Freigeben über


Datenschutz für Microsoft Defender for Endpoint unter Linux

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Microsoft ist bestrebt, Ihnen die Informationen und Kontrollen zur Verfügung zu stellen, die Sie benötigen, um Entscheidungen darüber zu treffen, wie Ihre Daten gesammelt und verwendet werden, wenn Sie Defender für Endpunkt unter Linux verwenden.

In diesem Artikel werden die im Produkt verfügbaren Datenschutzsteuerelemente, die Verwaltung dieser Steuerelemente mit Richtlinieneinstellungen und weitere Details zu den gesammelten Datenereignissen beschrieben.

Übersicht über Datenschutzsteuerelemente in Microsoft Defender for Endpoint unter Linux

In diesem Abschnitt werden die Datenschutzsteuerelemente für die verschiedenen Datentypen beschrieben, die von Defender für Endpunkt unter Linux gesammelt werden.

Diagnosedaten

Diagnosedaten werden verwendet, um Defender für Endpunkt sicher und auf dem neuesten Stand zu halten, Probleme zu erkennen, zu diagnostizieren und zu beheben sowie Produktverbesserungen vorzunehmen.

Einige Diagnosedaten sind erforderlich, während andere Diagnosedaten optional sind. Wir geben Ihnen die Möglichkeit, auszuwählen, ob Sie uns erforderliche oder optionale Diagnosedaten senden möchten, indem Sie Datenschutzkontrollen verwenden, z. B. Richtlinieneinstellungen für Organisationen.

Es gibt zwei Ebenen von Diagnosedaten für Defender für Endpunkt-Clientsoftware, aus denen Sie wählen können:

  • Erforderlich: Die Mindestdaten, die erforderlich sind, um Defender für Endpunkt auf dem Gerät, auf dem es installiert ist, sicher, auf dem neuesten Stand zu halten und wie erwartet zu funktionieren.
  • Optional: Weitere Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen zur Erkennung, Diagnose und Behebung von Problemen zu bieten.

Standardmäßig werden nur erforderliche Diagnosedaten an Microsoft gesendet.

Von der Cloud bereitgestellte Schutzdaten

Der von der Cloud bereitgestellte Schutz wird verwendet, um einen höheren und schnelleren Schutz mit Zugriff auf die neuesten Schutzdaten in der Cloud bereitzustellen.

Das Aktivieren des von der Cloud bereitgestellten Schutzdiensts ist optional. Es wird jedoch dringend empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im gesamten Netzwerk bietet.

Beispieldaten

Beispieldaten werden verwendet, um die Schutzfunktionen des Produkts zu verbessern, indem verdächtige Microsoft-Proben gesendet werden, damit sie analysiert werden können. Das Aktivieren der automatischen Beispielübermittlung ist optional.

Es gibt drei Ebenen für die Steuerung der Beispielübermittlung:

  • Keine: Es werden keine verdächtigen Stichproben an Microsoft übermittelt.
  • Sicher: Nur verdächtige Stichproben, die keine personenbezogenen Informationen (Personally Identifiable Information, PII) enthalten, werden automatisch übermittelt. Dies ist der Standardwert.
  • Alle: Alle verdächtigen Stichproben werden an Microsoft übermittelt.

Verwalten von Datenschutzsteuerelementen mit Richtlinieneinstellungen

Wenn Sie IT-Administrator sind, sollten Sie diese Steuerelemente auf Unternehmensebene konfigurieren.

Die im vorherigen Abschnitt beschriebenen Datenschutzsteuerelemente für die verschiedenen Datentypen werden unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux ausführlich beschrieben.

Wie bei allen neuen Richtlinieneinstellungen sollten Sie sie sorgfältig in einer eingeschränkten, kontrollierten Umgebung testen, um sicherzustellen, dass die von Ihnen konfigurierten Einstellungen die gewünschte Wirkung haben, bevor Sie die Richtlinieneinstellungen in Ihrem organization umfassender implementieren.

Diagnosedatenereignisse

In diesem Abschnitt wird beschrieben, was als erforderliche Diagnosedaten betrachtet wird und was als optionale Diagnosedaten betrachtet wird, zusammen mit einer Beschreibung der Ereignisse und Felder, die gesammelt werden.

Datenfelder, die für alle Ereignisse gemeinsam sind

Es gibt einige Informationen über Ereignisse, die allen Ereignissen gemeinsam sind, unabhängig von der Kategorie oder dem Untertyp der Daten.

Die folgenden Felder gelten als allgemein für alle Ereignisse:

Feld Beschreibung
Plattform Die allgemeine Klassifizierung der Plattform, auf der die App ausgeführt wird. Ermöglicht Es Microsoft, zu ermitteln, auf welchen Plattformen ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.
machine_guid Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
sense_guid Eindeutiger Bezeichner, der dem Gerät zugeordnet ist. Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
org_id Eindeutiger Bezeichner, der dem Unternehmen zugeordnet ist, zu dem das Gerät gehört. Ermöglicht Es Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Unternehmen auswirken und wie viele Unternehmen betroffen sind.
Hostname Lokaler Gerätename (ohne DNS-Suffix). Ermöglicht Microsoft zu erkennen, ob sich Probleme auf eine ausgewählte Gruppe von Installationen auswirken und wie viele Benutzer betroffen sind.
product_guid Eindeutiger Bezeichner des Produkts. Ermöglicht Es Microsoft, Probleme zu unterscheiden, die sich auf verschiedene Varianten des Produkts auswirken.
app_version Version der Anwendung Defender für Endpunkt unter Linux. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen des Produkts ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
sig_version Version der Security Intelligence-Datenbank. Ermöglicht Es Microsoft, zu identifizieren, welche Versionen der Sicherheitsintelligenz ein Problem anzeigen, damit es ordnungsgemäß priorisiert werden kann.
supported_compressions Liste der von der Anwendung unterstützten Komprimierungsalgorithmen, z. B ['gzip']. . Ermöglicht Microsoft zu verstehen, welche Arten von Komprimierungen verwendet werden können, wenn es mit der Anwendung kommuniziert.
release_ring Ring, dem das Gerät zugeordnet ist (z. B. Insider Fast, Insider Slow, Production). Ermöglicht Es Microsoft, zu ermitteln, in welchem Releasering ein Problem auftreten kann, damit es ordnungsgemäß priorisiert werden kann.

Erforderliche Diagnosedaten

Erforderliche Diagnosedaten sind die Mindestdaten, die erforderlich sind, um Defender für Endpunkt sicher, auf dem neuesten Stand zu halten und auf dem Gerät, auf dem es installiert ist, wie erwartet ausgeführt zu werden.

Erforderliche Diagnosedaten helfen beim Identifizieren von Problemen mit Microsoft Defender for Endpoint, die möglicherweise mit einer Geräte- oder Softwarekonfiguration zusammenhängen. So kann beispielsweise ermittelt werden, ob ein Defender für Endpunkt-Feature bei einer bestimmten Betriebssystemversion, mit neu eingeführten Features oder wenn bestimmte Defender für Endpunkt-Features deaktiviert sind, häufiger abstürzt. Die erforderlichen Diagnosedaten helfen Microsoft, diese Probleme schneller zu erkennen, zu diagnostizieren und zu beheben, sodass die Auswirkungen auf Benutzer oder Organisationen reduziert werden.

Softwaresetup und Inventurdatenereignisse

Microsoft Defender for Endpoint Installation/Deinstallation:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
correlation_id Eindeutiger Bezeichner, der der Installation zugeordnet ist.
Version Version des Pakets.
Schweregrad Schweregrad der Nachricht (z. B. Information).
code Code, der den Vorgang beschreibt.
text Zusätzliche Informationen im Zusammenhang mit der Produktinstallation.

Microsoft Defender for Endpoint Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
antivirus_engine.enable_real_time_protection Gibt an, ob der Echtzeitschutz auf dem Gerät aktiviert ist oder nicht.
antivirus_engine.passive_mode Gibt an, ob der passive Modus auf dem Gerät aktiviert ist.
cloud_service.enabled Gibt an, ob der von der Cloud bereitgestellte Schutz auf dem Gerät aktiviert ist oder nicht.
cloud_service.timeout Timeout, wenn die Anwendung mit der Defender für Endpunkt-Cloud kommuniziert.
cloud_service.heartbeat_interval Intervall zwischen aufeinander folgenden Heartbeats, die vom Produkt an die Cloud gesendet werden.
cloud_service.service_uri URI, der für die Kommunikation mit der Cloud verwendet wird.
cloud_service.diagnostic_level Diagnoseebene des Geräts (erforderlich, optional).
cloud_service.automatic_sample_submission Automatische Stichprobenübermittlungsebene des Geräts (keine, sicher, alle).
cloud_service.automatic_definition_update_enabled Gibt an, ob die automatische Definitionsaktualisierung aktiviert ist.
edr.early_preview Gibt an, ob auf dem Gerät EDR Early Preview-Features ausgeführt werden sollen.
edr.group_id Gruppenbezeichner, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.tags Benutzerdefinierte Tags.
Funktionen. [optionaler Featurename] Liste der Vorschaufeatures, zusammen mit der Angabe, ob sie aktiviert sind oder nicht.

Produkt- und Dienstverwendungsdatenereignisse

Security Intelligence-Updatebericht:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
from_version Ursprüngliche Security Intelligence-Version.
to_version Neue Security Intelligence-Version.
status Status des Updates, der den Erfolg oder Fehler angibt.
using_proxy Gibt an, ob das Update über einen Proxy durchgeführt wurde.
error Fehlercode, wenn das Update fehlgeschlagen ist.
reason Fehlermeldung, wenn beim Update ein Fehler aufgetreten ist.

Produkt- und Dienstleistungsdatenereignisse für erforderliche Diagnosedaten

Kernelerweiterungsstatistiken:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
Version Version von Defender für Endpunkt unter Linux.
instance_id Eindeutiger Bezeichner, der beim Start der Kernelerweiterung generiert wird.
trace_level Ablaufverfolgungsebene der Kernelerweiterung.
Subsystem Das zugrunde liegende Subsystem, das für den Echtzeitschutz verwendet wird.
ipc.connects Anzahl der von der Kernelerweiterung empfangenen Verbindungsanforderungen.
ipc.rejects Anzahl von Verbindungsanforderungen, die von der Kernelerweiterung abgelehnt wurden.
ipc.connected Gibt an, ob eine aktive Verbindung mit der Kernelerweiterung besteht.

Supportdaten

Diagnoseprotokolle:

Diagnoseprotokolle werden nur mit zustimmung des Benutzers im Rahmen der Feedbackübermittlungsfunktion gesammelt. Die folgenden Dateien werden als Teil der Supportprotokolle gesammelt:

  • Alle Dateien unter /var/log/microsoft/mdatp
  • Teilmenge der Dateien unter "/etc/opt/microsoft/mdatp ", die von Defender für Endpunkt unter Linux erstellt und verwendet werden
  • Produktinstallations- und Deinstallationsprotokolle unter /var/log/microsoft/mdatp/*.log

Optionale Diagnosedaten

Optionale Diagnosedaten sind zusätzliche Daten, die Microsoft dabei helfen, Produktverbesserungen vorzunehmen und erweiterte Informationen bereitzustellen, um Probleme zu erkennen, zu diagnostizieren und zu beheben.

Wenn Sie sich dafür entscheiden, uns optionale Diagnosedaten zu senden, werden auch die erforderlichen Diagnosedaten mitgeliefert.

Beispiele für optionale Diagnosedaten sind Daten, die Microsoft über die Produktkonfiguration (z. B. die Anzahl der auf dem Gerät festgelegten Ausschlüsse) und die Produktleistung (aggregierte Measures zur Leistung von Komponenten des Produkts) sammelt.

Softwareeinrichtung und Inventurdatenereignisse für optionale Diagnosedaten

Microsoft Defender for Endpoint Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
connection_retry_timeout Timeout bei verbindungswieden Wiederholungen bei der Kommunikation mit der Cloud.
file_hash_cache_maximum Größe des Produktcaches.
crash_upload_daily_limit Limit der täglich hochgeladenen Absturzprotokolle.
antivirus_engine.exclusions[].is_directory Gibt an, ob der Ausschluss von der Überprüfung ein Verzeichnis ist oder nicht.
antivirus_engine.exclusions[].path Pfad, der von der Überprüfung ausgeschlossen wurde.
antivirus_engine.exclusions[].extension Erweiterung vom Scannen ausgeschlossen.
antivirus_engine.exclusions[].name Der Name der Datei, die von der Überprüfung ausgeschlossen ist.
antivirus_engine.scan_cache_maximum Größe des Produktcaches.
antivirus_engine.maximum_scan_threads Maximale Anzahl von Threads, die für die Überprüfung verwendet werden.
antivirus_engine.threat_restoration_exclusion_time Timeout, bevor eine aus der Quarantäne wiederhergestellte Datei wieder erkannt werden kann.
antivirus_engine.threat_type_settings Konfiguration, wie verschiedene Bedrohungstypen vom Produkt behandelt werden.
filesystem_scanner.full_scan_directory Verzeichnis der vollständigen Überprüfung.
filesystem_scanner.quick_scan_directories Liste der Verzeichnisse, die bei der Schnellüberprüfung verwendet werden.
edr.latency_mode Latenzmodus, der von der Erkennungs- und Antwortkomponente verwendet wird.
edr.proxy_address Proxyadresse, die von der Erkennungs- und Antwortkomponente verwendet wird.

Microsoft Auto-Update-Konfiguration:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
how_to_check Bestimmt, wie Produktupdates überprüft werden (z. B. automatisch oder manuell).
channel_name Updatekanal, der dem Gerät zugeordnet ist.
manifest_server Server, der zum Herunterladen von Updates verwendet wird.
update_cache Speicherort des Caches, der zum Speichern von Updates verwendet wird.

Produkt- und Dienstnutzung

Bericht zum Hochladen des Diagnoseprotokolls wurde gestartet

Die folgenden Felder werden gesammelt:

Feld Beschreibung
sha256 SHA256-Bezeichner des Supportprotokolls.
size Größe des Supportprotokolls.
original_path Pfad zum Supportprotokoll (immer unter /var/opt/microsoft/mdatp/wdavdiag/).
Format Format des Supportprotokolls.

Abgeschlossener Bericht zum Hochladen des Diagnoseprotokolls

Die folgenden Felder werden gesammelt:

Feld Beschreibung
request_id Korrelations-ID für die Anforderung zum Hochladen des Supportprotokolls.
sha256 SHA256-Bezeichner des Supportprotokolls.
blob_sas_uri URI, der von der Anwendung zum Hochladen des Supportprotokolls verwendet wird.

Produkt- und Dienstleistungsdatenereignisse für Produktdienst und -nutzung

Unerwarteter Anwendungsausgang (Absturz)::

Unerwartete Anwendungsbeendungen und der Anwendungsstatus zum Zeitpunkt des Beendung.

Kernelerweiterungsstatistiken:

Die folgenden Felder werden gesammelt:

Feld Beschreibung
pkt_ack_timeout Die folgenden Eigenschaften sind aggregierte numerische Werte, die die Anzahl der Ereignisse darstellen, die seit dem Start der Kernelerweiterung aufgetreten sind.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Ressourcen

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.