Sekretess för Microsoft Defender för Endpoint på macOS
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Microsoft strävar efter att ge dig den information och de kontroller du behöver för att göra val om hur dina data samlas in och används när du använder Microsoft Defender för Endpoint på macOS.
Det här avsnittet beskriver de sekretesskontroller som är tillgängliga i produkten, hur du hanterar dessa kontroller med principinställningar och mer information om de datahändelser som samlas in.
Översikt över sekretesskontroller i Microsoft Defender för Endpoint på macOS
I det här avsnittet beskrivs sekretesskontroller för de olika typer av data som samlas in av Microsoft Defender för Endpoint på macOS.
Diagnostikdata
Diagnostikdata används för att hålla Microsoft Defender för Endpoint säker och uppdaterad, identifiera, diagnostisera och åtgärda problem och även göra produktförbättringar.
Vissa diagnostiska data är obligatoriska, medan andra diagnostiska data är valfria. Du kan välja om du vill skicka obligatoriska eller valfria diagnostikdata genom att använda sekretesskontroller, till exempel principinställningar för organisationer.
Det finns två nivåer av diagnostikdata för Microsoft Defender för Endpoint klientprogramvara som du kan välja mellan:
Obligatoriskt: De minsta data som krävs för att hålla Microsoft Defender för Endpoint säkra, uppdaterade och prestera som förväntat på den enhet som den är installerad på.
Valfritt: Ytterligare data som hjälper Microsoft att göra produktförbättringar och ger förbättrad information för att identifiera, diagnostisera och åtgärda problem.
Som standard skickas endast obligatoriska diagnostikdata till Microsoft.
Molnleverering av skyddsdata
Molnbaserat skydd används för att ge ökat och snabbare skydd med åtkomst till de senaste skyddsdata i molnet.
Det är valfritt att aktivera den molnlevererad skyddstjänsten, men det rekommenderas starkt eftersom det ger ett viktigt skydd mot skadlig kod på dina slutpunkter och i hela nätverket.
Exempeldata
Exempeldata används för att förbättra produktens skyddsfunktioner genom att skicka misstänkta Microsoft-exempel så att de kan analyseras. Det är valfritt att aktivera automatisk sändning av exempel.
När den här funktionen är aktiverad och det exempel som samlas in sannolikt innehåller personlig information uppmanas användaren att ge sitt medgivande.
Hantera sekretesskontroller med principinställningar
Om du är IT-administratör kanske du vill konfigurera dessa kontroller på företagsnivå.
Sekretesskontrollerna för de olika typer av data som beskrivs i föregående avsnitt beskrivs i detalj i Ange inställningar för Microsoft Defender för Endpoint på macOS.
Precis som med alla nya principinställningar bör du noggrant testa dem i en begränsad, kontrollerad miljö för att säkerställa att de inställningar som du konfigurerar har önskad effekt innan du implementerar principinställningarna i större utsträckning i din organisation.
Diagnostikdatahändelser
I det här avsnittet beskrivs vad som anses vara obligatoriska diagnostikdata och vad som anses vara valfria diagnostikdata, tillsammans med en beskrivning av de händelser och fält som samlas in.
Datafält som är gemensamma för alla händelser
Det finns viss information om händelser som är gemensamma för alla aktiviteter, oavsett kategori eller dataundertyp.
Följande fält anses vara vanliga för alla händelser:
| Fält | Beskrivning |
|---|---|
| plattform | Den breda klassificeringen av plattformen där appen körs. Gör att Microsoft kan identifiera på vilka plattformar ett problem kan uppstå så att det kan prioriteras korrekt. |
| machine_guid | Unik identifierare som är associerad med enheten. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas. |
| sense_guid | Unik identifierare som är associerad med enheten. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas. |
| org_id | Unik identifierare som är associerad med det företag som enheten tillhör. Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning företag och hur många företag som påverkas. |
| Värdnamn | Lokalt enhetsnamn (utan DNS-suffix). Gör att Microsoft kan identifiera om problem påverkar en viss uppsättning installationer och hur många användare som påverkas. |
| product_guid | Unik identifierare för produkten. Gör att Microsoft kan särskilja problem som påverkar olika varianter av produkten. |
| app_version | Version av Microsoft Defender för Endpoint i macOS-programmet. Gör att Microsoft kan identifiera vilka versioner av produkten som visar ett problem så att det kan prioriteras korrekt. |
| sig_version | Version av säkerhetsinformationsdatabasen. Gör att Microsoft kan identifiera vilka versioner av säkerhetsinformationen som visar ett problem så att det kan prioriteras korrekt. |
| supported_compressions | Lista över komprimeringsalgoritmer som stöds av programmet, till exempel ['gzip']. Gör att Microsoft kan förstå vilka typer av komprimeringar som kan användas när de kommunicerar med programmet. |
| release_ring | Ring att enheten är associerad med (till exempel Insider Fast, Insider Slow, Production). Gör att Microsoft kan identifiera vilken versionsring ett problem kan uppstå på så att det kan prioriteras korrekt. |
Obligatoriska diagnostikdata
Obligatoriska diagnostikdata är de minsta data som krävs för att hålla Microsoft Defender för Endpoint säkra, uppdaterade och prestera som förväntat på den enhet som den är installerad på.
Obligatoriska diagnostikdata hjälper till att identifiera problem med Microsoft Defender för Endpoint som kan vara relaterade till en enhets- eller programvarukonfiguration. Det kan till exempel hjälpa dig att avgöra om en Microsoft Defender för Endpoint funktion kraschar oftare på en viss operativsystemversion, med nyligen introducerade funktioner eller när vissa Microsoft Defender för Endpoint funktioner är inaktiverade. Obligatoriska diagnostikdata hjälper Microsoft att identifiera, diagnostisera och åtgärda dessa problem snabbare så att påverkan på användare eller organisationer minskar.
Programvaruinstallation och lagringshändelser
Microsoft Defender för Endpoint installation/avinstallation:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| correlation_id | Unik identifierare som är associerad med installationen. |
| Version | Version av paketet. |
| Svårighetsgrad | Allvarlighetsgrad för meddelandet (till exempel Information). |
| Koden | Kod som beskriver åtgärden. |
| Text | Ytterligare information som är associerad med produktinstallationen. |
Microsoft Defender för Endpoint konfiguration:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| antivirus_engine.enable_real_time_protection | Om realtidsskydd är aktiverat på enheten eller inte. |
| antivirus_engine.passive_mode | Om passivt läge är aktiverat på enheten eller inte. |
| cloud_service.enabled | Om molnlevererat skydd är aktiverat på enheten eller inte. |
| cloud_service.timeout | Tidsgräns när programmet kommunicerar med Microsoft Defender för Endpoint molnet. |
| cloud_service.heartbeat_interval | Intervall mellan efterföljande pulsslag som skickas av produkten till molnet. |
| cloud_service.service_uri | URI som används för att kommunicera med molnet. |
| cloud_service.diagnostic_level | Diagnostiknivå för enheten (obligatoriskt, valfritt). |
| cloud_service.automatic_sample_submission | Om automatisk sändning av exempel är aktiverat eller inte. |
| cloud_service.automatic_definition_update_enabled | Om automatisk definitionsuppdatering är aktiverad eller inte. |
| edr.early_preview | Om enheten ska köra funktioner för tidig förhandsversion av EDR. |
| edr.group_id | Gruppidentifierare som används av identifierings- och svarskomponenten. |
| edr.tags | Användardefinierade taggar. |
| Funktioner. [valfritt funktionsnamn] | Lista över förhandsgranskningsfunktioner, tillsammans med om de är aktiverade eller inte. |
Produkt- och tjänstanvändningshändelser
Uppdateringsrapport för säkerhetsinformation:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| from_version | Ursprunglig säkerhetsinformationsversion. |
| to_version | Ny säkerhetsinformationsversion. |
| Status | Status för uppdateringen som anger lyckat eller misslyckat. |
| using_proxy | Om uppdateringen gjordes via en proxy. |
| Fel | Felkod om uppdateringen misslyckades. |
| orsak | Felmeddelande om den uppdaterade har arkiverats. |
Datahändelser för produkt- och tjänstprestanda för obligatoriska diagnostikdata
Oväntat programavslut (krasch):
Samlar in systeminformation och tillståndet för ett program när ett program oväntat avslutas.
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| v1_crash_count | Antal gånger V1-motorprocessen kraschade varje timme på klientdatorn |
| v2_crash_count | Antal gånger V2-motorprocessen kraschade varje timme på klientdatorn |
| EDR_crash_count | Antal gånger som EDR-processen kraschade varje timme på klientdatorn |
Statistik för kerneltillägg:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| Version | Version av Microsoft Defender för Endpoint på macOS. |
| instance_id | Unik identifierare som genereras vid start av kerneltillägg. |
| trace_level | Spårningsnivå för kerneltillägget. |
| Undersystemet | Det underliggande undersystemet som används för realtidsskydd. |
| ipc.connects | Antal anslutningsbegäranden som tagits emot av kerneltillägget. |
| ipc.rejects | Antal anslutningsbegäranden som avvisas av kerneltillägget. |
| ipc.connected | Om det finns någon aktiv anslutning till kerneltillägget. |
Supportdata
Diagnostikloggar:
Diagnostikloggar samlas endast in med användarens medgivande som en del av funktionen för feedbacköverföring. Följande filer samlas in som en del av supportloggarna:
- Alla filer under /Library/Logs/Microsoft/mdatp/
- Delmängd av filer under /Library/Application Support/Microsoft/Defender/ som skapas och används av Microsoft Defender för Endpoint på macOS
- Delmängd av filer under /Library/Managed Preferences som används av Microsoft Defender för Endpoint på macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
Valfria diagnostikdata
Valfria diagnostikdata är ytterligare data som hjälper Microsoft att göra produktförbättringar och ger förbättrad information för att identifiera, diagnostisera och åtgärda problem.
Om du väljer att skicka valfria diagnostikdata omfattas även obligatoriska diagnostikdata.
Exempel på valfria diagnostikdata är data som Microsoft samlar in om produktkonfiguration (till exempel antal undantag som angetts på enheten) och produktprestanda (aggregerade mått om produktens komponenters prestanda).
Programvaruinstallation och inventeringsdatahändelser för valfria diagnostikdata
Microsoft Defender för Endpoint konfiguration:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| connection_retry_timeout | Tidsgränsen för anslutningsförsök överskrids vid kommunikation med molnet. |
| file_hash_cache_maximum | Storleken på produktcachen. |
| crash_upload_daily_limit | Gräns för kraschloggar som laddas upp dagligen. |
| antivirus_engine.exclusions[].is_directory | Om undantaget från genomsökning är en katalog eller inte. |
| antivirus_engine.exclusions[].path | Sökväg som inte har genomsökts. |
| antivirus_engine.exclusions[].extension | Tillägget undantas från genomsökning. |
| antivirus_engine.exclusions[].name | Namnet på filen som undantas från genomsökning. |
| antivirus_engine.scan_cache_maximum | Storleken på produktcachen. |
| antivirus_engine.maximum_scan_threads | Maximalt antal trådar som används för genomsökning. |
| antivirus_engine.threat_restoration_exclusion_time | Tidsgränsen uppnås innan en fil som återställs från karantänen kan identifieras igen. |
| antivirus_engine.threat_type_settings | Konfiguration för hur olika hottyper hanteras av produkten. |
| filesystem_scanner.full_scan_directory | Fullständig genomsökningskatalog. |
| filesystem_scanner.quick_scan_directories | Lista över kataloger som används vid snabbgenomsökning. |
| edr.latency_mode | Svarstidsläge som används av identifierings- och svarskomponenten. |
| edr.proxy_address | Proxyadress som används av identifierings- och svarskomponenten. |
Microsofts konfiguration för automatisk uppdatering:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| how_to_check | Avgör hur produktuppdateringar kontrolleras (till exempel automatiskt eller manuellt). |
| channel_name | Uppdatera kanalen som är associerad med enheten. |
| manifest_server | Server som används för att ladda ned uppdateringar. |
| update_cache | Platsen för cachen som används för att lagra uppdateringar. |
Produkt- och tjänstanvändning
Rapport om start av diagnostiklogg
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| sha256 | SHA256-identifierare för supportloggen. |
| Storlek | Storleken på supportloggen. |
| original_path | Sökväg till supportloggen (alltid under /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| Format | Format för supportloggen. |
| Metadata | Information om innehållet i supportloggen. |
Diagnostikloggens slutförda rapport för uppladdning av diagnostiklogg
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| request_id | Korrelations-ID för begäran om uppladdning av supportlogg. |
| sha256 | SHA256-identifierare för supportloggen. |
| blob_sas_uri | URI som används av programmet för att ladda upp supportloggen. |
Datahändelser för produkt- och tjänstprestanda för produkt- och tjänstanvändning
Oväntat programavslut (krasch):
Oväntat programavslut (krasch) och tillståndet för programmet när det händer.
Statistik för kerneltillägg:
Följande fält samlas in:
| Fält | Beskrivning |
|---|---|
| pkt_ack_timeout | Följande egenskaper är aggregerade numeriska värden som representerar antalet händelser som inträffat sedan kerneltillägget startades. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Resurser
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.