Microsoft 致力於提供你所需的資訊與控制,讓你在使用 Linux 上的 Defender for Endpoint 時,能做出關於資料收集與使用方式的決策。
本文說明產品內可用的隱私控制、如何透過政策設定管理這些控制,以及更多關於收集到的資料事件細節。
Linux 上 適用於端點的 Microsoft Defender 隱私控制概述
本節說明 Defender for Endpoint 在 Linux 上收集不同類型資料的隱私控制。
診斷資料
診斷資料用於保持Defender for Endpoint的安全與最新,偵測、診斷及修正問題,並進行產品改進。
某些診斷資料為必要,而某些診斷資料為選用。 我們透過隱私控制(例如組織政策設定)讓您選擇是否傳送必需或可選的診斷資料。
Defender for Endpoint 用戶端軟體有兩種診斷資料等級可供選擇:
- 必需資料:維持 Defender for Endpoint 安全、最新,並在安裝裝置上正常運作所需的最低資料。
- 可選:其他資料,協助 Microsoft 進行產品改進,並提供更豐富的資訊以協助偵測、診斷及修復問題。
預設情況下,只有必要的診斷資料會傳送給 Microsoft。
雲端提供保護資料
雲端提供保護用於提供更快速且更快速的保護,並可存取雲端最新的保護資料。
啟用雲端提供的保護服務是可選的,但強烈建議,因為它能在端點及整個網路上提供重要的惡意軟體防護。
範例資料
樣本資料用於提升產品的防護能力,透過傳送可疑樣本給 Microsoft 進行分析。 啟用自動樣本提交為可選選項。
樣本提交的控制分為三個層級:
- 無:沒有向 Microsoft 提交可疑樣本。
- 安全:只有不包含個人身份資訊 (PII) 的可疑樣本會自動提交。 這是預設值。
- 所有人:所有可疑樣本都已提交給 Microsoft。
使用原則設定管理隱私權控制項
如果你是 IT 管理員,建議在企業層級設定這些控制。
前述所述各種資料的隱私控制,詳見 Linux 版 Defender for Endpoint 設定偏好設定。
如同任何新的政策設定,你應該在有限且受控的環境中仔細測試,確保所設定的設定達到預期效果,然後再在組織中更廣泛實施這些政策設定。
診斷資料事件
本節說明哪些被視為必需的診斷資料,哪些被視為可選的診斷資料,並說明所收集的事件與欄位。
所有事件共有的資料欄位
有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。
以下欄位被視為所有事件的共通點:
| 欄位 | 描述 |
|---|---|
| 平台 | 應用程式所運行平台的廣泛分類。 讓 Microsoft 能辨識問題可能發生在哪些平台上,從而正確排序優先順序。 |
| machine_guid | 與裝置相關的唯一識別碼。 讓 Microsoft 能判斷問題是否影響特定安裝,以及受影響的使用者數量。 |
| sense_guid | 與裝置相關的唯一識別碼。 讓 Microsoft 能判斷問題是否影響特定安裝,以及受影響的使用者數量。 |
| org_id | 與該裝置所屬企業相關的唯一識別碼。 讓 Microsoft 能判斷問題是否影響特定企業,以及影響的企業數量。 |
| 主機名稱 | 本地裝置名稱 (沒有 DNS 後綴的) 。 讓 Microsoft 能判斷問題是否影響特定安裝,以及受影響的使用者數量。 |
| product_guid | 產品的唯一識別碼。 讓 Microsoft 能夠區分影響不同產品版本的問題。 |
| app_version | Linux 版 Defender for Endpoint 應用程式。 讓 Microsoft 能辨識出哪些版本的產品出現問題,從而正確排序優先順序。 |
| sig_version | 安全情報資料庫的版本。 讓 Microsoft 能辨識哪些安全智慧版本出現問題,從而正確排序優先順序。 |
| supported_compressions | 應用程式支援的壓縮演算法列表,例如 ['gzip']。 讓 Microsoft 了解與應用程式通訊時可以使用哪些類型的壓縮。 |
| release_ring | Ring 表示該裝置與 Insider Fast、Insider Slow、Production) 等 (相關聯。 讓 Microsoft 能辨識問題可能發生在哪個發佈環,以便正確排序優先順序。 |
必要診斷資料
必要的診斷資料 是幫助 Defender for Endpoint 保持安全、最新,並在安裝裝置上正常運作所需的最低標準資料。
必要的診斷資料有助於識別可能與裝置或軟體配置相關的 適用於端點的 Microsoft Defender 的問題。 例如,它能協助判斷 Defender for Endpoint 功能在特定作業系統版本、新引入的功能下是否更頻繁崩潰,或是某些功能被停用時。 必要的診斷資料幫助 Microsoft 更快偵測、診斷並修復這些問題,從而降低對使用者或組織的影響。
軟體安裝和庫存資料事件
適用於端點的 Microsoft Defender 安裝/卸載:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| correlation_id | 與安裝相關聯的唯一識別碼。 |
| 版本 | 套件版本。 |
| 嚴重程度 | 訊息的嚴重程度 (例如資訊) 。 |
| code | 描述操作的程式碼。 |
| 文字 | 與產品安裝相關的額外資訊。 |
適用於端點的 Microsoft Defender 配置:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| antivirus_engine.enable_real_time_protection | 無論裝置是否啟用即時保護。 |
| antivirus_engine.被動模式 | 不管裝置上有沒有啟用被動模式。 |
| cloud_service.enabled | 無論裝置是否啟用雲端保護。 |
| cloud_service.暫停 | 當應用程式與 Defender for Endpoint 雲端通訊時,就會逾時。 |
| cloud_service.heartbeat_interval | 產品傳送到雲端的連續心跳間隔。 |
| cloud_service.service_uri | URI 過去是用來與雲端通訊的。 |
| cloud_service.diagnostic_level | (必須提供裝置的診斷等級,並可選) 。 |
| cloud_service.自動樣本提交 | 裝置的自動樣本提交 (無,安全,全部) 。 |
| cloud_service.automatic_definition_update_enabled | 不管自動定義更新是否開啟。 |
| edr.early_preview | 裝置是否應該執行 EDR 早期預覽功能。 |
| edr.group_id | 由偵測與回應元件使用的群組識別碼。 |
| edr.標籤 | 使用者自訂標籤。 |
| 特徵。[可選功能名稱] | 預覽功能列表,以及是否啟用。 |
產品和服務使用資料事件
安全情報更新報告:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| from_version | 原始安全情報版本。 |
| to_version | 新的安全情報版本。 |
| 狀態 | 更新狀態顯示成功或失敗。 |
| using_proxy | 更新是否是透過代理伺服器完成的。 |
| 錯誤 | 如果更新失敗,則會出現錯誤代碼。 |
| reason | 如果更新失敗,會跳出錯誤訊息。 |
產品與服務績效資料事件,用於必要的診斷資料
核心擴展統計:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| 版本 | Linux 版的 Defender for Endpoint。 |
| instance_id | 啟動核心擴充時產生的唯一識別碼。 |
| trace_level | 核心擴充的痕跡層級。 |
| 子系統 | 用於即時保護的底層子系統。 |
| IPC.connects | 核心擴充包接收的連線請求數量。 |
| IPC.拒絕 | 核心擴充包拒絕的連線請求數量。 |
| IPC.connected。 | 是否存在與核心擴充套件的任何活躍連線。 |
支援資料
診斷日誌:
診斷日誌僅在用戶同意下,作為回饋提交功能的一部分才會被收集。 以下檔案作為支援日誌的一部分所收集:
- 所有檔案都放在 /var/log/microsoft/mdatp
- 在 /etc/opt/microsoft/mdatp 下,由 Defender for Endpoint 在 Linux 上建立並使用的檔案子集
- 產品安裝與卸載日誌可參考 /var/log/microsoft/mdatp/*.log
選擇性診斷資料
可選診斷資料 是額外的資料,幫助 Microsoft 進行產品改進,並提供更豐富的資訊以協助偵測、診斷及修正問題。
如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。
可選診斷資料的例子包括Microsoft收集的產品配置資料 (例如裝置) 上設定的排除項目數量,以及產品效能, (產品) 元件效能的綜合衡量。
軟體設定與選用診斷資料的庫存資料事件
適用於端點的 Microsoft Defender 配置:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| connection_retry_timeout | 連線重試在與雲端通訊時會逾時。 |
| file_hash_cache_maximum | 產品庫的大小。 |
| crash_upload_daily_limit | 每日上傳的當機日誌數量限制。 |
| antivirus_engine.排除項目[].is_directory | 不管掃描排除的範圍是不是目錄。 |
| antivirus_engine.exclusions[].path | 被排除在掃描之外的路徑。 |
| antivirus_engine.exclusions[].extension | 擴展不包含在掃描範圍內。 |
| antivirus_engine.exclusions[].name | 檔案名稱被排除在掃描之外。 |
| antivirus_engine.scan_cache_maximum | 產品庫的大小。 |
| antivirus_engine.最大掃描線程 | 掃描時使用的最大執行緒數。 |
| antivirus_engine.威脅恢復排除時間 | 在隔離後還原的檔案能再次被偵測到之前,請暫停。 |
| antivirus_engine.threat_type_settings | 產品如何處理不同威脅類型的配置。 |
| filesystem_scanner.full_scan_directory | 完整掃描目錄。 |
| filesystem_scanner.quick_scan_directories | 快速掃描中使用的目錄列表。 |
| edr.latency_mode | 延遲模式由偵測與回應元件使用。 |
| edr.proxy_address | 偵測與回應元件使用的代理位址。 |
Microsoft 自動更新設定:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| how_to_check | 決定產品更新的檢查方式 (例如自動或手動) 。 |
| channel_name | 更新與裝置相關的頻道。 |
| manifest_server | 伺服器用於下載更新。 |
| update_cache | 用於儲存更新的快取位置。 |
產品和服務使用
診斷日誌上傳開始報告
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| SHA256 | 支援日誌的 SHA256 識別碼。 |
| Size | 支撐日誌的大小。 |
| original_path | 支援日誌的路徑 (永遠在 /var/opt/microsoft/mdatp/wdavdiag/) 。 |
| format | 支援日誌格式。 |
診斷日誌上傳已完成報告
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| request_id | 支援日誌上傳請求的相關 ID。 |
| SHA256 | 支援日誌的 SHA256 識別碼。 |
| blob_sas_uri | 應用程式用來上傳支援日誌的 URI。 |
產品與服務效能資料事件,涵蓋產品服務與使用情況
意外應用程式退出 (當機) :
非預期的應用程式結束,以及在該情況下應用程式的狀態。
核心擴展統計:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| pkt_ack_timeout | 以下屬性為彙整的數值,代表自核心擴充啟動以來發生的事件數量。 |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| IPC.ack.timeout | |
| ipc.ack.ackd_fast | |
| IPC.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| IPC.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.面具 | |
| ipc.kauth_file_op.open。 | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op。讓開 | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.移除 | |
| ipc.kauth.file_op.下馬 | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |