macOS 上 適用於端點的 Microsoft Defender 的隱私權
本文內容
macOS 上 適用於端點的 Microsoft Defender 隱私權控制概觀
使用原則設定管理隱私權控制項
診斷數據事件
資源
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
Microsoft 致力於為您提供在 macOS 上使用 適用於端點的 Microsoft Defender 時,您必須選擇如何收集和使用資料所需的資訊和控制項。
本主題描述產品內可用的隱私權控制、如何使用原則設定來管理這些控件,以及收集的數據事件詳細數據。
macOS 上 適用於端點的 Microsoft Defender 隱私權控制概觀
本節說明macOS上 適用於端點的 Microsoft Defender所收集之不同數據類型的隱私權控制。
診斷數據可用來確保 適用於端點的 Microsoft Defender 安全且最新、偵測、診斷和修正問題,以及改善產品。
某些診斷資料為必要,而某些診斷資料為選用。 我們可讓您選擇要透過隱私權控制 (如組織的原則設定) 向我們傳送必要或選用的診斷資料。
適用於端點的 Microsoft Defender 客戶端軟體有兩個層級的診斷資料可供您選擇:
根據預設,只會將必要的診斷數據傳送給 Microsoft。
雲端提供的保護可用來提供增加且更快速的保護,以存取雲端中的最新保護數據。
啟用雲端式保護服務是選擇性的,但強烈建議您這麼做,因為它可針對端點和網路上的惡意代碼提供重要保護。
範例數據可用來改善產品的保護功能,方法是傳送 Microsoft 可疑的範例以便進行分析。 啟用自動提交範例是選擇性的。
啟用此功能且所收集的範例可能包含個人資訊時,系統會提示使用者同意。
如果您是IT系統管理員,建議您在企業層級設定這些控制件。
在macOS上設定 適用於端點的 Microsoft Defender 喜好 設定中,會詳細說明上一節所述各種數據類型的隱私權控制。
如同任何新的原則設定,您應該在受限制的受控制環境中仔細測試它們,以確保您所設定的設定在組織中更廣泛地實作原則設定之前具有所需的效果。
本節說明哪些項目被視為必要診斷數據,以及哪些專案被視為選擇性診斷數據,以及所收集事件和欄位的描述。
有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。
下列欄位會被視為所有事件通用的欄位:
展開資料表
欄位
描述
平台
應用程式執行所在平臺的廣泛分類。 可讓 Microsoft 識別可能發生問題的平臺,以便正確設定其優先順序。
machine_guid
與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
sense_guid
與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
org_id
與裝置所屬企業相關聯的唯一標識符。 可讓 Microsoft 識別問題是否會影響一組選取的企業,以及受影響的企業數目。
主機 名
本機裝置名稱 (沒有 DNS 後綴) 。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
product_guid
產品的唯一標識碼。 可讓 Microsoft 區分影響不同產品類別的問題。
app_version
macOS 應用程式上 適用於端點的 Microsoft Defender 的版本。 可讓 Microsoft 識別哪些版本的產品顯示問題,以便正確設定其優先順序。
sig_version
安全性情報資料庫的版本。 可讓 Microsoft 識別哪些安全情報版本顯示問題,以便正確設定其優先順序。
supported_compressions
應用程式支援的壓縮演算法清單,例如 ['gzip']
。 可讓 Microsoft 瞭解與應用程式通訊時,可以使用哪些類型的壓縮。
release_ring
裝置與 (相關聯的信號,例如 Insider Fast、Insider Slow、Production) 。 可讓 Microsoft 識別問題可能發生的發行通道,以便正確設定其優先順序。
必要的診斷數據 是必要的最小數據,可協助保持 適用於端點的 Microsoft Defender 安全、保持最新狀態,並在安裝所在的裝置上如預期般執行。
必要的診斷數據有助於識別可能與裝置或軟體設定相關的 適用於端點的 Microsoft Defender 問題。 例如,它可以協助判斷 適用於端點的 Microsoft Defender 功能在特定操作系統版本、新引進的功能,或某些 適用於端點的 Microsoft Defender 功能停用時,是否更頻繁地損毀。 必要的診斷數據可協助 Microsoft 更快速地偵測、診斷及修正這些問題,以降低對使用者或組織的影響。
適用於端點的 Microsoft Defender 安裝/卸載 :
下列是收集的欄位:
展開資料表
欄位
描述
correlation_id
與安裝相關聯的唯一標識碼。
版本
套件的版本。
嚴重性
訊息的嚴重性 (例如資訊) 。
code
描述作業的程序代碼。
文字
與產品安裝相關聯的其他資訊。
適用於端點的 Microsoft Defender 組態 :
下列是收集的欄位:
展開資料表
欄位
描述
antivirus_engine.enable_real_time_protection
是否在裝置上啟用即時保護。
antivirus_engine.passive_mode
是否在裝置上啟用被動模式。
cloud_service.enabled
是否在裝置上啟用雲端提供的保護。
cloud_service.timeout
應用程式與 適用於端點的 Microsoft Defender 雲端通訊時逾時。
cloud_service.heartbeat_interval
產品傳送至雲端之連續活動訊號之間的間隔。
cloud_service.service_uri
用來與雲端通訊的URI。
cloud_service.diagnostic_level
裝置的診斷層級 (必要、選擇性的) 。
cloud_service.automatic_sample_submission
自動提交範例是否已開啟。
cloud_service.automatic_definition_update_enabled
是否開啟自動定義更新。
edr.early_preview
裝置是否應該執行EDR早期預覽功能。
edr.group_id
偵測和回應元件所使用的群組標識碼。
edr.tags
使用者定義的標記。
特徵。[選擇性功能名稱]
預覽功能清單,以及是否已啟用。
安全性情報更新報告 :
下列是收集的欄位:
展開資料表
欄位
描述
from_version
原始安全情報版本。
to_version
新的安全情報版本。
狀態
指出成功或失敗的更新狀態。
using_proxy
更新是否透過 Proxy 完成。
錯誤
如果更新失敗,則為錯誤碼。
reason
如果已更新的已歸檔,則為錯誤訊息。
非預期的應用程式 (當機) 結束:
當應用程式意外結束時,收集系統資訊和應用程式的狀態。
下列是收集的欄位:
展開資料表
欄位
描述
v1_crash_count
V1 引擎進程每小時在用戶端電腦上損毀的次數
v2_crash_count
V2 引擎進程每小時在用戶端電腦上損毀的次數
EDR_crash_count
EDR 進程每小時在用戶端電腦上損毀的次數
核心延伸模組統計資料 :
下列是收集的欄位:
展開資料表
欄位
描述
版本
macOS 上的 適用於端點的 Microsoft Defender 版本。
instance_id
核心延伸模組啟動時產生的唯一標識符。
trace_level
核心延伸模組的追蹤層級。
子系統
用於即時保護的基礎子系統。
ipc.connects
核心延伸模組所接收的連線要求數目。
ipc.rejects
核心延伸模組拒絕的連線要求數目。
ipc.connected
核心延伸模組是否有任何作用中連線。
診斷記錄 :
只有在使用者同意時,才會收集診斷記錄,作為意見反應提交功能的一部分。 下列檔案會收集為支援記錄的一部分:
/Library/Logs/Microsoft/mdatp/ 下的所有檔案
/Library/Application Support/Microsoft/Defender/ 底下的檔案子集,這些檔案是由 macOS 上的 適用於端點的 Microsoft Defender 所建立和使用
macOS 上 適用於端點的 Microsoft Defender 所使用 /Library/Managed 喜好 設定下的檔案子集
/Library/Logs/Microsoft/autoupdate.log
$HOME/Library/Preferences/com.microsoft.autoupdate2.plist
選擇性診斷數據 是其他數據,可協助 Microsoft 改善產品,並提供增強的信息來協助偵測、診斷和修正問題。
如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。
選擇性診斷數據的範例包括 Microsoft 收集的產品元件 (數據,例如裝置上設定的排除) 數目,以及產品效能 (產品) 元件效能的匯總量值。
適用於端點的 Microsoft Defender 組態 :
下列是收集的欄位:
展開資料表
欄位
描述
connection_retry_timeout
與雲端通訊時,連線重試會逾時。
file_hash_cache_maximum
產品快取的大小。
crash_upload_daily_limit
每日上傳的當機記錄限制。
antivirus_engine.exclusions[].is_directory
排除掃描是否為目錄。
antivirus_engine.exclusions[].path
從掃描中排除的路徑。
antivirus_engine.exclusions[].extension
從掃描中排除擴充功能。
antivirus_engine.exclusions[].name
從掃描中排除的檔名。
antivirus_engine.scan_cache_maximum
產品快取的大小。
antivirus_engine.maximum_scan_threads
用於掃描的線程數目上限。
antivirus_engine.threat_restoration_exclusion_time
在從隔離區還原檔案之前逾時,可以再次偵測到。
antivirus_engine.threat_type_settings
產品如何處理不同威脅類型的設定。
filesystem_scanner.full_scan_directory
完整掃描目錄。
filesystem_scanner.quick_scan_directories
快速掃描中使用的目錄清單。
edr.latency_mode
偵測和回應元件所使用的延遲模式。
edr.proxy_address
偵測和回應元件所使用的 Proxy 位址。
Microsoft 自動更新設定 :
下列是收集的欄位:
展開資料表
欄位
描述
how_to_check
決定如何檢查產品更新 (例如自動或手動) 。
channel_name
更新與裝置相關聯的通道。
manifest_server
用於下載更新的伺服器。
update_cache
用來儲存更新的快取位置。
下列是收集的欄位:
展開資料表
欄位
描述
sha256
支持記錄檔的SHA256標識碼。
Size
支援記錄檔的大小。
original_path
支持記錄檔 (一律位於 /Library/Application Support/Microsoft/Defender/wdavdiag/ ) 底下。
format
支援記錄的格式。
元
支援記錄內容的相關信息。
下列是收集的欄位:
展開資料表
欄位
描述
request_id
支持記錄上傳要求的相互關聯標識碼。
sha256
支持記錄檔的SHA256標識碼。
blob_sas_uri
應用程式用來上傳支持記錄的 URI。
非預期的應用程式 (當機) 結束:
非預期的應用程式結束,以及在該情況下應用程式的狀態。
核心延伸模組統計資料 :
下列是收集的欄位:
展開資料表
欄位
描述
pkt_ack_timeout
下列屬性是匯總的數值,代表自核心延伸模塊啟動後所發生的事件計數。
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create