Linux 上Microsoft Defender for Endpoint的隐私
希望体验 Defender for Endpoint? 注册免费试用版。
Microsoft致力于为你提供在 Linux 上使用 Defender for Endpoint 时选择数据收集和使用方式所需的信息和控件。
本文介绍产品中可用的隐私控件、如何使用策略设置管理这些控件,以及有关收集的数据事件的更多详细信息。
Linux 上Microsoft Defender for Endpoint中的隐私控件概述
本部分介绍 Linux 上的 Defender for Endpoint 收集的不同类型的数据的隐私控制。
诊断数据
诊断数据用于保持 Defender for Endpoint 的安全和最新、检测、诊断和修复问题,以及进行产品改进。
某些诊断数据是必需的,而某些诊断数据是可选的。 我们让你能够选择通过使用隐私控制(例如组织的策略设置)向我们发送必需或可选的诊断数据。
Defender for Endpoint 客户端软件有两个级别的诊断数据可供选择:
- 必需:帮助保持 Defender for Endpoint 安全、最新并在安装它的设备上按预期执行所需的最低数据。
- 可选:其他数据,可帮助Microsoft进行产品改进,并提供增强的信息来帮助检测、诊断和修正问题。
默认情况下,仅向Microsoft发送所需的诊断数据。
云提供的保护数据
云提供的保护用于通过访问云中的最新保护数据来提供更高、更快的保护。
启用云提供的保护服务是可选的,但强烈建议启用该服务,因为它在终结点上和网络中提供针对恶意软件的重要保护。
示例数据
示例数据用于通过发送Microsoft可疑样本来改进产品的保护功能,以便对其进行分析。 启用自动示例提交是可选的。
有三个级别用于控制示例提交:
- 无:不会将可疑样本提交到Microsoft。
- 安全:仅自动提交不包含个人身份信息的可疑样本 (PII) 。 此值为默认值。
- 全部:所有可疑样本均提交到Microsoft。
通过策略设置管理隐私控件
如果你是 IT 管理员,则可能需要在企业级别配置这些控件。
在 Linux 上设置 Defender for Endpoint 的首选项中详细介绍了上一部分所述的各种类型的数据的隐私控制。
与任何新策略设置一样,应在受限的受控环境中仔细测试这些设置,以确保在组织中更广泛地实施策略设置之前,配置的设置具有所需的效果。
诊断数据事件
本部分介绍哪些诊断数据被视为必需诊断数据,哪些诊断数据被视为可选诊断数据,以及所收集的事件和字段的说明。
所有事件通用的数据字段
一些关于事件的信息是所有事件所共有的,这与类别或数据子类型无关。
以下字段被视为所有事件的通用字段:
| 字段 | 说明 |
|---|---|
| 平台 | 运行应用的平台的广泛分类。 允许Microsoft识别问题可能发生在哪些平台上,以便正确确定问题的优先级。 |
| machine_guid | 与设备关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| sense_guid | 与设备关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| org_id | 与设备所属企业关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选定企业以及受影响的企业数量。 |
| hostname | 本地设备名称 (不带 DNS 后缀) 。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| product_guid | 产品的唯一标识符。 允许Microsoft区分影响不同口味的产品的问题。 |
| app_version | Linux 上的 Defender for Endpoint 应用程序版本。 允许Microsoft确定产品的哪些版本显示问题,以便正确确定问题的优先级。 |
| sig_version | 安全智能数据库的版本。 允许Microsoft识别哪些安全智能版本显示问题,以便正确确定问题的优先级。 |
| supported_compressions | 应用程序支持的压缩算法列表,例如 ['gzip']。 允许Microsoft了解在与应用程序通信时可以使用哪些类型的压缩。 |
| release_ring | 响铃设备与 (例如 Insider Fast、Insider Slow、Production) 。 允许Microsoft识别问题可能发生在哪个版本上,以便正确确定问题的优先级。 |
必需诊断数据
所需的诊断数据 是帮助 Defender for Endpoint 保持安全、最新并在安装它的设备上按预期执行所需的最小数据。
所需的诊断数据有助于识别可能与设备或软件配置相关的Microsoft Defender for Endpoint问题。 例如,它可以帮助确定 Defender for Endpoint 功能在特定操作系统版本上是否更频繁地崩溃,以及何时禁用某些 Defender for Endpoint 功能。 所需的诊断数据可帮助Microsoft更快地检测、诊断和修复这些问题,从而减少对用户或组织的影响。
软件安装和清单数据事件
Microsoft Defender for Endpoint安装/卸载:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| correlation_id | 与安装关联的唯一标识符。 |
| version | 包的版本。 |
| severity | 消息的严重性 (例如信息) 。 |
| code | 描述操作的代码。 |
| text | 与产品安装关联的其他信息。 |
Microsoft Defender for Endpoint配置:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| antivirus_engine.enable_real_time_protection | 是否在设备上启用实时保护。 |
| antivirus_engine.passive_mode | 是否在设备上启用被动模式。 |
| cloud_service.enabled | 是否在设备上启用了云提供的保护。 |
| cloud_service.timeout | 应用程序与 Defender for Endpoint 云通信时超时。 |
| cloud_service.heartbeat_interval | 产品发送到云的连续检测信号之间的间隔。 |
| cloud_service.service_uri | 用于与云通信的 URI。 |
| cloud_service.diagnostic_level | 设备的诊断级别 (必需、可选) 。 |
| cloud_service.automatic_sample_submission | 设备的自动示例提交级别 (无、安全、所有) 。 |
| cloud_service.automatic_definition_update_enabled | 是否打开自动定义更新。 |
| edr.early_preview | 设备是否应运行 EDR 早期预览功能。 |
| edr.group_id | 检测和响应组件使用的组标识符。 |
| edr.tags | 用户定义的标记。 |
| 特征。[可选功能名称] | 预览功能的列表,以及它们是否已启用。 |
产品和服务使用情况数据事件
安全智能更新报告:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| from_version | 原始安全智能版本。 |
| to_version | 新的安全智能版本。 |
| status | 指示成功或失败的更新的状态。 |
| using_proxy | 更新是否通过代理完成。 |
| error | 更新失败时出现错误代码。 |
| reason | 更新失败时出现错误消息。 |
所需诊断数据的产品和服务性能数据事件
内核扩展统计信息:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| version | Linux 上的 Defender for Endpoint 版本。 |
| instance_id | 内核扩展启动时生成的唯一标识符。 |
| trace_level | 内核扩展的跟踪级别。 |
| 子系统 | 用于实时保护的基础子系统。 |
| ipc.connects | 内核扩展接收的连接请求数。 |
| ipc.rejects | 内核扩展拒绝的连接请求数。 |
| ipc.connected | 内核扩展是否有任何活动连接。 |
支持数据
诊断日志:
诊断日志仅在用户同意的情况下收集,作为反馈提交功能的一部分。 以下文件作为支持日志的一部分收集:
- /var/log/microsoft/mdatp 下的所有文件
- / etc/opt/microsoft/mdatp 下由 Linux 上的 Defender for Endpoint 创建和使用的文件子集
- /var/log/microsoft/mdatp/*.log 下的产品安装和卸载日志
可选诊断数据
可选诊断数据 是其他数据,可帮助Microsoft进行产品改进,并提供增强的信息来帮助检测、诊断和修复问题。
如果你选择向我们发送可选诊断数据,则还需要包括必需的诊断数据。
可选诊断数据的示例包括Microsoft收集有关产品配置的数据 (例如在设备) 上设置的排除项数,以及产品性能 (有关产品) 组件性能的聚合度量值。
可选诊断数据的软件设置和清单数据事件
Microsoft Defender for Endpoint配置:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| connection_retry_timeout | 与云通信时连接重试超时。 |
| file_hash_cache_maximum | 产品缓存的大小。 |
| crash_upload_daily_limit | 每天上传的崩溃日志限制。 |
| antivirus_engine.exclusions[].is_directory | 排除扫描是否为目录。 |
| antivirus_engine.exclusions[].path | 从扫描中排除的路径。 |
| antivirus_engine.exclusions[].extension | 从扫描中排除的扩展。 |
| antivirus_engine.exclusions[].name | 从扫描中排除的文件的名称。 |
| antivirus_engine.scan_cache_maximum | 产品缓存的大小。 |
| antivirus_engine.maximum_scan_threads | 用于扫描的最大线程数。 |
| antivirus_engine.threat_restoration_exclusion_time | 在再次检测到从隔离区还原的文件之前超时。 |
| antivirus_engine.threat_type_settings | 产品如何处理不同威胁类型的配置。 |
| filesystem_scanner.full_scan_directory | 完全扫描目录。 |
| filesystem_scanner.quick_scan_directory | 快速扫描中使用的目录列表。 |
| edr.latency_mode | 检测和响应组件使用的延迟模式。 |
| edr.proxy_address | 检测和响应组件使用的代理地址。 |
Microsoft自动更新配置:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| how_to_check | 确定如何 (检查产品更新,例如自动或手动) 。 |
| channel_name | 更新与设备关联的通道。 |
| manifest_server | 用于下载更新的服务器。 |
| update_cache | 用于存储更新的缓存的位置。 |
产品和服务使用情况
诊断日志上传已启动报告
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| sha256 | 支持日志的 SHA256 标识符。 |
| size | 支持日志的大小。 |
| original_path | 支持日志的路径 (始终在 /var/opt/microsoft/mdatp/wdavdiag/) 下。 |
| format | 支持日志的格式。 |
诊断日志上传已完成报告
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| request_id | 支持日志上传请求的相关 ID。 |
| sha256 | 支持日志的 SHA256 标识符。 |
| blob_sas_uri | 应用程序用于上传支持日志的 URI。 |
产品服务和使用情况的产品和服务性能数据事件
意外的应用程序退出 (崩溃) :
应用程序意外退出以及发生这种情况时的应用程序状态。
内核扩展统计信息:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| pkt_ack_timeout | 以下属性是聚合的数值,表示自内核扩展启动以来发生的事件计数。 |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
资源
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。