Конфиденциальность Microsoft Defender для конечной точки в Linux
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Корпорация Майкрософт обязуется предоставить вам сведения и элементы управления, необходимые для выбора способа сбора и использования данных при использовании Defender для конечной точки в Linux.
В этой статье описываются элементы управления конфиденциальностью, доступные в продукте, как управлять этими элементами управления с помощью параметров политики, а также дополнительные сведения о собираемых событиях данных.
Общие сведения об элементах управления конфиденциальностью в Microsoft Defender для конечной точки в Linux
В этом разделе описываются элементы управления конфиденциальностью для различных типов данных, собираемых Defender для конечной точки в Linux.
Диагностические данные
Диагностические данные используются для обеспечения безопасности и актуальности Defender для конечной точки, обнаружения, диагностики и устранения проблем, а также улучшения продукта.
Некоторые диагностические данные являются обязательными, а некоторые — необязательными. Мы предоставляем вам возможность выбирать, следует ли отправлять нам необходимые или необязательные диагностические данные с помощью элементов управления конфиденциальностью, таких как параметры политики для организаций.
Существует два уровня диагностических данных для клиентского программного обеспечения Defender для конечной точки, которые можно выбрать:
- Обязательный. Минимальные данные, необходимые для обеспечения безопасности, актуальности и актуальности Defender для конечной точки на устройстве, на котором он установлен.
- Необязательно. Другие данные, которые помогают корпорации Майкрософт вносить улучшения в продукт и предоставляют расширенные сведения, помогающие обнаруживать, диагностировать и устранять проблемы.
По умолчанию в корпорацию Майкрософт отправляются только необходимые диагностические данные.
Данные защиты, доставляемые в облако
Облачная защита используется для повышения и ускорения защиты с доступом к последним данным защиты в облаке.
Включение облачной службы защиты является необязательным, однако настоятельно рекомендуется, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и в сети.
Образец данных
Примеры данных используются для улучшения возможностей защиты продукта путем отправки подозрительных примеров Майкрософт для их анализа. Включение автоматической отправки образцов является необязательным.
Существует три уровня управления отправкой примеров:
- Нет: подозрительные примеры не отправляются в корпорацию Майкрософт.
- Безопасно: автоматически отправляются только подозрительные примеры, не содержащие персональных данных. Это значение используется по умолчанию.
- Все: все подозрительные примеры отправляются в корпорацию Майкрософт.
Управление инструментами для обеспечения конфиденциальности с помощью параметров политики
Если вы являетесь ИТ-администратором, вы можете настроить эти элементы управления на уровне предприятия.
Элементы управления конфиденциальностью для различных типов данных, описанные в предыдущем разделе, подробно описаны в разделе Настройка параметров Defender для конечной точки в Linux.
Как и в случае с любыми новыми параметрами политики, их следует тщательно протестировать в ограниченной контролируемой среде, чтобы убедиться, что настроенные параметры имеют желаемый эффект, прежде чем вы будете более широко внедрять параметры политики в своей организации.
События диагностических данных
В этом разделе описаны необходимые диагностические данные и необязательные диагностические данные, а также описание собираемых событий и полей.
Поля данных, которые являются общими для всех событий
Существует некоторая информация о событиях, которая является общей для всех событий, независимо от категории или подтипа данных.
Следующие поля считаются общими для всех событий:
| Поле | Описание |
|---|---|
| платформа | Широкая классификация платформы, на которой работает приложение. Позволяет корпорации Майкрософт определять, на каких платформах может возникнуть проблема, чтобы правильно определить приоритеты. |
| machine_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| sense_guid | Уникальный идентификатор, связанный с устройством. Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| org_id | Уникальный идентификатор, связанный с предприятием, к которому принадлежит устройство. Позволяет корпорации Майкрософт определить, влияют ли проблемы на избранный набор предприятий и сколько предприятий затронуто. |
| Узла | Имя локального устройства (без DNS-суффикса). Позволяет корпорации Майкрософт определить, влияют ли проблемы на выбор набора установок и сколько пользователей затронуто. |
| product_guid | Уникальный идентификатор продукта. Позволяет корпорации Майкрософт различать проблемы, влияющие на различные варианты продукта. |
| app_version | Версия приложения Defender для конечной точки в Linux. Позволяет корпорации Майкрософт определить, в каких версиях продукта отображается проблема, чтобы можно было правильно определить приоритеты. |
| sig_version | Версия базы данных аналитики безопасности. Позволяет корпорации Майкрософт определить, в каких версиях аналитики безопасности отображается проблема, чтобы можно было правильно определить приоритеты. |
| supported_compressions | Список алгоритмов сжатия, поддерживаемых приложением, например ['gzip']. Позволяет корпорации Майкрософт понять, какие типы сжатия можно использовать при обмене данными с приложением. |
| release_ring | Вызов, с которым связано устройство (например, "Предварительная оценка", "Медленная оценка", "Рабочая"). Позволяет корпорации Майкрософт определить, в каком кольце выпуска может возникнуть проблема, чтобы правильно определить приоритеты. |
Обязательные диагностические данные
Обязательные диагностические данные — это минимальные данные, необходимые для обеспечения безопасности, актуальности и актуальности Defender для конечной точки на устройстве, на котором он установлен.
Необходимые диагностические данные помогают выявить проблемы с Microsoft Defender для конечной точки, которые могут быть связаны с конфигурацией устройства или программного обеспечения. Например, он может помочь определить, происходит ли чаще сбой функции Defender для конечной точки в конкретной версии операционной системы, с новыми функциями или при отключении определенных функций Defender для конечной точки. Необходимые диагностические данные помогают корпорации Майкрософт быстрее обнаруживать, диагностировать и устранять эти проблемы, чтобы снизить влияние на пользователей или организации.
События данных установки и учета программного обеспечения
Microsoft Defender для конечной точки установка и удаление:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| correlation_id | Уникальный идентификатор, связанный с установкой. |
| version | Версия пакета. |
| severity | Серьезность сообщения (например, информационная). |
| code | Код, описывающий операцию. |
| текст | Дополнительные сведения, связанные с установкой продукта. |
конфигурация Microsoft Defender для конечной точки:
Собираются следующие поля:
| Поле | Описание |
|---|---|
| antivirus_engine.enable_real_time_protection | Включена ли защита в режиме реального времени на устройстве. |
| antivirus_engine.passive_mode | Включен ли пассивный режим на устройстве или нет. |
| cloud_service.enabled | Включена ли облачная защита на устройстве. |
| cloud_service.timeout | Истекает время ожидания, когда приложение взаимодействует с облаком Defender для конечной точки. |
| cloud_service.heartbeat_interval | Интервал между последовательными пульсами, отправляемыми продуктом в облако. |
| cloud_service.service_uri | URI, используемый для взаимодействия с облаком. |
| cloud_service.diagnostic_level | Уровень диагностики устройства (обязательный, необязательный). |
| cloud_service.automatic_sample_submission | Уровень автоматической отправки образца устройства (нет, безопасность, все). |
| cloud_service.automatic_definition_update_enabled | Независимо от того, включено ли автоматическое обновление определений. |
| edr.early_preview | Указывает, должно ли устройство запускать функции ранней предварительной версии EDR. |
| edr.group_id | Идентификатор группы, используемый компонентом обнаружения и ответа. |
| edr.tags | Определяемые пользователем теги. |
| Функции. [необязательное имя компонента] | Список предварительных версий функций, а также сведения о том, включены ли они. |
События данных использования продуктов и служб
Отчет об обновлении аналитики безопасности:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| from_version | Исходная версия аналитики безопасности. |
| to_version | Новая версия аналитики безопасности. |
| status | Состояние обновления, указывающее на успех или сбой. |
| using_proxy | Указывает, было ли обновление выполнено через прокси-сервер. |
| error | Код ошибки, если обновление завершилось сбоем. |
| reason | Сообщение об ошибке, если обновление завершилось сбоем. |
События данных о производительности продуктов и служб для необходимых диагностических данных
Статистика расширения ядра:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| version | Версия Defender для конечной точки в Linux. |
| instance_id | Уникальный идентификатор, созданный при запуске расширения ядра. |
| trace_level | Уровень трассировки расширения ядра. |
| Подсистемы | Базовая подсистема, используемая для защиты в режиме реального времени. |
| ipc.connects | Число запросов на подключение, полученных расширением ядра. |
| ipc.rejects | Число запросов на подключение, отклоненных расширением ядра. |
| ipc.connected | Существует ли активное подключение к расширению ядра. |
Данные поддержки
Журналы диагностики:
Журналы диагностики собираются только с согласия пользователя в рамках функции отправки отзывов. В журналах поддержки собираются следующие файлы:
- Все файлы в /var/log/microsoft/mdatp
- Подмножество файлов в /etc/opt/microsoft/mdatp , созданных и используемых Defender для конечной точки в Linux
- Журналы установки и удаления продукта в разделе /var/log/microsoft/mdatp/*.log
Необязательные диагностические данные
Необязательные диагностические данные — это дополнительные данные, которые помогают корпорации Майкрософт улучшить продукт и предоставляют расширенные сведения для обнаружения, диагностики и устранения проблем.
Если выбрана отправка необязательных диагностических данных, обязательные диагностические данные также будут включены.
Примеры необязательных диагностических данных включают данные, собираемые корпорацией Майкрософт о конфигурации продукта (например, количестве исключений, установленных на устройстве) и производительности продукта (статистические показатели производительности компонентов продукта).
События настройки программного обеспечения и инвентаризации данных для необязательных диагностических данных
конфигурация Microsoft Defender для конечной точки:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| connection_retry_timeout | Время ожидания повторных попыток подключения при обмене данными с облаком. |
| file_hash_cache_maximum | Размер кэша продукта. |
| crash_upload_daily_limit | Ограничение ежедневной отправки журналов сбоев. |
| antivirus_engine.exclusions[].is_directory | Независимо от того, является ли исключение из сканирования каталогом. |
| antivirus_engine.exclusions[].path | Путь, исключенный из сканирования. |
| antivirus_engine.exclusions[].extension | Расширение, исключенное из сканирования. |
| antivirus_engine.exclusions[].name | Имя файла, исключенного из сканирования. |
| antivirus_engine.scan_cache_maximum | Размер кэша продукта. |
| antivirus_engine.maximum_scan_threads | Максимальное количество потоков, используемых для сканирования. |
| antivirus_engine.threat_restoration_exclusion_time | Время ожидания перед повторным обнаружением файла, восстановленного из карантина. |
| antivirus_engine.threat_type_settings | Настройка того, как продукт обрабатывает различные типы угроз. |
| filesystem_scanner.full_scan_directory | Каталог полной проверки. |
| filesystem_scanner.quick_scan_directoryies | Список каталогов, используемых при быстрой проверке. |
| edr.latency_mode | Режим задержки, используемый компонентом обнаружения и ответа. |
| edr.proxy_address | Адрес прокси-сервера, используемый компонентом обнаружения и ответа. |
Конфигурация автоматического обновления Майкрософт:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| how_to_check | Определяет, как проверяются обновления продукта (например, автоматически или вручную). |
| channel_name | Канал обновления, связанный с устройством. |
| manifest_server | Сервер, используемый для скачивания обновлений. |
| update_cache | Расположение кэша, используемого для хранения обновлений. |
использование продуктов и служб;
Отчет о начале отправки журнала диагностики
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| sha256 | Идентификатор SHA256 журнала поддержки. |
| size | Размер журнала поддержки. |
| original_path | Путь к журналу поддержки (всегда в разделе /var/opt/microsoft/mdatp/wdavdiag/). |
| format | Формат журнала поддержки. |
Отчет о завершении отправки журнала диагностики
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| request_id | Идентификатор корреляции для запроса на отправку журнала поддержки. |
| sha256 | Идентификатор SHA256 журнала поддержки. |
| blob_sas_uri | URI, используемый приложением для отправки журнала поддержки. |
События данных о производительности продуктов и служб для службы продуктов и их использования
Непредвиденное завершение работы приложения (сбой)
Случаи непредвиденного выхода из приложения и состояние приложения при этом.
Статистика расширения ядра:
Собираются указанные ниже поля.
| Поле | Описание |
|---|---|
| pkt_ack_timeout | Следующие свойства представляют собой агрегированные числовые значения, представляющие количество событий, произошедших с момента запуска расширения ядра. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Ресурсы
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по