Linux 上 適用於端點的 Microsoft Defender 的隱私權
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
Microsoft致力於提供資訊和控件,讓您在 Linux 上使用適用於端點的 Defender 時,選擇如何收集和使用數據。
本文說明產品內可用的隱私權控制、如何使用原則設定管理這些控件,以及所收集數據事件的詳細數據。
Linux 上 適用於端點的 Microsoft Defender 隱私權控制概觀
本節說明 Linux 上適用於端點的 Defender 所收集之不同數據類型的隱私權控制。
診斷資料
診斷數據可用來保護適用於端點的 Defender 安全且保持最新狀態、偵測、診斷和修正問題,以及改善產品。
某些診斷資料為必要,而某些診斷資料為選用。 我們可讓您選擇要使用隱私權控制來傳送必要或選擇性診斷數據,例如組織的原則設定。
適用於端點的 Defender 用戶端軟體有兩個層級的診斷資料可供您選擇:
- 必要:必要的最小數據,可協助保護適用於端點的 Defender 安全、保持最新狀態,並在安裝的裝置上如預期般執行。
- 選擇性:其他數據可協助Microsoft改善產品,並提供增強的信息來協助偵測、診斷和補救問題。
根據預設,只有必要的診斷數據會傳送至Microsoft。
雲端提供的保護數據
雲端提供的保護可用來提供增加且更快速的保護,以存取雲端中的最新保護數據。
啟用雲端式保護服務是選擇性的,但強烈建議您這麼做,因為它可針對端點和網路上的惡意代碼提供重要保護。
範例數據
範例數據可用來改善產品的保護功能,方法是傳送Microsoft可疑的樣本,以便進行分析。 啟用自動提交範例是選擇性的。
控制範例提交有三個層級:
- 無:不會將可疑的樣本提交至Microsoft。
- 安全:只會自動提交不包含 PII) 個人標識資訊 (可疑樣本。 這是預設值。
- 全部:所有可疑的樣本都會提交至Microsoft。
使用原則設定管理隱私權控制項
如果您是IT系統管理員,建議您在企業層級設定這些控制件。
在 Linux 上設定適用於端點的 Defender 喜好設定中,會詳細說明上一節所述各種數據類型的隱私權控制。
如同任何新的原則設定,您應該在受限制的受控制環境中仔細測試它們,以確保您所設定的設定在組織中更廣泛地實作原則設定之前具有所需的效果。
診斷數據事件
本節說明哪些項目被視為必要診斷數據,以及哪些專案被視為選擇性診斷數據,以及所收集事件和欄位的描述。
所有事件通用的數據欄位
有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。
下列欄位會被視為所有事件通用的欄位:
欄位 | 描述 |
---|---|
平台 | 應用程式執行所在平臺的廣泛分類。 可讓Microsoft識別問題可能發生的平臺,以便正確設定其優先順序。 |
machine_guid | 與裝置相關聯的唯一標識碼。 可讓Microsoft識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
sense_guid | 與裝置相關聯的唯一標識碼。 可讓Microsoft識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
org_id | 與裝置所屬企業相關聯的唯一標識符。 可讓Microsoft識別問題是否會影響一組選取的企業,以及有多少企業受到影響。 |
hostname | 本機裝置名稱 (沒有 DNS 後綴) 。 可讓Microsoft識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
product_guid | 產品的唯一標識碼。 可讓Microsoft區分影響不同產品類別的問題。 |
app_version | Linux 上適用於端點的 Defender 應用程式版本。 可讓Microsoft識別哪些產品版本顯示問題,以便正確設定其優先順序。 |
sig_version | 安全性情報資料庫的版本。 允許Microsoft識別哪些版本的安全性情報顯示問題,以便正確設定其優先順序。 |
supported_compressions | 應用程式支援的壓縮演算法清單,例如 ['gzip'] 。 可讓Microsoft了解與應用程式通訊時,可以使用哪些類型的壓縮。 |
release_ring | 裝置與 (相關聯的信號,例如 Insider Fast、Insider Slow、Production) 。 允許Microsoft識別問題可能發生的發行通道,以便正確設定其優先順序。 |
必要診斷資料
必要的診斷數據 是必要的最小數據,可協助保護適用於端點的 Defender 保持最新狀態,並在安裝所在的裝置上如預期般執行。
必要的診斷數據有助於識別可能與裝置或軟體設定相關的 適用於端點的 Microsoft Defender 問題。 例如,它可以協助判斷適用於端點的 Defender 功能在特定操作系統版本、新引進的功能,或停用特定適用於端點的 Defender 功能時,是否更頻繁地損毀。 必要的診斷數據可協助Microsoft更快速地偵測、診斷及修正這些問題,以降低對使用者或組織的影響。
軟體安裝和庫存資料事件
適用於端點的 Microsoft Defender 安裝/卸載:
下列是收集的欄位:
欄位 | 描述 |
---|---|
correlation_id | 與安裝相關聯的唯一標識碼。 |
版本 | 套件的版本。 |
嚴厲 | 訊息的嚴重性 (例如資訊) 。 |
code | 描述作業的程序代碼。 |
文字 | 與產品安裝相關聯的其他資訊。 |
適用於端點的 Microsoft Defender 組態:
下列是收集的欄位:
欄位 | 描述 |
---|---|
antivirus_engine.enable_real_time_protection | 是否在裝置上啟用即時保護。 |
antivirus_engine.passive_mode | 是否在裝置上啟用被動模式。 |
cloud_service.enabled | 是否在裝置上啟用雲端提供的保護。 |
cloud_service.timeout | 應用程式與適用於端點的Defender雲端通訊時逾時。 |
cloud_service.heartbeat_interval | 產品傳送至雲端之連續活動訊號之間的間隔。 |
cloud_service.service_uri | 用來與雲端通訊的URI。 |
cloud_service.diagnostic_level | 裝置的診斷層級 (必要、選擇性的) 。 |
cloud_service.automatic_sample_submission | 裝置的自動範例提交層級 (無、安全、所有) 。 |
cloud_service.automatic_definition_update_enabled | 是否開啟自動定義更新。 |
edr.early_preview | 裝置是否應該執行EDR早期預覽功能。 |
edr.group_id | 偵測和回應元件所使用的群組標識碼。 |
edr.tags | 使用者定義的標記。 |
特徵。[選擇性功能名稱] | 預覽功能清單,以及是否已啟用。 |
產品和服務使用資料事件
安全性情報更新報告:
下列是收集的欄位:
欄位 | 描述 |
---|---|
from_version | 原始安全情報版本。 |
to_version | 新的安全情報版本。 |
狀態 | 指出成功或失敗的更新狀態。 |
using_proxy | 更新是否透過 Proxy 完成。 |
錯誤 | 如果更新失敗,則為錯誤碼。 |
reason | 更新失敗時的錯誤訊息。 |
必要診斷數據的產品和服務效能數據事件
核心延伸模組統計資料:
下列是收集的欄位:
欄位 | 描述 |
---|---|
版本 | Linux 上適用於端點的 Defender 版本。 |
instance_id | 核心延伸模組啟動時產生的唯一標識符。 |
trace_level | 核心延伸模組的追蹤層級。 |
子系統 | 用於即時保護的基礎子系統。 |
ipc.connects | 核心延伸模組所接收的連線要求數目。 |
ipc.rejects | 核心延伸模組拒絕的連線要求數目。 |
ipc.connected | 核心延伸模組是否有任何作用中連線。 |
支持數據
診斷記錄:
只有在使用者同意時,才會收集診斷記錄,作為意見反應提交功能的一部分。 下列檔案會收集為支援記錄的一部分:
- /var/log/microsoft/mdatp 下的所有檔案
- Linux 上適用於端點的 Defender 所建立和使用的 /etc/opt/microsoft/mdatp 底下的檔案子集
- /var/log/microsoft/mdatp/*.log 下的產品安裝和卸載記錄
選擇性診斷資料
選擇性診斷數據 是其他數據,可協助Microsoft改善產品,並提供增強的信息來協助偵測、診斷和修正問題。
如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。
選擇性診斷數據的範例包括Microsoft收集有關產品設定 (的數據,例如裝置上設定的排除) 數目,以及產品效能 (產品) 元件效能的匯總量值。
選擇性診斷數據的軟體設定和清查數據事件
適用於端點的 Microsoft Defender 組態:
下列是收集的欄位:
欄位 | 描述 |
---|---|
connection_retry_timeout | 與雲端通訊時,聯機會重試逾時。 |
file_hash_cache_maximum | 產品快取的大小。 |
crash_upload_daily_limit | 每日上傳的當機記錄限制。 |
antivirus_engine.exclusions[].is_directory | 排除掃描是否為目錄。 |
antivirus_engine.exclusions[].path | 從掃描中排除的路徑。 |
antivirus_engine.exclusions[].extension | 從掃描中排除擴充功能。 |
antivirus_engine.exclusions[].name | 從掃描中排除的檔名。 |
antivirus_engine.scan_cache_maximum | 產品快取的大小。 |
antivirus_engine.maximum_scan_threads | 用於掃描的線程數目上限。 |
antivirus_engine.threat_restoration_exclusion_time | 在從隔離區還原檔案之前逾時,可以再次偵測到。 |
antivirus_engine.threat_type_settings | 產品如何處理不同威脅類型的設定。 |
filesystem_scanner.full_scan_directory | 完整掃描目錄。 |
filesystem_scanner.quick_scan_directories | 快速掃描中使用的目錄清單。 |
edr.latency_mode | 偵測和回應元件所使用的延遲模式。 |
edr.proxy_address | 偵測和回應元件所使用的 Proxy 位址。 |
Microsoft自動更新設定:
下列是收集的欄位:
欄位 | 描述 |
---|---|
how_to_check | 決定如何檢查產品更新 (例如自動或手動) 。 |
channel_name | 更新與裝置相關聯的通道。 |
manifest_server | 用於下載更新的伺服器。 |
update_cache | 用來儲存更新的快取位置。 |
產品和服務使用
診斷記錄上傳已啟動報告
下列是收集的欄位:
欄位 | 描述 |
---|---|
sha256 | 支持記錄檔的SHA256標識碼。 |
Size | 支援記錄檔的大小。 |
original_path | 支持記錄檔 (一律在 /var/opt/microsoft/mdatp/wdavdiag/) 底下。 |
format | 支援記錄的格式。 |
診斷記錄上傳已完成報告
下列是收集的欄位:
欄位 | 描述 |
---|---|
request_id | 支持記錄上傳要求的相互關聯標識碼。 |
sha256 | 支持記錄檔的SHA256標識碼。 |
blob_sas_uri | 應用程式用來上傳支持記錄的 URI。 |
產品服務和使用量的產品和服務效能數據事件
非預期的應用程式 (當機) 結束:
非預期的應用程式結束,以及在該情況下應用程式的狀態。
核心延伸模組統計資料:
下列是收集的欄位:
欄位 | 描述 |
---|---|
pkt_ack_timeout | 下列屬性是匯總的數值,代表自核心延伸模塊啟動後所發生的事件計數。 |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
資源
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。