Конфиденциальность Microsoft Defender для конечной точки в macOS

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Корпорация Майкрософт стремится предоставить вам сведения и элементы управления, необходимые для выбора способа сбора и использования данных при использовании Microsoft Defender для конечной точки в macOS.

В этом разделе описываются элементы управления конфиденциальностью, доступные в продукте, способы управления этими элементами управления с помощью параметров политики и дополнительные сведения о собираемых событиях данных.

Обзор элементов управления конфиденциальностью в Microsoft Defender для конечной точки в macOS

В этом разделе описываются элементы управления конфиденциальностью для различных типов данных, собираемых Microsoft Defender для конечной точки в macOS.

Диагностические данные

Диагностические данные используются для обеспечения безопасности и обновления Microsoft Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также для улучшения продукта.

Некоторые диагностические данные являются обязательными, а некоторые — необязательными. Мы предоставляем вам возможность выбрать, хотите ли вы отправлять нам обязательные или необязательные диагностические данные, с помощью средств управления конфиденциальностью, например параметров политик для организаций.

Существует два уровня диагностических данных для Microsoft Defender для конечной точки клиентского программного обеспечения, которые можно выбрать:

  • Обязательный: минимальный объем данных, необходимый для обеспечения безопасности, обновления и правильной работы Microsoft Defender для конечной точки на устройстве, на котором он установлен.

  • Необязательно: дополнительные данные, которые помогают корпорации Майкрософт вносить улучшения в продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.

По умолчанию в корпорацию Майкрософт отправляются только необходимые диагностические данные.

Данные защиты, доставляемые в облако

Облачная защита используется для повышения и ускорения защиты с доступом к последним данным защиты в облаке.

Включение облачной службы защиты является необязательным, однако настоятельно рекомендуется, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и в сети.

Образец данных

Примеры данных используются для улучшения возможностей защиты продукта путем отправки подозрительных примеров Майкрософт для их анализа. Включение автоматической отправки образцов является необязательным.

Если эта функция включена и собранный пример, скорее всего, будет содержать персональные данные, пользователю будет предложено предоставить согласие.

Управление инструментами для обеспечения конфиденциальности с помощью параметров политики

Если вы являетесь ИТ-администратором, вы можете настроить эти элементы управления на уровне предприятия.

Элементы управления конфиденциальностью для различных типов данных, описанные в предыдущем разделе, подробно описаны в разделе Настройка параметров для Microsoft Defender для конечной точки в macOS.

Как и в случае с любыми новыми параметрами политики, их следует тщательно протестировать в ограниченной контролируемой среде, чтобы убедиться, что настроенные параметры имеют желаемый эффект, прежде чем вы будете более широко внедрять параметры политики в своей организации.

События диагностических данных

В этом разделе описаны необходимые диагностические данные и необязательные диагностические данные, а также описание собираемых событий и полей.

Поля данных, которые являются общими для всех событий

Существует некоторая информация о событиях, которая является общей для всех событий, независимо от категории или подтипа данных.

Следующие поля считаются общими для всех событий:

Поле Описание
платформа Широкая классификация платформы, на которой работает приложение. Позволяет корпорации Майкрософт определять, на каких платформах может возникнуть проблема, чтобы правильно определить приоритеты.
machine_guid Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто.
sense_guid Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто.
org_id Уникальный идентификатор, связанный с предприятием, к которому принадлежит устройство. Позволяет корпорации Майкрософт определить, влияют ли проблемы на избранный набор предприятий и сколько предприятий затронуто.
Узла Имя локального устройства (без DNS-суффикса). Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто.
product_guid Уникальный идентификатор продукта. Позволяет корпорации Майкрософт различать проблемы, влияющие на различные варианты продукта.
app_version Версия Microsoft Defender для конечной точки в приложении macOS. Позволяет корпорации Майкрософт определить, в каких версиях продукта отображается проблема, чтобы можно было правильно определить приоритеты.
sig_version Версия базы данных аналитики безопасности. Позволяет корпорации Майкрософт определить, в каких версиях аналитики безопасности отображается проблема, чтобы можно было правильно определить приоритеты.
supported_compressions Список алгоритмов сжатия, поддерживаемых приложением, например ['gzip']. Позволяет корпорации Майкрософт понять, какие типы сжатия можно использовать при обмене данными с приложением.
release_ring Вызов, с которым связано устройство (например, "Предварительная оценка", "Медленная оценка", "Рабочая"). Позволяет корпорации Майкрософт определить, в каком кольце выпуска может возникнуть проблема, чтобы правильно определить приоритеты.

Обязательные диагностические данные

Обязательные диагностические данные — это минимальные данные, необходимые для обеспечения безопасности Microsoft Defender для конечной точки, обновления и работы должным образом на устройстве, на котором он установлен.

Необходимые диагностические данные помогают выявить проблемы с Microsoft Defender для конечной точки, которые могут быть связаны с конфигурацией устройства или программного обеспечения. Например, он может помочь определить, происходит ли более частый сбой функции Microsoft Defender для конечной точки в конкретной версии операционной системы с новыми функциями или при отключении определенных функций Microsoft Defender для конечной точки. Необходимые диагностические данные помогают корпорации Майкрософт быстрее обнаруживать, диагностировать и устранять эти проблемы, чтобы снизить влияние на пользователей или организации.

События данных установки и учета программного обеспечения

Microsoft Defender для конечной точки установка и удаление:

Собираются указанные ниже поля.

Поле Описание
correlation_id Уникальный идентификатор, связанный с установкой.
version Версия пакета.
severity Серьезность сообщения (например, информационная).
code Код, описывающий операцию.
текст Дополнительные сведения, связанные с установкой продукта.

конфигурация Microsoft Defender для конечной точки:

Собираются указанные ниже поля.

Поле Описание
antivirus_engine.enable_real_time_protection Включена ли защита в режиме реального времени на устройстве.
antivirus_engine.passive_mode Включен ли пассивный режим на устройстве или нет.
cloud_service.enabled Включена ли облачная защита на устройстве.
cloud_service.timeout Истекает время ожидания, когда приложение взаимодействует с Microsoft Defender для конечной точки облаком.
cloud_service.heartbeat_interval Интервал между последовательными пульсами, отправляемыми продуктом в облако.
cloud_service.service_uri URI, используемый для взаимодействия с облаком.
cloud_service.diagnostic_level Уровень диагностики устройства (обязательный, необязательный).
cloud_service.automatic_sample_submission Включена ли автоматическая отправка образцов.
cloud_service.automatic_definition_update_enabled Независимо от того, включено ли автоматическое обновление определений.
edr.early_preview Указывает, должно ли устройство запускать функции ранней предварительной версии EDR.
edr.group_id Идентификатор группы, используемый компонентом обнаружения и ответа.
edr.tags Определяемые пользователем теги.
Функции. [необязательное имя компонента] Список предварительных версий функций, а также сведения о том, включены ли они.

События данных использования продуктов и служб

Отчет об обновлении аналитики безопасности:

Собираются указанные ниже поля.

Поле Описание
from_version Исходная версия аналитики безопасности.
to_version Новая версия аналитики безопасности.
status Состояние обновления, указывающее на успех или сбой.
using_proxy Указывает, было ли обновление выполнено через прокси-сервер.
error Код ошибки, если обновление завершилось сбоем.
reason Сообщение об ошибке, если обновлено подано.

События данных о производительности продуктов и служб для необходимых диагностических данных

Непредвиденное завершение работы приложения (сбой)

Собирает системные сведения и состояние приложения при неожиданном завершении работы приложения.

Собираются указанные ниже поля.

Поле Описание
v1_crash_count Количество сбоев процесса обработчика версии 1 каждый час на клиентском компьютере
v2_crash_count Количество сбоев процесса обработчика версии 2 каждый час на клиентском компьютере
EDR_crash_count Количество сбоев процесса EDR каждый час на клиентском компьютере

Статистика расширения ядра:

Собираются указанные ниже поля.

Поле Описание
version Версия Microsoft Defender для конечной точки в macOS.
instance_id Уникальный идентификатор, созданный при запуске расширения ядра.
trace_level Уровень трассировки расширения ядра.
Подсистемы Базовая подсистема, используемая для защиты в режиме реального времени.
ipc.connects Число запросов на подключение, полученных расширением ядра.
ipc.rejects Число запросов на подключение, отклоненных расширением ядра.
ipc.connected Существует ли активное подключение к расширению ядра.

Данные поддержки

Журналы диагностики:

Журналы диагностики собираются только с согласия пользователя в рамках функции отправки отзывов. В журналах поддержки собираются следующие файлы:

  • Все файлы в разделе /Library/Logs/Microsoft/mdatp/
  • Подмножество файлов в разделе /Library/Application Support/Microsoft/Defender/, которые создаются и используются Microsoft Defender для конечной точки в macOS
  • Подмножество файлов в разделе /Library/Managed Preferences, которые используются Microsoft Defender для конечной точки в macOS
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

Необязательные диагностические данные

Необязательные диагностические данные — это дополнительные данные, которые помогают корпорации Майкрософт улучшить продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.

Если выбрана отправка необязательных диагностических данных, обязательные диагностические данные также будут включены.

Примеры необязательных диагностических данных включают данные, собираемые корпорацией Майкрософт о конфигурации продукта (например, количестве исключений, установленных на устройстве) и производительности продукта (статистические показатели производительности компонентов продукта).

События настройки программного обеспечения и инвентаризации данных для необязательных диагностических данных

конфигурация Microsoft Defender для конечной точки:

Собираются указанные ниже поля.

Поле Описание
connection_retry_timeout Время ожидания повторных попыток подключения при обмене данными с облаком.
file_hash_cache_maximum Размер кэша продукта.
crash_upload_daily_limit Ограничение ежедневной отправки журналов сбоев.
antivirus_engine.exclusions[].is_directory Независимо от того, является ли исключение из сканирования каталогом.
antivirus_engine.exclusions[].path Путь, исключенный из сканирования.
antivirus_engine.exclusions[].extension Расширение, исключенное из сканирования.
antivirus_engine.exclusions[].name Имя файла, исключенного из сканирования.
antivirus_engine.scan_cache_maximum Размер кэша продукта.
antivirus_engine.maximum_scan_threads Максимальное количество потоков, используемых для сканирования.
antivirus_engine.threat_restoration_exclusion_time Время ожидания перед повторным обнаружением файла, восстановленного из карантина.
antivirus_engine.threat_type_settings Настройка того, как продукт обрабатывает различные типы угроз.
filesystem_scanner.full_scan_directory Каталог полной проверки.
filesystem_scanner.quick_scan_directoryies Список каталогов, используемых при быстрой проверке.
edr.latency_mode Режим задержки, используемый компонентом обнаружения и ответа.
edr.proxy_address Адрес прокси-сервера, используемый компонентом обнаружения и ответа.

Конфигурация автоматического обновления Майкрософт:

Собираются указанные ниже поля.

Поле Описание
how_to_check Определяет, как проверяются обновления продукта (например, автоматически или вручную).
channel_name Канал обновления, связанный с устройством.
manifest_server Сервер, используемый для скачивания обновлений.
update_cache Расположение кэша, используемого для хранения обновлений.

использование продуктов и служб;

Отчет о начале отправки журнала диагностики

Собираются указанные ниже поля.

Поле Описание
sha256 Идентификатор SHA256 журнала поддержки.
size Размер журнала поддержки.
original_path Путь к журналу поддержки (всегда в разделе /Library/Application Support/Microsoft/Defender/wdavdiag/).
format Формат журнала поддержки.
Метаданных Сведения о содержимом журнала поддержки.

Отчет о завершении отправки журнала диагностики

Собираются указанные ниже поля.

Поле Описание
request_id Идентификатор корреляции для запроса на отправку журнала поддержки.
sha256 Идентификатор SHA256 журнала поддержки.
blob_sas_uri URI, используемый приложением для отправки журнала поддержки.

События данных о производительности продуктов и служб для использования продуктов и служб

Непредвиденное завершение работы приложения (сбой)

Случаи непредвиденного выхода из приложения и состояние приложения при этом.

Статистика расширения ядра:

Собираются указанные ниже поля.

Поле Описание
pkt_ack_timeout Следующие свойства представляют собой агрегированные числовые значения, представляющие количество событий, произошедших с момента запуска расширения ядра.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ресурсы

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.