macOS 上 適用於端點的 Microsoft Defender 的隱私權

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

Microsoft 致力於為您提供在 macOS 上使用 適用於端點的 Microsoft Defender 時,您必須選擇如何收集和使用資料所需的資訊和控制項。

本主題描述產品內可用的隱私權控制、如何使用原則設定來管理這些控件,以及收集的數據事件詳細數據。

macOS 上 適用於端點的 Microsoft Defender 隱私權控制概觀

本節說明macOS上 適用於端點的 Microsoft Defender所收集之不同數據類型的隱私權控制。

診斷資料

診斷數據可用來確保 適用於端點的 Microsoft Defender 安全且最新、偵測、診斷和修正問題,以及改善產品。

某些診斷資料為必要,而某些診斷資料為選用。 我們可讓您選擇要透過隱私權控制 (如組織的原則設定) 向我們傳送必要或選用的診斷資料。

適用於端點的 Microsoft Defender 客戶端軟體有兩個層級的診斷資料可供您選擇:

  • 必要:在安裝的裝置上,協助保持 適用於端點的 Microsoft Defender 安全、最新且如預期般執行所需的最小數據。

  • 選擇性:其他數據可協助 Microsoft 改善產品,並提供增強的信息來協助偵測、診斷和補救問題。

根據預設,只會將必要的診斷數據傳送給 Microsoft。

雲端提供的保護數據

雲端提供的保護可用來提供增加且更快速的保護,以存取雲端中的最新保護數據。

啟用雲端式保護服務是選擇性的,但強烈建議您這麼做,因為它可針對端點和網路上的惡意代碼提供重要保護。

範例數據

範例數據可用來改善產品的保護功能,方法是傳送 Microsoft 可疑的範例以便進行分析。 啟用自動提交範例是選擇性的。

啟用此功能且所收集的範例可能包含個人資訊時,系統會提示使用者同意。

使用原則設定管理隱私權控制項

如果您是IT系統管理員,建議您在企業層級設定這些控制件。

macOS上設定 適用於端點的 Microsoft Defender 喜好設定中,會詳細說明上一節所述各種數據類型的隱私權控制。

如同任何新的原則設定,您應該在受限制的受控制環境中仔細測試它們,以確保您所設定的設定在組織中更廣泛地實作原則設定之前具有所需的效果。

診斷數據事件

本節說明哪些項目被視為必要診斷數據,以及哪些專案被視為選擇性診斷數據,以及所收集事件和欄位的描述。

所有事件通用的數據欄位

有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。

下列欄位會被視為所有事件通用的欄位:

欄位 描述
平台 應用程式執行所在平臺的廣泛分類。 可讓 Microsoft 識別可能發生問題的平臺,以便正確設定其優先順序。
machine_guid 與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
sense_guid 與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
org_id 與裝置所屬企業相關聯的唯一標識符。 可讓 Microsoft 識別問題是否會影響一組選取的企業,以及受影響的企業數目。
主機 名 本機裝置名稱 (沒有 DNS 後綴) 。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。
product_guid 產品的唯一標識碼。 可讓 Microsoft 區分影響不同產品類別的問題。
app_version macOS 應用程式上 適用於端點的 Microsoft Defender 的版本。 可讓 Microsoft 識別哪些版本的產品顯示問題,以便正確設定其優先順序。
sig_version 安全性情報資料庫的版本。 可讓 Microsoft 識別哪些安全情報版本顯示問題,以便正確設定其優先順序。
supported_compressions 應用程式支援的壓縮演算法清單,例如 ['gzip']。 可讓 Microsoft 瞭解與應用程式通訊時,可以使用哪些類型的壓縮。
release_ring 裝置與 (相關聯的信號,例如 Insider Fast、Insider Slow、Production) 。 可讓 Microsoft 識別問題可能發生的發行通道,以便正確設定其優先順序。

必要診斷資料

必要的診斷數據是必要的最小數據,可協助保持 適用於端點的 Microsoft Defender 安全、保持最新狀態,並在安裝所在的裝置上如預期般執行。

必要的診斷數據有助於識別可能與裝置或軟體設定相關的 適用於端點的 Microsoft Defender 問題。 例如,它可以協助判斷 適用於端點的 Microsoft Defender 功能在特定操作系統版本、新引進的功能,或某些 適用於端點的 Microsoft Defender 功能停用時,是否更頻繁地損毀。 必要的診斷數據可協助 Microsoft 更快速地偵測、診斷及修正這些問題,以降低對使用者或組織的影響。

軟體安裝和庫存資料事件

適用於端點的 Microsoft Defender 安裝/卸載

下列是收集的欄位:

欄位 描述
correlation_id 與安裝相關聯的唯一標識碼。
版本 套件的版本。
嚴重性 訊息的嚴重性 (例如資訊) 。
code 描述作業的程序代碼。
文字 與產品安裝相關聯的其他資訊。

適用於端點的 Microsoft Defender 組態

下列是收集的欄位:

欄位 描述
antivirus_engine.enable_real_time_protection 是否在裝置上啟用即時保護。
antivirus_engine.passive_mode 是否在裝置上啟用被動模式。
cloud_service.enabled 是否在裝置上啟用雲端提供的保護。
cloud_service.timeout 應用程式與 適用於端點的 Microsoft Defender 雲端通訊時逾時。
cloud_service.heartbeat_interval 產品傳送至雲端之連續活動訊號之間的間隔。
cloud_service.service_uri 用來與雲端通訊的URI。
cloud_service.diagnostic_level 裝置的診斷層級 (必要、選擇性的) 。
cloud_service.automatic_sample_submission 自動提交範例是否已開啟。
cloud_service.automatic_definition_update_enabled 是否開啟自動定義更新。
edr.early_preview 裝置是否應該執行EDR早期預覽功能。
edr.group_id 偵測和回應元件所使用的群組標識碼。
edr.tags 使用者定義的標記。
特徵。[選擇性功能名稱] 預覽功能清單,以及是否已啟用。

產品和服務使用資料事件

安全性情報更新報告

下列是收集的欄位:

欄位 描述
from_version 原始安全情報版本。
to_version 新的安全情報版本。
狀態 指出成功或失敗的更新狀態。
using_proxy 更新是否透過 Proxy 完成。
錯誤 如果更新失敗,則為錯誤碼。
reason 如果已更新的已歸檔,則為錯誤訊息。

必要診斷數據的產品和服務效能數據事件

非預期的應用程式 (當機) 結束:

當應用程式意外結束時,收集系統資訊和應用程式的狀態。

下列是收集的欄位:

欄位 描述
v1_crash_count V1 引擎進程每小時在用戶端電腦上損毀的次數
v2_crash_count V2 引擎進程每小時在用戶端電腦上損毀的次數
EDR_crash_count EDR 進程每小時在用戶端電腦上損毀的次數

核心延伸模組統計資料

下列是收集的欄位:

欄位 描述
版本 macOS 上的 適用於端點的 Microsoft Defender 版本。
instance_id 核心延伸模組啟動時產生的唯一標識符。
trace_level 核心延伸模組的追蹤層級。
子系統 用於即時保護的基礎子系統。
ipc.connects 核心延伸模組所接收的連線要求數目。
ipc.rejects 核心延伸模組拒絕的連線要求數目。
ipc.connected 核心延伸模組是否有任何作用中連線。

支持數據

診斷記錄

只有在使用者同意時,才會收集診斷記錄,作為意見反應提交功能的一部分。 下列檔案會收集為支援記錄的一部分:

  • /Library/Logs/Microsoft/mdatp/ 下的所有檔案
  • /Library/Application Support/Microsoft/Defender/ 底下的檔案子集,這些檔案是由 macOS 上的 適用於端點的 Microsoft Defender 所建立和使用
  • macOS 上 適用於端點的 Microsoft Defender 所使用 /Library/Managed 喜好設定下的檔案子集
  • /Library/Logs/Microsoft/autoupdate.log
  • $HOME/Library/Preferences/com.microsoft.autoupdate2.plist

選擇性診斷資料

選擇性診斷數據 是其他數據,可協助 Microsoft 改善產品,並提供增強的信息來協助偵測、診斷和修正問題。

如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。

選擇性診斷數據的範例包括 Microsoft 收集的產品元件 (數據,例如裝置上設定的排除) 數目,以及產品效能 (產品) 元件效能的匯總量值。

選擇性診斷數據的軟體設定和清查數據事件

適用於端點的 Microsoft Defender 組態

下列是收集的欄位:

欄位 描述
connection_retry_timeout 與雲端通訊時,連線重試會逾時。
file_hash_cache_maximum 產品快取的大小。
crash_upload_daily_limit 每日上傳的當機記錄限制。
antivirus_engine.exclusions[].is_directory 排除掃描是否為目錄。
antivirus_engine.exclusions[].path 從掃描中排除的路徑。
antivirus_engine.exclusions[].extension 從掃描中排除擴充功能。
antivirus_engine.exclusions[].name 從掃描中排除的檔名。
antivirus_engine.scan_cache_maximum 產品快取的大小。
antivirus_engine.maximum_scan_threads 用於掃描的線程數目上限。
antivirus_engine.threat_restoration_exclusion_time 在從隔離區還原檔案之前逾時,可以再次偵測到。
antivirus_engine.threat_type_settings 產品如何處理不同威脅類型的設定。
filesystem_scanner.full_scan_directory 完整掃描目錄。
filesystem_scanner.quick_scan_directories 快速掃描中使用的目錄清單。
edr.latency_mode 偵測和回應元件所使用的延遲模式。
edr.proxy_address 偵測和回應元件所使用的 Proxy 位址。

Microsoft 自動更新設定

下列是收集的欄位:

欄位 描述
how_to_check 決定如何檢查產品更新 (例如自動或手動) 。
channel_name 更新與裝置相關聯的通道。
manifest_server 用於下載更新的伺服器。
update_cache 用來儲存更新的快取位置。

產品和服務使用

診斷記錄上傳已啟動報告

下列是收集的欄位:

欄位 描述
sha256 支持記錄檔的SHA256標識碼。
Size 支援記錄檔的大小。
original_path 支持記錄檔 (一律位於 /Library/Application Support/Microsoft/Defender/wdavdiag/) 底下。
format 支援記錄的格式。
支援記錄內容的相關信息。

診斷記錄上傳已完成報告

下列是收集的欄位:

欄位 描述
request_id 支持記錄上傳要求的相互關聯標識碼。
sha256 支持記錄檔的SHA256標識碼。
blob_sas_uri 應用程式用來上傳支持記錄的 URI。

產品和服務使用量的產品和服務效能數據事件

非預期的應用程式 (當機) 結束:

非預期的應用程式結束,以及在該情況下應用程式的狀態。

核心延伸模組統計資料

下列是收集的欄位:

欄位 描述
pkt_ack_timeout 下列屬性是匯總的數值,代表自核心延伸模塊啟動後所發生的事件計數。
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

資源

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。