希望体验 Defender for Endpoint? 注册免费试用版。
本部分介绍有关 Defender for Endpoint 的隐私和数据处理的一些常见问题。
注意
本文介绍与 Defender for Endpoint 和Defender 商业版相关的数据存储和隐私详细信息。 有关 Defender for Endpoint 和其他产品和服务(如 Microsoft Defender 防病毒和 Windows)的详细信息,请参阅 Microsoft 隐私声明。
我们正在收集哪些内容?
Microsoft Defender for Endpoint从配置的设备收集信息,并将其存储在特定于该服务的客户专用和隔离租户中,以便进行管理、跟踪和报告。
收集的信息包括文件数据 (文件名、大小和哈希) 、正在运行的进程 (处理数据、哈希) 、注册表数据、 (主机 IP 和端口) (网络连接数据,以及设备标识符、名称和作系统版本) (设备详细信息。
Microsoft将此数据存储在 Microsoft Azure 中,并根据Microsoft隐私做法和 Microsoft信任中心策略对其进行维护。
此数据允许 Defender for Endpoint:
- 主动识别组织中 (IOA) 的攻击指标
- 如果检测到可能的攻击,则生成警报
- 为安全作提供与来自网络的威胁信号相关的设备、文件和 URL 的视图,使你能够调查和探索网络上是否存在安全威胁。
Microsoft不会将你的数据用于广告。
数据位置
Defender for Endpoint 在欧盟、英国、美国、澳大利亚、瑞士、印度或阿拉伯联合酋长国 (阿联酋) Microsoft Azure 数据中心运营。 服务收集的客户数据可能存储在以下位置: () 预配期间标识的租户地理位置;如果 Defender for Endpoint 使用此联机服务来处理此类数据, (b) 联机服务的数据存储规则定义的地理位置。 有关详细信息,请参阅 Microsoft 365 客户数据的存储位置。
() 预配期间标识的租户地理位置;或
如果 Defender for Endpoint 使用此联机服务来处理此类数据, (b) 联机服务的数据存储规则定义的地理位置。
数据保留
来自Microsoft Defender for Endpoint的数据将保留 180 天,在门户中可见。
当许可证处于宽限期或暂停模式时,你的数据将保留并可供你使用。 在此期限结束时,数据将从Microsoft的系统中删除,使其不可恢复,不迟于合同终止或到期后的 180 天。
在高级搜寻调查体验中,可以通过查询访问 30 天。
数据恢复
Microsoft Defender for Endpoint (MDE) 服务包含与Microsoft更广泛的复原框架一致的区域灾难恢复策略。 有关详细信息,请参阅 复原能力和连续性 - Microsoft服务保障 |Microsoft Learn。 发生服务中断时,所有 MDE 组件都设计为故障转移到同一地理边界内的配对区域,从而保持数据驻留要求。
但是,由于阿拉伯联合酋长国当前的服务限制,依赖于Azure Synapse工作负载的 MDE 组件仅受区域复原能力支持。 目前,对于工作负载,没有可用的跨区域业务连续性和灾难恢复 (BCDR) 功能。 有关 Synapse 灾难恢复功能的详细信息,请参阅官方文档。
Microsoft Defender for Endpoint的数据共享
Microsoft Defender for Endpoint共享以下Microsoft产品中的数据(包括客户数据),这些产品也由客户授权。 对于政府社区云 (GCC) 的客户,政府和商业云环境之间的数据共享可能会发生,具体取决于服务产品的位置。
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel
- Microsoft Tunnel for Mobile Application Management - Android
- Microsoft Defender for Cloud
- Microsoft Defender for Identity
- Microsoft 安全风险管理 (公共预览版)