Partilhar via


Privacidade para Microsoft Defender para Endpoint no macOS

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A Microsoft está empenhada em fornecer-lhe as informações e controlos necessários para escolher a forma como os seus dados são recolhidos e utilizados quando estiver a utilizar Microsoft Defender para Endpoint no macOS.

Este tópico descreve os controlos de privacidade disponíveis no produto, como gerir estes controlos com definições de política e mais detalhes sobre os eventos de dados que são recolhidos.

Descrição geral dos controlos de privacidade no Microsoft Defender para Endpoint no macOS

Esta secção descreve os controlos de privacidade para os diferentes tipos de dados recolhidos pelo Microsoft Defender para Endpoint no macOS.

Dados de diagnóstico

Os dados de diagnóstico são utilizados para manter Microsoft Defender para Endpoint seguros e atualizados, detetar, diagnosticar e corrigir problemas e também melhorar o produto.

Alguns dados de diagnóstico são obrigatórios, enquanto outros dados de diagnóstico são opcionais. Damos-lhe a possibilidade de optar por enviar dados de diagnóstico obrigatórios ou opcionais através da utilização de controlos de privacidade, como as definições de política para organizações.

Existem dois níveis de dados de diagnóstico para Microsoft Defender para Endpoint software de cliente que pode escolher:

  • Obrigatório: os dados mínimos necessários para ajudar a manter o Microsoft Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo em que está instalado.

  • Opcional: dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e remediar problemas.

Por predefinição, apenas os dados de diagnóstico obrigatórios são enviados à Microsoft.

Dados de proteção fornecidos pela cloud

A proteção fornecida pela cloud é utilizada para proporcionar uma proteção maior e mais rápida com acesso aos dados de proteção mais recentes na cloud.

Ativar o serviço de proteção fornecido na cloud é opcional, no entanto, é altamente recomendado porque fornece proteção importante contra software maligno nos seus pontos finais e em toda a sua rede.

Dados de exemplo

Os dados de exemplo são utilizados para melhorar as capacidades de proteção do produto ao enviar amostras suspeitas da Microsoft para que possam ser analisados. Ativar a submissão automática de exemplo é opcional.

Quando esta funcionalidade está ativada e é provável que o exemplo recolhido contenha informações pessoais, é pedido ao utilizador o consentimento.

Faça a gestão de controlos de privacidade com definições de política

Se for um administrador de TI, poderá querer configurar estes controlos ao nível da empresa.

Os controlos de privacidade dos vários tipos de dados descritos na secção anterior são descritos em detalhe em Definir preferências para Microsoft Defender para Endpoint no macOS.

Tal como acontece com as novas definições de política, deve testá-las cuidadosamente num ambiente limitado e controlado para garantir que as definições que configura têm o efeito desejado antes de implementar as definições de política mais amplamente na sua organização.

Eventos de dados de diagnóstico

Esta secção descreve o que são considerados dados de diagnóstico obrigatórios e o que são considerados dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos que são recolhidos.

Campos de dados comuns a todos os eventos

Existem algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou subtipo de dados.

Os seguintes campos são considerados comuns para todos os eventos:

Campo Descrição
plataforma A ampla classificação da plataforma na qual a aplicação está em execução. Permite que a Microsoft identifique em que plataformas um problema pode estar a ocorrer para que possa ser priorizada corretamente.
machine_guid Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
sense_guid Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
org_id Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão a afetar um conjunto selecionado de empresas e quantas empresas são afetadas.
nome do anfitrião Nome do dispositivo local (sem sufixo DNS). Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
product_guid Identificador exclusivo do produto. Permite à Microsoft diferenciar problemas que afetam diferentes variantes do produto.
app_version Versão do Microsoft Defender para Endpoint na aplicação macOS. Permite que a Microsoft identifique que versões do produto estão a mostrar um problema para que possa ser priorizada corretamente.
sig_version Versão da base de dados de informações de segurança. Permite que a Microsoft identifique que versões das informações de segurança estão a mostrar um problema para que possa ser priorizada corretamente.
supported_compressions Lista de algoritmos de compressão suportados pela aplicação, por exemplo ['gzip']. Permite que a Microsoft compreenda que tipos de compressões podem ser utilizadas quando comunica com a aplicação.
release_ring Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em que cadência de versão pode estar a ocorrer um problema para que possa ser priorizada corretamente.

Dados de diagnóstico obrigatórios

Os dados de diagnóstico obrigatórios são os dados mínimos necessários para ajudar a manter o Microsoft Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.

Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Endpoint que podem estar relacionados com uma configuração de dispositivo ou software. Por exemplo, pode ajudar a determinar se uma funcionalidade de Microsoft Defender para Endpoint falha com mais frequência numa determinada versão do sistema operativo, com funcionalidades recentemente introduzidas ou quando determinadas funcionalidades de Microsoft Defender para Endpoint estão desativadas. Os dados de diagnóstico necessários ajudam a Microsoft a detetar, diagnosticar e corrigir estes problemas mais rapidamente para que o impacto para os utilizadores ou organizações seja reduzido.

Eventos de dados de configuração e inventário do software

Microsoft Defender para Endpoint instalação/desinstalação:

São recolhidos os seguintes campos:

Campo Descrição
correlation_id Identificador exclusivo associado à instalação.
versão Versão do pacote.
gravidade Gravidade da mensagem (por exemplo, Informativo).
código Código que descreve a operação.
texto Informações adicionais associadas à instalação do produto.

Microsoft Defender para Endpoint configuração:

São recolhidos os seguintes campos:

Campo Descrição
antivirus_engine.enable_real_time_protection Se a proteção em tempo real está ativada no dispositivo ou não.
antivirus_engine.passive_mode Se o modo passivo está ativado no dispositivo ou não.
cloud_service.enabled Se a proteção fornecida pela cloud está ou não ativada no dispositivo.
cloud_service.timeout Tempo limite excedido quando a aplicação comunica com a cloud Microsoft Defender para Endpoint.
cloud_service.heartbeat_interval Intervalo entre heartbeats consecutivos enviados pelo produto para a cloud.
cloud_service.service_uri URI utilizado para comunicar com a cloud.
cloud_service.diagnostic_level Nível de diagnóstico do dispositivo (obrigatório, opcional).
cloud_service.automatic_sample_submission Se a submissão automática de exemplo está ativada ou não.
cloud_service.automatic_definition_update_enabled Se a atualização automática de definições está ativada ou não.
edr.early_preview Se o dispositivo deve executar as funcionalidades de pré-visualização antecipada do EDR.
edr.group_id Identificador de grupo utilizado pelo componente de deteção e resposta.
edr.tags Etiquetas definidas pelo utilizador.
funcionalidades. [nome da funcionalidade opcional] Lista de funcionalidades de pré-visualização, juntamente com se estão ativadas ou não.

Eventos de dados de utilização do produto e do serviço

Relatório de atualização de informações de segurança:

São recolhidos os seguintes campos:

Campo Descrição
from_version Versão original das informações de segurança.
to_version Nova versão das informações de segurança.
estado Estado da atualização que indica êxito ou falha.
using_proxy Se a atualização foi feita através de um proxy.
erro Código de erro se a atualização tiver falhado.
motivo Mensagem de erro se a atualização tiver sido arquivada.

Eventos de dados de desempenho de produtos e serviços para dados de diagnóstico necessários

Saída inesperada da aplicação (falha):

Recolhe informações do sistema e o estado de uma aplicação quando uma aplicação sai inesperadamente.

São recolhidos os seguintes campos:

Campo Descrição
v1_crash_count Número de vezes que o processo do motor V1 falhou a cada hora no computador cliente
v2_crash_count Número de vezes que o processo do motor V2 falhou a cada hora no computador cliente
EDR_crash_count Número de vezes que o processo EDR falhou a cada hora no computador cliente

Estatísticas da extensão do kernel:

São recolhidos os seguintes campos:

Campo Descrição
versão Versão do Microsoft Defender para Endpoint no macOS.
instance_id Identificador exclusivo gerado no arranque da extensão de kernel.
trace_level Nível de rastreio da extensão de kernel.
subsistema O subsistema subjacente utilizado para proteção em tempo real.
ipc.connects Número de pedidos de ligação recebidos pela extensão de kernel.
ipc.rejects Número de pedidos de ligação rejeitados pela extensão de kernel.
ipc.connected Se existe alguma ligação ativa à extensão de kernel.

Dados de suporte

Registos de diagnóstico:

Os registos de diagnóstico são recolhidos apenas com o consentimento do utilizador como parte da funcionalidade de submissão de comentários. Os seguintes ficheiros são recolhidos como parte dos registos de suporte:

  • Todos os ficheiros em /Library/Logs/Microsoft/mdatp/
  • Subconjunto de ficheiros em /Library/Application Support/Microsoft/Defender/ que são criados e utilizados por Microsoft Defender para Endpoint no macOS
  • Subconjunto de ficheiros em /Library/Managed Preferences que são utilizados pelo Microsoft Defender para Endpoint no macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Biblioteca/Preferências/com.microsoft.autoupdate2.plist

Dados de diagnóstico opcionais

Os dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e corrigir problemas.

Se optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico obrigatórios também são incluídos.

Exemplos de dados de diagnóstico opcionais incluem dados que a Microsoft recolhe sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).

Eventos de dados de configuração e inventário de software para dados de diagnóstico opcionais

Microsoft Defender para Endpoint configuração:

São recolhidos os seguintes campos:

Campo Descrição
connection_retry_timeout A repetição da ligação excede o limite de tempo quando a comunicação com a cloud é excedida.
file_hash_cache_maximum Tamanho da cache do produto.
crash_upload_daily_limit Limite de registos de falhas carregados diariamente.
antivirus_engine.exclusions[].is_directory Se a exclusão da análise é ou não um diretório.
antivirus_engine.exclusions[].path Caminho que foi excluído da análise.
antivirus_engine.exclusions[].extension Extensão excluída da análise.
antivirus_engine.exclusions[].name Nome do ficheiro excluído da análise.
antivirus_engine.scan_cache_maximum Tamanho da cache do produto.
antivirus_engine.maximum_scan_threads Número máximo de threads utilizados para análise.
antivirus_engine.threat_restoration_exclusion_time Tempo limite excedido antes de um ficheiro restaurado a partir da quarentena poder ser detetado novamente.
antivirus_engine.threat_type_settings Configuração para a forma como os diferentes tipos de ameaças são processados pelo produto.
filesystem_scanner.full_scan_directory Diretório de análise completo.
filesystem_scanner.quick_scan_directories Lista de diretórios utilizados na análise rápida.
edr.latency_mode Modo de latência utilizado pelo componente de deteção e resposta.
edr.proxy_address Endereço proxy utilizado pelo componente de deteção e resposta.

Configuração da Atualização Automática da Microsoft:

São recolhidos os seguintes campos:

Campo Descrição
how_to_check Determina a forma como as atualizações de produtos são verificadas (por exemplo, automáticas ou manuais).
channel_name Canal de atualização associado ao dispositivo.
manifest_server Servidor utilizado para transferir atualizações.
update_cache Localização da cache utilizada para armazenar atualizações.

Utilização do produto e do serviço

Relatório de início do carregamento do registo de diagnósticos

São recolhidos os seguintes campos:

Campo Descrição
sha256 Identificador SHA256 do registo de suporte.
tamanho Tamanho do registo de suporte.
original_path Caminho para o registo de suporte (sempre em /Library/Application Support/Microsoft/Defender/wdavdiag/).
formato Formato do registo de suporte.
metadados Informações sobre o conteúdo do registo de suporte.

Relatório concluído do carregamento do registo de diagnósticos

São recolhidos os seguintes campos:

Campo Descrição
request_id ID de Correlação do pedido de carregamento do registo de suporte.
sha256 Identificador SHA256 do registo de suporte.
blob_sas_uri URI utilizado pela aplicação para carregar o registo de suporte.

Eventos de dados de desempenho de produtos e serviços para utilização de produtos e serviços

Saída inesperada da aplicação (falha):

Saída inesperada da aplicação e o estado da aplicação quando tal acontece.

Estatísticas da extensão do kernel:

São recolhidos os seguintes campos:

Campo Descrição
pkt_ack_timeout As seguintes propriedades são valores numéricos agregados, que representam a contagem de eventos ocorridos desde o arranque da extensão de kernel.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Recursos

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.