Microsoft Defender for Endpoint 数据存储和隐私
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 商业版
希望体验 Defender for Endpoint? 注册免费试用版。
本部分介绍有关 Defender for Endpoint 的隐私和数据处理的一些常见问题。
注意
本文介绍与 Defender for Endpoint 和 Defender for Business 相关的数据存储和隐私详细信息。 有关 Defender for Endpoint 和其他产品和服务(如 Microsoft Defender 防病毒和 Windows)的详细信息,请参阅 Microsoft 隐私声明以及 Windows 隐私常见问题解答。
Microsoft Defender for Endpoint 收集哪些数据?
Microsoft Defender for Endpoint 从配置的设备收集信息,并将其存储在特定于该服务的客户专用和隔离租户中,以便进行管理、跟踪和报告。
收集的信息包括文件数据 (文件名、大小和哈希) 、正在运行的进程 (处理数据、哈希) 、注册表数据、 (主机 IP 和端口) (网络连接数据,以及设备标识符、名称和操作系统版本) (设备详细信息。
Microsoft将此数据存储在 Microsoft Azure 中,并根据Microsoft隐私做法和 Microsoft信任中心策略对其进行维护。
此数据使 Defender for Endpoint 能够:
- 主动识别组织中 (IOA) 的攻击指标
- 如果检测到可能的攻击,则生成警报
- 为安全操作提供与来自网络的威胁信号相关的设备、文件和 URL 的视图,使你能够调查和探索网络上是否存在安全威胁。
Microsoft不会将你的数据用于广告。
数据保护和加密
Defender for Endpoint 服务利用基于 Azure 基础结构Microsoft最先进的数据保护技术。
我们的服务会处理与数据保护相关的方方面面。 加密是最关键的方面之一,它包括静态数据加密、动态加密和使用 Key Vault 进行密钥管理。 有关 Defender for Endpoint 服务使用的其他技术的详细信息,请参阅 Azure 加密概述。
在所有方案中,数据至少使用 256 位 AES 加密进行加密 。
数据存储位置
Defender for Endpoint 在欧盟、英国、美国、澳大利亚、瑞士或印度的 Microsoft Azure 数据中心运行。 服务收集的客户数据可能存储在以下位置: () 预配期间标识的租户的地理位置;如果 Defender for Endpoint 使用此联机服务来处理此类数据, (b) 联机服务的数据存储规则定义的地理位置。 有关详细信息,请参阅 Microsoft 365 客户数据的存储位置。
假名形式的客户数据也可以存储在美国的中央存储和处理系统中。
在 Microsoft Defender 门户中选择“ 需要帮助?” ,联系Microsoft支持人员,了解如何在不同数据中心位置预配 Microsoft Defender XDR。
Microsoft Defender for Endpoint 的数据共享
Microsoft Defender for Endpoint 共享以下Microsoft产品中的数据(包括客户数据),这些产品也由客户授权。
- Microsoft Sentinel
- Microsoft Tunnel for Mobile Application Management - Android
- Microsoft Defender for Cloud
- Microsoft Defender for Identity
- Microsoft安全公开管理 (公共预览版)
我的数据是否与其他客户数据隔离?
是的,你的数据通过访问身份验证和基于客户标识符的逻辑隔离进行隔离。 每个客户只能访问从其自己的组织收集的数据,以及Microsoft提供的通用数据。
Microsoft如何防止恶意内部活动和滥用高特权角色?
根据设计,Microsoft开发人员和管理员已获得足够的特权,以履行其分配的职责来运行和发展服务。 Microsoft部署预防性、检测和反应性控制的组合,包括以下机制,以帮助防止未经授权的开发人员和/或管理活动:
- 对敏感数据的严格访问控制
- 可大大增强恶意活动的独立检测的控制组合
- 多个级别的监视、日志记录和报告
此外,Microsoft对某些操作人员进行背景验证检查,并按后台验证级别限制对应用程序、系统和网络基础结构的访问。 运营人员在履行职责时需要访问客户的帐户或相关信息时,会遵循正式流程。
仅向经过筛选和批准以处理受某些政府法规和要求约束的数据(例如 FedRAMP、NIST 800.171 (DIB) 、ITAR、IRS 1075、DoD L4 和 CJIS)的运营人员授予对 Microsoft Azure 政府数据中心中部署的服务的数据的访问权限。
数据是否与其他客户共享?
不正确。 客户数据与其他客户隔离,不共享。 但是,Microsoft处理产生的数据的威胁情报(不包含任何特定于客户的数据)可能会与其他客户共享。 每个客户只能访问从其自己的组织收集的数据以及Microsoft提供的通用数据。
Microsoft存储我的数据需要多长时间? 什么是Microsoft的数据保留策略?
在服务载入
来自 Microsoft Defender for Endpoint 的数据将保留 180 天,在门户中可见。 但是,在高级搜寻调查体验中,可以通过查询访问 30 天。
合同终止或到期时
当许可证处于宽限期或暂停模式时,你的数据将保留并可供你使用。 在此期限结束时,数据将从Microsoft的系统中删除,使其不可恢复,不迟于合同终止或到期后的 180 天。
高级搜寻数据
高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览多达 30 天的原始数据。
Microsoft能否帮助我们保持合规性?
Microsoft为客户提供有关Microsoft安全性和合规性计划的详细信息,包括审核报告和合规性包,以帮助他们根据自己的法律和法规要求评估 Defender for Endpoint 服务。 Defender for Endpoint 已获得多项认证,包括 ISO、SOC、FedRAMP High 和 PCI,并继续寻求其他特定于国家、区域和行业的认证。
通过为客户提供合规、独立验证的服务,Microsoft使他们能够更轻松地实现其运行的基础结构和应用程序的合规性。
有关 Defender for Endpoint 认证报告的详细信息,请参阅 Microsoft 信任中心。
希望体验 Defender for Endpoint? 注册免费试用版。
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。