|---|
| plataforma | A ampla classificação da plataforma na qual a aplicação está em execução. Permite que a Microsoft identifique em que plataformas um problema pode estar a ocorrer para que possa ser priorizada corretamente. |
| machine_guid | Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| sense_guid | Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| org_id | Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão a afetar um conjunto selecionado de empresas e quantas empresas são afetadas. |
| nome do anfitrião | Nome do dispositivo local (sem sufixo DNS). Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| product_guid | Identificador exclusivo do produto. Permite à Microsoft diferenciar problemas que afetam diferentes variantes do produto. |
| app_version | Versão do Defender para Endpoint na aplicação Linux. Permite que a Microsoft identifique que versões do produto estão a mostrar um problema para que possa ser priorizada corretamente. |
| sig_version | Versão da base de dados de informações de segurança. Permite que a Microsoft identifique que versões das informações de segurança estão a mostrar um problema para que possa ser priorizada corretamente. |
| supported_compressions | Lista de algoritmos de compressão suportados pela aplicação, por exemplo ['gzip']. Permite que a Microsoft compreenda que tipos de compressões podem ser utilizadas quando comunica com a aplicação. |
| release_ring | Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em que cadência de versão pode estar a ocorrer um problema para que possa ser priorizada corretamente. |
Dados de diagnóstico obrigatórios
Os dados de diagnóstico obrigatórios são os dados mínimos necessários para ajudar a manter o Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.
Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Endpoint que podem estar relacionados com uma configuração de dispositivo ou software. Por exemplo, pode ajudar a determinar se uma funcionalidade do Defender para Endpoint falha com mais frequência numa versão específica do sistema operativo, com funcionalidades recentemente introduzidas ou quando determinadas funcionalidades do Defender para Endpoint estão desativadas. Os dados de diagnóstico necessários ajudam a Microsoft a detetar, diagnosticar e corrigir estes problemas mais rapidamente para que o impacto para os utilizadores ou organizações seja reduzido.
Eventos de dados de configuração e inventário do software
Microsoft Defender para Endpoint instalação/desinstalação:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| correlation_id | Identificador exclusivo associado à instalação. |
| Versão | Versão do pacote. |
| gravidade | Gravidade da mensagem (por exemplo, Informativo). |
| código | Código que descreve a operação. |
| Texto | Informações adicionais associadas à instalação do produto. |
Microsoft Defender para Endpoint configuração:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| antivirus_engine.enable_real_time_protection | Se a proteção em tempo real está ativada no dispositivo ou não. |
| antivirus_engine.passive_mode | Se o modo passivo está ativado no dispositivo ou não. |
| cloud_service.enabled | Se a proteção fornecida pela cloud está ou não ativada no dispositivo. |
| cloud_service.timeout | Tempo limite excedido quando a aplicação comunica com a cloud do Defender para Endpoint. |
| cloud_service.heartbeat_interval | Intervalo entre heartbeats consecutivos enviados pelo produto para a cloud. |
| cloud_service.service_uri | URI utilizado para comunicar com a cloud. |
| cloud_service.diagnostic_level | Nível de diagnóstico do dispositivo (obrigatório, opcional). |
| cloud_service.automatic_sample_submission | Nível de submissão automática de exemplo do dispositivo (nenhum, seguro, tudo). |
| cloud_service.automatic_definition_update_enabled | Se a atualização automática de definições está ativada ou não. |
| edr.early_preview | Se o dispositivo deve executar as funcionalidades de pré-visualização antecipada do EDR. |
| edr.group_id | Identificador de grupo utilizado pelo componente de deteção e resposta. |
| edr.tags | Etiquetas definidas pelo utilizador. |
| funcionalidades. [nome da funcionalidade opcional] | Lista de funcionalidades de pré-visualização, juntamente com se estão ativadas ou não. |
Eventos de dados de utilização do produto e do serviço
Relatório de atualização de informações de segurança:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| from_version | Versão original das informações de segurança. |
| to_version | Nova versão das informações de segurança. |
| estado | Estado da atualização que indica êxito ou falha. |
| using_proxy | Se a atualização foi feita através de um proxy. |
| erro | Código de erro se a atualização tiver falhado. |
| motivo | Mensagem de erro se a atualização tiver falhado. |
Eventos de dados de desempenho de produtos e serviços para dados de diagnóstico necessários
Estatísticas da extensão do kernel:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| Versão | Versão do Defender para Endpoint no Linux. |
| instance_id | Identificador exclusivo gerado no arranque da extensão de kernel. |
| trace_level | Nível de rastreio da extensão de kernel. |
| subsistema | O subsistema subjacente utilizado para proteção em tempo real. |
| ipc.connects | Número de pedidos de ligação recebidos pela extensão de kernel. |
| ipc.rejects | Número de pedidos de ligação rejeitados pela extensão de kernel. |
| ipc.connected | Se existe alguma ligação ativa à extensão de kernel. |
Dados de suporte
Registos de diagnóstico:
Os registos de diagnóstico são recolhidos apenas com o consentimento do utilizador como parte da funcionalidade de submissão de comentários. Os seguintes ficheiros são recolhidos como parte dos registos de suporte:
- Todos os ficheiros em /var/log/microsoft/mdatp
- Subconjunto de ficheiros em /etc/opt/microsoft/mdatp que são criados e utilizados pelo Defender para Endpoint no Linux
- Registos de instalação e desinstalação do produto em /var/log/microsoft/mdatp/*.log
Dados de diagnóstico opcionais
Os dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e corrigir problemas.
Se optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico obrigatórios também são incluídos.
Exemplos de dados de diagnóstico opcionais incluem dados que a Microsoft recolhe sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).
Eventos de dados de configuração e inventário de software para dados de diagnóstico opcionais
Microsoft Defender para Endpoint configuração:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| connection_retry_timeout | O tempo limite de repetição da ligação é excedido quando a comunicação com a cloud é excedida. |
| file_hash_cache_maximum | Tamanho da cache do produto. |
| crash_upload_daily_limit | Limite de registos de falhas carregados diariamente. |
| antivirus_engine.exclusions[].is_directory | Se a exclusão da análise é ou não um diretório. |
| antivirus_engine.exclusions[].path | Caminho que foi excluído da análise. |
| antivirus_engine.exclusions[].extension | Extensão excluída da análise. |
| antivirus_engine.exclusions[].name | Nome do ficheiro excluído da análise. |
| antivirus_engine.scan_cache_maximum | Tamanho da cache do produto. |
| antivirus_engine.maximum_scan_threads | Número máximo de threads utilizados para análise. |
| antivirus_engine.threat_restoration_exclusion_time | Tempo limite excedido antes de um ficheiro restaurado a partir da quarentena poder ser detetado novamente. |
| antivirus_engine.threat_type_settings | Configuração para a forma como os diferentes tipos de ameaças são processados pelo produto. |
| filesystem_scanner.full_scan_directory | Diretório de análise completo. |
| filesystem_scanner.quick_scan_directories | Lista de diretórios utilizados na análise rápida. |
| edr.latency_mode | Modo de latência utilizado pelo componente de deteção e resposta. |
| edr.proxy_address | Endereço proxy utilizado pelo componente de deteção e resposta. |
Configuração da Atualização Automática da Microsoft:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| how_to_check | Determina a forma como as atualizações de produtos são verificadas (por exemplo, automáticas ou manuais). |
| channel_name | Canal de atualização associado ao dispositivo. |
| manifest_server | Servidor utilizado para transferir atualizações. |
| update_cache | Localização da cache utilizada para armazenar atualizações. |
Utilização do produto e do serviço
Relatório de início do carregamento do registo de diagnósticos
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| sha256 | Identificador SHA256 do registo de suporte. |
| tamanho | Tamanho do registo de suporte. |
| original_path | Caminho para o registo de suporte (sempre em /var/opt/microsoft/mdatp/wdavdiag/). |
| formato | Formato do registo de suporte. |
Relatório concluído do carregamento do registo de diagnósticos
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| request_id | ID de Correlação do pedido de carregamento do registo de suporte. |
| sha256 | Identificador SHA256 do registo de suporte. |
| blob_sas_uri | URI utilizado pela aplicação para carregar o registo de suporte. |
Eventos de dados de desempenho de produtos e serviços para utilização e serviço de produtos
Saída inesperada da aplicação (falha):
Saída inesperada da aplicação e o estado da aplicação quando tal acontece.
Estatísticas da extensão do kernel:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| pkt_ack_timeout | As seguintes propriedades são valores numéricos agregados, que representam a contagem de eventos ocorridos desde o arranque da extensão de kernel. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Recursos
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.