Microsoft 致力於為您提供所需的資訊和控制項,以選擇在 Linux 上使用適用於端點的 Defender 時如何收集和使用您的數據。
本文說明產品內可用的隱私權控制、如何使用原則設定來管理這些控制項,以及所收集資料事件的詳細資訊。
Linux 上 適用於端點的 Microsoft Defender 中的隱私控制概述
本節說明適用於端點的 Defender 在 Linux 上所收集之不同類型資料的隱私權控制。
診斷資料
診斷資料可用來讓適用於端點的 Defender 保持安全且最新、偵測、診斷和修正問題,以及進行產品改善。
某些診斷資料為必要,而某些診斷資料為選用。 我們可讓您選擇是否使用隱私權控制 (例如組織的原則設定) 傳送必要或選擇性診斷資料給我們。
適用於端點的 Defender 用戶端軟體有兩個層級的診斷資料可供您選擇:
- 必要:協助保持適用於端點的 Defender 安全、最新,並在安裝的裝置上如預期般執行所需的最低數據。
- 選擇性:其他資料可協助 Microsoft 進行產品改善,並提供增強的資訊,以協助偵測、診斷和補救問題。
根據預設,只會將必要的診斷資料傳送至 Microsoft。
雲端提供的保護資料
雲端提供的保護可用來提供增強且更快的保護,並存取雲端中的最新保護資料。
啟用雲端傳遞的保護服務是選擇性的,但強烈建議這樣做,因為它可針對端點和整個網路上的惡意軟體提供重要的保護。
範例資料
樣本數據用於通過發送Microsoft可疑樣本進行分析來提高產品的保護能力。 啟用自動範例提交是選擇性的。
控制樣品提交有三個層級:
- 無:不會將可疑範例提交給 Microsoft。
- 安全:只有不包含個人識別資訊 (PII) 的可疑樣本才會自動提交。 這是預設值。
- 全部:所有可疑的範例都會提交給 Microsoft。
使用原則設定管理隱私權控制項
如果您是 IT 系統管理員,您可能想要在企業層級設定這些控制項。
上一節所述各種類型資料的隱私權控制項,請參閱 設定適用於 Linux 上的適用於端點的 Defender 喜好設定。
如同任何新的原則設定,您應該在有限的受控環境中仔細測試它們,以確保您設定的設定具有所需的效果,然後再在組織中更廣泛地實作原則設定。
診斷資料事件
本節說明什麼是必要的診斷資料,哪些是選用診斷資料,以及所收集的事件和欄位的說明。
所有事件通用的資料欄位
有些事件的相關資訊為所有事件通用 (不論類別或資料子類型為何)。
下列欄位被視為所有事件的通用欄位:
| 欄位 | 描述 |
|---|---|
| 平台 | 執行應用程式之平台的廣泛分類。 允許 Microsoft 識別問題可能發生在哪些平台上,以便正確排定優先順序。 |
| machine_guid | 與裝置相關聯的唯一識別碼。 可讓 Microsoft 識別問題是否影響一組選取的安裝,以及有多少使用者受到影響。 |
| sense_guid | 與裝置相關聯的唯一識別碼。 可讓 Microsoft 識別問題是否影響一組選取的安裝,以及有多少使用者受到影響。 |
| org_id | 與裝置所屬企業相關聯的唯一識別碼。 可讓 Microsoft 識別問題是否影響一組選取的企業,以及有多少企業受到影響。 |
| 主機名稱 | 本機裝置名稱 (沒有 DNS 尾碼) 。 可讓 Microsoft 識別問題是否影響一組選取的安裝,以及有多少使用者受到影響。 |
| product_guid | 產品的唯一識別碼。 可讓 Microsoft 區分影響不同產品風格的問題。 |
| app_version | Linux 應用程式上適用於端點的 Defender 版本。 允許 Microsoft 識別哪些版本的產品顯示問題,以便正確排定優先順序。 |
| sig_version | 安全情報資料庫的版本。 允許 Microsoft 識別哪些版本的安全性情報顯示問題,以便正確排定優先順序。 |
| supported_compressions | 應用程式支援的壓縮演算法清單,例如 ['gzip']。 允許 Microsoft 了解與應用程式通訊時可以使用哪些類型的壓縮。 |
| release_ring | 裝置與 (相關聯的環,例如 Insider Fast、Insider Slow、Production) 。 允許 Microsoft 識別問題可能發生在哪個發行通道上,以便正確排定優先順序。 |
必要診斷資料
必要的診斷資料 是協助保持適用於端點的 Defender 安全、最新狀態,並在安裝的裝置上如預期般執行所需的最少資料。
必要的診斷數據有助於識別可能與裝置或軟體設定相關的適用於端點的 Microsoft Defender 問題。 例如,它可協助判斷適用於端點的 Defender 功能是否在特定作業系統版本上更頻繁地當機、使用新引進的功能,或停用某些適用於端點的 Defender 功能。 必要的診斷數據可協助 Microsoft 更快速地偵測、診斷和修正這些問題,以減少對使用者或組織的影響。
軟體安裝和庫存資料事件
適用於端點的 Microsoft Defender 安裝/解除安裝:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| correlation_id | 與安裝相關聯的唯一識別碼。 |
| 版本 | 套件的版本。 |
| 嚴重 | 訊息的嚴重性 (例如資訊) 。 |
| code | 描述作業的程式碼。 |
| 文字 | 與產品安裝相關的其他資訊。 |
適用於端點的 Microsoft Defender 設定:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| antivirus_engine.enable_real_time_protection | 設備上是否啟用了實時保護。 |
| antivirus_engine.被動模式 | 裝置上是否啟用被動模式。 |
| cloud_service.啟用 | 是否在裝置上啟用雲端傳遞的保護。 |
| cloud_service.逾時 | 當應用程式與適用於端點的 Defender 雲端通訊時逾時。 |
| cloud_service.心跳間隔 | 產品傳送至雲端的連續活動訊號之間的間隔。 |
| cloud_service.service_uri | URI 用於與雲端通訊。 |
| cloud_service.diagnostic_level | 設備的診斷級別 (必需的,可選) 。 |
| cloud_service.automatic_sample_submission | 設備的自動樣品提交級別 (無、安全、全) 。 |
| cloud_service.automatic_definition_update_enabled | 是否開啟自動定義更新。 |
| edr.early_preview | 裝置是否應該執行 EDR 早期預覽功能。 |
| edr.group_id | 偵測和回應元件所使用的群組識別碼。 |
| edr.標籤 | 使用者定義的標籤。 |
| 㚫。[可選功能名稱] | 預覽功能清單,以及是否已啟用。 |
產品和服務使用資料事件
安全性情報更新報告:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| from_version | 原始安全情報版本。 |
| to_version | 新的安全情報版本。 |
| 狀態 | 指出成功或失敗的更新狀態。 |
| using_proxy | 更新是否透過 Proxy 完成。 |
| 錯誤 | 如果更新失敗,則為錯誤碼。 |
| reason | 如果更新失敗,則會出現錯誤訊息。 |
必要診斷資料的產品和服務效能資料事件
核心擴充統計:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| 版本 | Linux 上適用於端點的 Defender 版本。 |
| instance_id | 核心延伸啟動時產生的唯一識別碼。 |
| trace_level | 核心延伸模組的追蹤層級。 |
| 子系統 | 用於即時保護的底層子系統。 |
| ipc.connects | 核心延伸模組收到的連線要求數目。 |
| ipc.拒絕 | 核心延伸拒絕的連線要求數目。 |
| ipc.已連接 | 是否有任何與核心延伸模組的有效連線。 |
支援資料
診斷日誌:
只有在使用者同意的情況下,才會收集診斷記錄,作為意見反應提交功能的一部分。 下列檔案會收集為支援記錄的一部分:
- /var/log/microsoft/mdatp 下的所有檔案
- /etc/opt/microsoft/mdatp 下由適用於端點的 Defender 在 Linux 上建立和使用的檔案子集
- /var/log/microsoft/mdatp/*下的產品安裝和解除安裝記錄.log
選擇性診斷資料
選擇性診斷資料 是其他資料,可協助 Microsoft 進行產品改善,並提供增強的資訊來協助偵測、診斷和修正問題。
如果您選擇將選用的診斷資料傳送給我們,則也會包含必要的診斷資料。
選用診斷資料的範例包括Microsoft收集的產品設定相關資料 (例如裝置) 上設定的排除項目數目,以及產品效能 (彙總產品元件效能的測量值) 。
選擇性診斷資料的軟體設定和清查資料事件
適用於端點的 Microsoft Defender 設定:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| connection_retry_timeout | 與雲端通訊時連線重試逾時。 |
| file_hash_cache_maximum | 產品快取的大小。 |
| crash_upload_daily_limit | 每天上傳的崩潰日誌限制。 |
| antivirus_engine.排除[].is_directory | 從掃描中排除的是否為目錄。 |
| antivirus_engine.exclusions[].路徑 | 從掃描中排除的路徑。 |
| antivirus_engine.exclusions[].副檔名 | 延伸模組已排除在掃描之外。 |
| antivirus_engine.exclusions[].名稱 | 從掃描中排除的檔案名稱。 |
| antivirus_engine.scan_cache_maximum | 產品快取的大小。 |
| antivirus_engine.maximum_scan_threads | 用於掃描的執行緒數目上限。 |
| antivirus_engine.威脅恢復排除時間 | 在可以再次偵測到從隔離區還原的檔案之前,逾時。 |
| antivirus_engine.threat_type_settings | 產品如何處理不同威脅類型的設定。 |
| filesystem_scanner.full_scan_directory | 完整掃描目錄。 |
| filesystem_scanner.quick_scan_目錄 | 快速掃描中使用的目錄清單。 |
| edr.latency_mode | 偵測和回應元件所使用的延遲模式。 |
| edr.proxy_address | 偵測和回應元件所使用的 Proxy 位址。 |
Microsoft 自動更新設定:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| how_to_check | 決定如何檢查產品更新 (例如自動或手動) 。 |
| channel_name | 更新與裝置相關聯的通道。 |
| manifest_server | 用於下載更新的伺服器。 |
| update_cache | 用來儲存更新的快取位置。 |
產品和服務使用
診斷記錄上傳啟動報告
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| 沙256 | 支援日誌的 SHA256 識別碼。 |
| Size | 支援記錄的大小。 |
| original_path | 支援記錄的路徑一律位於 /var/opt/microsoft/mdatp/wdavdiag/) 底下,支援記錄 (。 |
| format | 支援記錄的格式。 |
診斷記錄上傳完成報告
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| request_id | 支援記錄上傳要求的相互關聯識別碼。 |
| 沙256 | 支援日誌的 SHA256 識別碼。 |
| blob_sas_uri | 應用程式用來上傳支援記錄的 URI。 |
產品、服務和使用情況的產品和服務效能資料事件
非預期的應用程式結束 (當機) :
非預期的應用程式結束,以及在該情況下應用程式的狀態。
核心擴充統計:
下列是收集的欄位:
| 欄位 | 描述 |
|---|---|
| pkt_ack_timeout | 下列屬性是彙總數值,代表自核心延伸啟動以來發生的事件計數。 |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.逾時 | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.移動 | |
| ipc.kauth.vnode.掛載 | |
| ipc.kauth.vnode.拒絕 | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.打開 | |
| ipc.kauth.file_op.關閉 | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.移動 | |
| ipc.kauth.file_op.連結 | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.刪除 | |
| ipc.kauth.file_op.卸載 | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.創建 |
資源
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。