Конфиденциальность Microsoft Defender для конечной точки в macOS
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Корпорация Майкрософт стремится предоставить вам сведения и элементы управления, необходимые для выбора способа сбора и использования данных при использовании Microsoft Defender для конечной точки в macOS.
В этом разделе описываются элементы управления конфиденциальностью, доступные в продукте, способы управления этими элементами управления с помощью параметров политики и дополнительные сведения о собираемых событиях данных.
В этом разделе описываются элементы управления конфиденциальностью для различных типов данных, собираемых Microsoft Defender для конечной точки в macOS.
Диагностические данные используются для обеспечения безопасности и обновления Microsoft Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также для улучшения продукта.
Некоторые диагностические данные являются обязательными, а некоторые — необязательными. Мы предоставляем вам возможность выбрать, хотите ли вы отправлять нам обязательные или необязательные диагностические данные, с помощью средств управления конфиденциальностью, например параметров политик для организаций.
Существует два уровня диагностических данных для Microsoft Defender для конечной точки клиентского программного обеспечения, которые можно выбрать:
Обязательный: минимальный объем данных, необходимый для обеспечения безопасности, обновления и правильной работы Microsoft Defender для конечной точки на устройстве, на котором он установлен.
Необязательно: дополнительные данные, которые помогают корпорации Майкрософт вносить улучшения в продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.
По умолчанию в корпорацию Майкрософт отправляются только необходимые диагностические данные.
Облачная защита используется для повышения и ускорения защиты с доступом к последним данным защиты в облаке.
Включение облачной службы защиты является необязательным, однако настоятельно рекомендуется, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и в сети.
Примеры данных используются для улучшения возможностей защиты продукта путем отправки подозрительных примеров Майкрософт для их анализа. Включение автоматической отправки образцов является необязательным.
Если эта функция включена и собранный пример, скорее всего, будет содержать персональные данные, пользователю будет предложено предоставить согласие.
Если вы являетесь ИТ-администратором, вы можете настроить эти элементы управления на уровне предприятия.
Элементы управления конфиденциальностью для различных типов данных, описанные в предыдущем разделе, подробно описаны в разделе Настройка параметров для Microsoft Defender для конечной точки в macOS.
Как и в случае с любыми новыми параметрами политики, их следует тщательно протестировать в ограниченной контролируемой среде, чтобы убедиться, что настроенные параметры имеют желаемый эффект, прежде чем вы будете более широко внедрять параметры политики в своей организации.
В этом разделе описаны необходимые диагностические данные и необязательные диагностические данные, а также описание собираемых событий и полей.
Существует некоторая информация о событиях, которая является общей для всех событий, независимо от категории или подтипа данных.
Следующие поля считаются общими для всех событий:
Поле | Описание |
---|---|
платформа | Широкая классификация платформы, на которой работает приложение. Позволяет корпорации Майкрософт определять, на каких платформах может возникнуть проблема, чтобы правильно определить приоритеты. |
machine_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
sense_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
org_id | Уникальный идентификатор, связанный с предприятием, к которому принадлежит устройство. Позволяет корпорации Майкрософт определить, влияют ли проблемы на избранный набор предприятий и сколько предприятий затронуто. |
Узла | Имя локального устройства (без DNS-суффикса). Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
product_guid | Уникальный идентификатор продукта. Позволяет корпорации Майкрософт различать проблемы, влияющие на различные варианты продукта. |
app_version | Версия Microsoft Defender для конечной точки в приложении macOS. Позволяет корпорации Майкрософт определить, в каких версиях продукта отображается проблема, чтобы можно было правильно определить приоритеты. |
sig_version | Версия базы данных аналитики безопасности. Позволяет корпорации Майкрософт определить, в каких версиях аналитики безопасности отображается проблема, чтобы можно было правильно определить приоритеты. |
supported_compressions | Список алгоритмов сжатия, поддерживаемых приложением, например ['gzip'] . Позволяет корпорации Майкрософт понять, какие типы сжатия можно использовать при обмене данными с приложением. |
release_ring | Вызов, с которым связано устройство (например, "Предварительная оценка", "Медленная оценка", "Рабочая"). Позволяет корпорации Майкрософт определить, в каком кольце выпуска может возникнуть проблема, чтобы правильно определить приоритеты. |
Обязательные диагностические данные — это минимальные данные, необходимые для обеспечения безопасности Microsoft Defender для конечной точки, обновления и работы должным образом на устройстве, на котором он установлен.
Необходимые диагностические данные помогают выявить проблемы с Microsoft Defender для конечной точки, которые могут быть связаны с конфигурацией устройства или программного обеспечения. Например, он может помочь определить, происходит ли более частый сбой функции Microsoft Defender для конечной точки в конкретной версии операционной системы с новыми функциями или при отключении определенных функций Microsoft Defender для конечной точки. Необходимые диагностические данные помогают корпорации Майкрософт быстрее обнаруживать, диагностировать и устранять эти проблемы, чтобы снизить влияние на пользователей или организации.
Microsoft Defender для конечной точки установка и удаление:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
correlation_id | Уникальный идентификатор, связанный с установкой. |
version | Версия пакета. |
severity | Серьезность сообщения (например, информационная). |
code | Код, описывающий операцию. |
текст | Дополнительные сведения, связанные с установкой продукта. |
конфигурация Microsoft Defender для конечной точки:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
antivirus_engine.enable_real_time_protection | Включена ли защита в режиме реального времени на устройстве. |
antivirus_engine.passive_mode | Включен ли пассивный режим на устройстве или нет. |
cloud_service.enabled | Включена ли облачная защита на устройстве. |
cloud_service.timeout | Истекает время ожидания, когда приложение взаимодействует с Microsoft Defender для конечной точки облаком. |
cloud_service.heartbeat_interval | Интервал между последовательными пульсами, отправляемыми продуктом в облако. |
cloud_service.service_uri | URI, используемый для взаимодействия с облаком. |
cloud_service.diagnostic_level | Уровень диагностики устройства (обязательный, необязательный). |
cloud_service.automatic_sample_submission | Включена ли автоматическая отправка образцов. |
cloud_service.automatic_definition_update_enabled | Независимо от того, включено ли автоматическое обновление определений. |
edr.early_preview | Указывает, должно ли устройство запускать функции ранней предварительной версии EDR. |
edr.group_id | Идентификатор группы, используемый компонентом обнаружения и ответа. |
edr.tags | Определяемые пользователем теги. |
Функции. [необязательное имя компонента] | Список предварительных версий функций, а также сведения о том, включены ли они. |
Отчет об обновлении аналитики безопасности:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
from_version | Исходная версия аналитики безопасности. |
to_version | Новая версия аналитики безопасности. |
status | Состояние обновления, указывающее на успех или сбой. |
using_proxy | Указывает, было ли обновление выполнено через прокси-сервер. |
error | Код ошибки, если обновление завершилось сбоем. |
reason | Сообщение об ошибке, если обновлено подано. |
Непредвиденное завершение работы приложения (сбой)
Собирает системные сведения и состояние приложения при неожиданном завершении работы приложения.
Собираются указанные ниже поля.
Поле | Описание |
---|---|
v1_crash_count | Количество сбоев процесса обработчика версии 1 каждый час на клиентском компьютере |
v2_crash_count | Количество сбоев процесса обработчика версии 2 каждый час на клиентском компьютере |
EDR_crash_count | Количество сбоев процесса EDR каждый час на клиентском компьютере |
Статистика расширения ядра:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
version | Версия Microsoft Defender для конечной точки в macOS. |
instance_id | Уникальный идентификатор, созданный при запуске расширения ядра. |
trace_level | Уровень трассировки расширения ядра. |
Подсистемы | Базовая подсистема, используемая для защиты в режиме реального времени. |
ipc.connects | Число запросов на подключение, полученных расширением ядра. |
ipc.rejects | Число запросов на подключение, отклоненных расширением ядра. |
ipc.connected | Существует ли активное подключение к расширению ядра. |
Журналы диагностики:
Журналы диагностики собираются только с согласия пользователя в рамках функции отправки отзывов. В журналах поддержки собираются следующие файлы:
- Все файлы в разделе /Library/Logs/Microsoft/mdatp/
- Подмножество файлов в разделе /Library/Application Support/Microsoft/Defender/, которые создаются и используются Microsoft Defender для конечной точки в macOS
- Подмножество файлов в разделе /Library/Managed Preferences, которые используются Microsoft Defender для конечной точки в macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Необязательные диагностические данные — это дополнительные данные, которые помогают корпорации Майкрософт улучшить продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.
Если выбрана отправка необязательных диагностических данных, обязательные диагностические данные также будут включены.
Примеры необязательных диагностических данных включают данные, собираемые корпорацией Майкрософт о конфигурации продукта (например, количестве исключений, установленных на устройстве) и производительности продукта (статистические показатели производительности компонентов продукта).
События настройки программного обеспечения и инвентаризации данных для необязательных диагностических данных
конфигурация Microsoft Defender для конечной точки:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
connection_retry_timeout | Время ожидания повторных попыток подключения при обмене данными с облаком. |
file_hash_cache_maximum | Размер кэша продукта. |
crash_upload_daily_limit | Ограничение ежедневной отправки журналов сбоев. |
antivirus_engine.exclusions[].is_directory | Независимо от того, является ли исключение из сканирования каталогом. |
antivirus_engine.exclusions[].path | Путь, исключенный из сканирования. |
antivirus_engine.exclusions[].extension | Расширение, исключенное из сканирования. |
antivirus_engine.exclusions[].name | Имя файла, исключенного из сканирования. |
antivirus_engine.scan_cache_maximum | Размер кэша продукта. |
antivirus_engine.maximum_scan_threads | Максимальное количество потоков, используемых для сканирования. |
antivirus_engine.threat_restoration_exclusion_time | Время ожидания перед повторным обнаружением файла, восстановленного из карантина. |
antivirus_engine.threat_type_settings | Настройка того, как продукт обрабатывает различные типы угроз. |
filesystem_scanner.full_scan_directory | Каталог полной проверки. |
filesystem_scanner.quick_scan_directoryies | Список каталогов, используемых при быстрой проверке. |
edr.latency_mode | Режим задержки, используемый компонентом обнаружения и ответа. |
edr.proxy_address | Адрес прокси-сервера, используемый компонентом обнаружения и ответа. |
Конфигурация автоматического обновления Майкрософт:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
how_to_check | Определяет, как проверяются обновления продукта (например, автоматически или вручную). |
channel_name | Канал обновления, связанный с устройством. |
manifest_server | Сервер, используемый для скачивания обновлений. |
update_cache | Расположение кэша, используемого для хранения обновлений. |
Собираются указанные ниже поля.
Поле | Описание |
---|---|
sha256 | Идентификатор SHA256 журнала поддержки. |
size | Размер журнала поддержки. |
original_path | Путь к журналу поддержки (всегда в разделе /Library/Application Support/Microsoft/Defender/wdavdiag/). |
format | Формат журнала поддержки. |
Метаданных | Сведения о содержимом журнала поддержки. |
Собираются указанные ниже поля.
Поле | Описание |
---|---|
request_id | Идентификатор корреляции для запроса на отправку журнала поддержки. |
sha256 | Идентификатор SHA256 журнала поддержки. |
blob_sas_uri | URI, используемый приложением для отправки журнала поддержки. |
Непредвиденное завершение работы приложения (сбой)
Случаи непредвиденного выхода из приложения и состояние приложения при этом.
Статистика расширения ядра:
Собираются указанные ниже поля.
Поле | Описание |
---|---|
pkt_ack_timeout | Следующие свойства представляют собой агрегированные числовые значения, представляющие количество событий, произошедших с момента запуска расширения ядра. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.