macOS 上 適用於端點的 Microsoft Defender 的隱私權
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
Microsoft 致力於為您提供在 macOS 上使用 適用於端點的 Microsoft Defender 時,您必須選擇如何收集和使用資料所需的資訊和控制項。
本主題描述產品內可用的隱私權控制、如何使用原則設定來管理這些控件,以及收集的數據事件詳細數據。
本節說明macOS上 適用於端點的 Microsoft Defender所收集之不同數據類型的隱私權控制。
診斷數據可用來確保 適用於端點的 Microsoft Defender 安全且最新、偵測、診斷和修正問題,以及改善產品。
某些診斷資料為必要,而某些診斷資料為選用。 我們可讓您選擇要透過隱私權控制 (如組織的原則設定) 向我們傳送必要或選用的診斷資料。
適用於端點的 Microsoft Defender 客戶端軟體有兩個層級的診斷資料可供您選擇:
必要:在安裝的裝置上,協助保持 適用於端點的 Microsoft Defender 安全、最新且如預期般執行所需的最小數據。
選擇性:其他數據可協助 Microsoft 改善產品,並提供增強的信息來協助偵測、診斷和補救問題。
根據預設,只會將必要的診斷數據傳送給 Microsoft。
雲端提供的保護可用來提供增加且更快速的保護,以存取雲端中的最新保護數據。
啟用雲端式保護服務是選擇性的,但強烈建議您這麼做,因為它可針對端點和網路上的惡意代碼提供重要保護。
範例數據可用來改善產品的保護功能,方法是傳送 Microsoft 可疑的範例以便進行分析。 啟用自動提交範例是選擇性的。
啟用此功能且所收集的範例可能包含個人資訊時,系統會提示使用者同意。
如果您是IT系統管理員,建議您在企業層級設定這些控制件。
在macOS上設定 適用於端點的 Microsoft Defender 喜好設定中,會詳細說明上一節所述各種數據類型的隱私權控制。
如同任何新的原則設定,您應該在受限制的受控制環境中仔細測試它們,以確保您所設定的設定在組織中更廣泛地實作原則設定之前具有所需的效果。
本節說明哪些項目被視為必要診斷數據,以及哪些專案被視為選擇性診斷數據,以及所收集事件和欄位的描述。
有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。
下列欄位會被視為所有事件通用的欄位:
欄位 | 描述 |
---|---|
平台 | 應用程式執行所在平臺的廣泛分類。 可讓 Microsoft 識別可能發生問題的平臺,以便正確設定其優先順序。 |
machine_guid | 與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
sense_guid | 與裝置相關聯的唯一標識碼。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
org_id | 與裝置所屬企業相關聯的唯一標識符。 可讓 Microsoft 識別問題是否會影響一組選取的企業,以及受影響的企業數目。 |
主機 名 | 本機裝置名稱 (沒有 DNS 後綴) 。 可讓 Microsoft 識別問題是否會影響一組選取的安裝,以及有多少使用者受到影響。 |
product_guid | 產品的唯一標識碼。 可讓 Microsoft 區分影響不同產品類別的問題。 |
app_version | macOS 應用程式上 適用於端點的 Microsoft Defender 的版本。 可讓 Microsoft 識別哪些版本的產品顯示問題,以便正確設定其優先順序。 |
sig_version | 安全性情報資料庫的版本。 可讓 Microsoft 識別哪些安全情報版本顯示問題,以便正確設定其優先順序。 |
supported_compressions | 應用程式支援的壓縮演算法清單,例如 ['gzip'] 。 可讓 Microsoft 瞭解與應用程式通訊時,可以使用哪些類型的壓縮。 |
release_ring | 裝置與 (相關聯的信號,例如 Insider Fast、Insider Slow、Production) 。 可讓 Microsoft 識別問題可能發生的發行通道,以便正確設定其優先順序。 |
必要的診斷數據是必要的最小數據,可協助保持 適用於端點的 Microsoft Defender 安全、保持最新狀態,並在安裝所在的裝置上如預期般執行。
必要的診斷數據有助於識別可能與裝置或軟體設定相關的 適用於端點的 Microsoft Defender 問題。 例如,它可以協助判斷 適用於端點的 Microsoft Defender 功能在特定操作系統版本、新引進的功能,或某些 適用於端點的 Microsoft Defender 功能停用時,是否更頻繁地損毀。 必要的診斷數據可協助 Microsoft 更快速地偵測、診斷及修正這些問題,以降低對使用者或組織的影響。
適用於端點的 Microsoft Defender 安裝/卸載:
下列是收集的欄位:
欄位 | 描述 |
---|---|
correlation_id | 與安裝相關聯的唯一標識碼。 |
版本 | 套件的版本。 |
嚴重性 | 訊息的嚴重性 (例如資訊) 。 |
code | 描述作業的程序代碼。 |
文字 | 與產品安裝相關聯的其他資訊。 |
適用於端點的 Microsoft Defender 組態:
下列是收集的欄位:
欄位 | 描述 |
---|---|
antivirus_engine.enable_real_time_protection | 是否在裝置上啟用即時保護。 |
antivirus_engine.passive_mode | 是否在裝置上啟用被動模式。 |
cloud_service.enabled | 是否在裝置上啟用雲端提供的保護。 |
cloud_service.timeout | 應用程式與 適用於端點的 Microsoft Defender 雲端通訊時逾時。 |
cloud_service.heartbeat_interval | 產品傳送至雲端之連續活動訊號之間的間隔。 |
cloud_service.service_uri | 用來與雲端通訊的URI。 |
cloud_service.diagnostic_level | 裝置的診斷層級 (必要、選擇性的) 。 |
cloud_service.automatic_sample_submission | 自動提交範例是否已開啟。 |
cloud_service.automatic_definition_update_enabled | 是否開啟自動定義更新。 |
edr.early_preview | 裝置是否應該執行EDR早期預覽功能。 |
edr.group_id | 偵測和回應元件所使用的群組標識碼。 |
edr.tags | 使用者定義的標記。 |
特徵。[選擇性功能名稱] | 預覽功能清單,以及是否已啟用。 |
安全性情報更新報告:
下列是收集的欄位:
欄位 | 描述 |
---|---|
from_version | 原始安全情報版本。 |
to_version | 新的安全情報版本。 |
狀態 | 指出成功或失敗的更新狀態。 |
using_proxy | 更新是否透過 Proxy 完成。 |
錯誤 | 如果更新失敗,則為錯誤碼。 |
reason | 如果已更新的已歸檔,則為錯誤訊息。 |
非預期的應用程式 (當機) 結束:
當應用程式意外結束時,收集系統資訊和應用程式的狀態。
下列是收集的欄位:
欄位 | 描述 |
---|---|
v1_crash_count | V1 引擎進程每小時在用戶端電腦上損毀的次數 |
v2_crash_count | V2 引擎進程每小時在用戶端電腦上損毀的次數 |
EDR_crash_count | EDR 進程每小時在用戶端電腦上損毀的次數 |
核心延伸模組統計資料:
下列是收集的欄位:
欄位 | 描述 |
---|---|
版本 | macOS 上的 適用於端點的 Microsoft Defender 版本。 |
instance_id | 核心延伸模組啟動時產生的唯一標識符。 |
trace_level | 核心延伸模組的追蹤層級。 |
子系統 | 用於即時保護的基礎子系統。 |
ipc.connects | 核心延伸模組所接收的連線要求數目。 |
ipc.rejects | 核心延伸模組拒絕的連線要求數目。 |
ipc.connected | 核心延伸模組是否有任何作用中連線。 |
診斷記錄:
只有在使用者同意時,才會收集診斷記錄,作為意見反應提交功能的一部分。 下列檔案會收集為支援記錄的一部分:
- /Library/Logs/Microsoft/mdatp/ 下的所有檔案
- /Library/Application Support/Microsoft/Defender/ 底下的檔案子集,這些檔案是由 macOS 上的 適用於端點的 Microsoft Defender 所建立和使用
- macOS 上 適用於端點的 Microsoft Defender 所使用 /Library/Managed 喜好設定下的檔案子集
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Library/Preferences/com.microsoft.autoupdate2.plist
選擇性診斷數據 是其他數據,可協助 Microsoft 改善產品,並提供增強的信息來協助偵測、診斷和修正問題。
如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。
選擇性診斷數據的範例包括 Microsoft 收集的產品元件 (數據,例如裝置上設定的排除) 數目,以及產品效能 (產品) 元件效能的匯總量值。
適用於端點的 Microsoft Defender 組態:
下列是收集的欄位:
欄位 | 描述 |
---|---|
connection_retry_timeout | 與雲端通訊時,連線重試會逾時。 |
file_hash_cache_maximum | 產品快取的大小。 |
crash_upload_daily_limit | 每日上傳的當機記錄限制。 |
antivirus_engine.exclusions[].is_directory | 排除掃描是否為目錄。 |
antivirus_engine.exclusions[].path | 從掃描中排除的路徑。 |
antivirus_engine.exclusions[].extension | 從掃描中排除擴充功能。 |
antivirus_engine.exclusions[].name | 從掃描中排除的檔名。 |
antivirus_engine.scan_cache_maximum | 產品快取的大小。 |
antivirus_engine.maximum_scan_threads | 用於掃描的線程數目上限。 |
antivirus_engine.threat_restoration_exclusion_time | 在從隔離區還原檔案之前逾時,可以再次偵測到。 |
antivirus_engine.threat_type_settings | 產品如何處理不同威脅類型的設定。 |
filesystem_scanner.full_scan_directory | 完整掃描目錄。 |
filesystem_scanner.quick_scan_directories | 快速掃描中使用的目錄清單。 |
edr.latency_mode | 偵測和回應元件所使用的延遲模式。 |
edr.proxy_address | 偵測和回應元件所使用的 Proxy 位址。 |
Microsoft 自動更新設定:
下列是收集的欄位:
欄位 | 描述 |
---|---|
how_to_check | 決定如何檢查產品更新 (例如自動或手動) 。 |
channel_name | 更新與裝置相關聯的通道。 |
manifest_server | 用於下載更新的伺服器。 |
update_cache | 用來儲存更新的快取位置。 |
下列是收集的欄位:
欄位 | 描述 |
---|---|
sha256 | 支持記錄檔的SHA256標識碼。 |
Size | 支援記錄檔的大小。 |
original_path | 支持記錄檔 (一律位於 /Library/Application Support/Microsoft/Defender/wdavdiag/) 底下。 |
format | 支援記錄的格式。 |
元 | 支援記錄內容的相關信息。 |
下列是收集的欄位:
欄位 | 描述 |
---|---|
request_id | 支持記錄上傳要求的相互關聯標識碼。 |
sha256 | 支持記錄檔的SHA256標識碼。 |
blob_sas_uri | 應用程式用來上傳支持記錄的 URI。 |
非預期的應用程式 (當機) 結束:
非預期的應用程式結束,以及在該情況下應用程式的狀態。
核心延伸模組統計資料:
下列是收集的欄位:
欄位 | 描述 |
---|---|
pkt_ack_timeout | 下列屬性是匯總的數值,代表自核心延伸模塊啟動後所發生的事件計數。 |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。