Privacy per Microsoft Defender per endpoint in Linux
Si applica a:
- Server di Microsoft Defender per endpoint.
- Microsoft Defender per server
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Microsoft si impegna a fornire le informazioni e i controlli necessari per scegliere come raccogliere e usare i dati quando si usa Defender per endpoint in Linux.
Questo articolo descrive i controlli della privacy disponibili all'interno del prodotto, come gestire questi controlli con le impostazioni dei criteri e altri dettagli sugli eventi di dati raccolti.
Panoramica dei controlli della privacy in Microsoft Defender per endpoint in Linux
Questa sezione descrive i controlli della privacy per i diversi tipi di dati raccolti da Defender per endpoint in Linux.
Dati di diagnostica
I dati di diagnostica vengono usati per mantenere Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto.
Alcuni dati di diagnostica sono obbligatori, mentre altri sono facoltativi. È possibile scegliere se inviare dati di diagnostica obbligatori o facoltativi usando i controlli della privacy, ad esempio le impostazioni dei criteri per le organizzazioni.
Sono disponibili due livelli di dati di diagnostica per il software client defender per endpoint tra cui è possibile scegliere:
- Obbligatorio: i dati minimi necessari per mantenere Defender per endpoint sicuro, aggiornato e con le prestazioni previste nel dispositivo in cui è installato.
- Facoltativo: altri dati che consentono a Microsoft di apportare miglioramenti ai prodotti e forniscono informazioni avanzate per rilevare, diagnosticare e correggere i problemi.
Per impostazione predefinita, vengono inviati a Microsoft solo i dati di diagnostica necessari.
Dati di protezione forniti dal cloud
La protezione fornita dal cloud viene usata per offrire una protezione maggiore e più veloce con accesso ai dati di protezione più recenti nel cloud.
L'abilitazione del servizio di protezione fornita dal cloud è facoltativa, ma è consigliabile perché offre una protezione importante contro il malware negli endpoint e nella rete.
Dati di esempio
I dati di esempio vengono usati per migliorare le funzionalità di protezione del prodotto inviando esempi sospetti Microsoft in modo che possano essere analizzati. L'abilitazione dell'invio automatico di esempi è facoltativa.
Esistono tre livelli per controllare l'invio di campioni:
- Nessuno: nessun esempio sospetto viene inviato a Microsoft.
- Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito.
- Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.
Gestire i controlli della privacy con le impostazioni dei criteri
Gli amministratori IT potrebbero voler configurare questi controlli a livello aziendale.
I controlli della privacy per i vari tipi di dati descritti nella sezione precedente sono descritti in dettaglio in Impostare le preferenze per Defender per endpoint in Linux.
Come per le nuove impostazioni dei criteri, è consigliabile testarle attentamente in un ambiente limitato e controllato per garantire che le impostazioni configurate abbiano l'effetto desiderato prima di implementare le impostazioni dei criteri in modo più ampio nell'organizzazione.
Eventi dei dati di diagnostica
Questa sezione descrive i dati di diagnostica considerati obbligatori e i dati di diagnostica facoltativi, oltre a una descrizione degli eventi e dei campi raccolti.
Campi dati comuni per tutti gli eventi
Esistono alcune informazioni sugli eventi comuni a tutti gli eventi, indipendentemente dalla categoria o dal sottotipo di dati.
I campi seguenti sono considerati comuni per tutti gli eventi:
Campo | Descrizione |
---|---|
piattaforma | Classificazione generale della piattaforma in cui è in esecuzione l'app. Consente a Microsoft di identificare le piattaforme in cui potrebbe verificarsi un problema in modo che possa essere correttamente classificato in ordine di priorità. |
machine_guid | Identificatore univoco associato al dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati. |
sense_guid | Identificatore univoco associato al dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati. |
org_id | Identificatore univoco associato all'organizzazione a cui appartiene il dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di aziende e il numero di aziende interessate. |
nome host | Nome del dispositivo locale (senza suffisso DNS). Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati. |
product_guid | Identificatore univoco del prodotto. Consente a Microsoft di distinguere i problemi che influiscono sulle diverse versioni del prodotto. |
app_version | Versione dell'applicazione Defender per endpoint in Linux. Consente a Microsoft di identificare le versioni del prodotto che visualizzano un problema in modo che possa essere correttamente classificato in ordine di priorità. |
sig_version | Versione del database di security intelligence. Consente a Microsoft di identificare le versioni dell'intelligence di sicurezza che mostrano un problema in modo che possa essere correttamente classificato in ordine di priorità. |
supported_compressions | Elenco di algoritmi di compressione supportati dall'applicazione, ad esempio ['gzip'] . Consente a Microsoft di comprendere quali tipi di compressioni possono essere usate quando comunica con l'applicazione. |
release_ring | Anello a cui è associato il dispositivo, ad esempio Insider Fast, Insider Slow, Production. Consente a Microsoft di identificare in quale anello di rilascio potrebbe verificarsi un problema in modo che possa essere correttamente classificato come priorità. |
Dati di diagnostica obbligatori
I dati di diagnostica necessari sono i dati minimi necessari per mantenere Defender per endpoint sicuro, aggiornato e funzionare come previsto nel dispositivo in cui è installato.
I dati di diagnostica necessari consentono di identificare i problemi con Microsoft Defender per endpoint che possono essere correlati a una configurazione di dispositivo o software. Ad esempio, può aiutare a determinare se una funzionalità di Defender per endpoint si arresta in modo anomalo più frequentemente in una determinata versione del sistema operativo, con funzionalità appena introdotte o quando alcune funzionalità di Defender per endpoint sono disabilitate. I dati di diagnostica necessari consentono a Microsoft di rilevare, diagnosticare e risolvere questi problemi più rapidamente in modo da ridurre l'impatto per utenti o organizzazioni.
Eventi dati Configurazione e inventario software
Microsoft Defender per endpoint installazione/disinstallazione:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
correlation_id | Identificatore univoco associato all'installazione. |
Versione | Versione del pacchetto. |
severità | Gravità del messaggio ,ad esempio Informational. |
code | Codice che descrive l'operazione. |
Testo | Informazioni aggiuntive associate all'installazione del prodotto. |
configurazione Microsoft Defender per endpoint:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
antivirus_engine.enable_real_time_protection | Indica se la protezione in tempo reale è abilitata o meno nel dispositivo. |
antivirus_engine.passive_mode | Indica se la modalità passiva è abilitata o meno nel dispositivo. |
cloud_service.enabled | Indica se la protezione fornita dal cloud è abilitata o meno nel dispositivo. |
cloud_service.timeout | Timeout quando l'applicazione comunica con il cloud di Defender per endpoint. |
cloud_service.heartbeat_interval | Intervallo tra heartbeat consecutivi inviati dal prodotto al cloud. |
cloud_service.service_uri | URI usato per comunicare con il cloud. |
cloud_service.diagnostic_level | Livello di diagnostica del dispositivo (obbligatorio, facoltativo). |
cloud_service.automatic_sample_submission | Livello di invio automatico del campione del dispositivo (nessuno, sicuro, tutto). |
cloud_service.automatic_definition_update_enabled | Indica se l'aggiornamento automatico delle definizioni è attivato o meno. |
edr.early_preview | Indica se il dispositivo deve eseguire le funzionalità di anteprima anticipata di EDR. |
edr.group_id | Identificatore di gruppo usato dal componente di rilevamento e risposta. |
edr.tags | Tag definiti dall'utente. |
tratti somatici. [nome funzionalità facoltativo] | Elenco delle funzionalità di anteprima, insieme all'abilitazione o meno. |
Eventi dati di Utilizzo di prodotti e servizi
Report sull'aggiornamento dell'intelligence per la sicurezza:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
from_version | Versione originale di Security Intelligence. |
to_version | Nuova versione di Security Intelligence. |
stato | Stato dell'aggiornamento che indica l'esito positivo o negativo. |
using_proxy | Indica se l'aggiornamento è stato eseguito tramite un proxy. |
errore | Codice di errore se l'aggiornamento non è riuscito. |
motivo | Messaggio di errore se l'aggiornamento non è riuscito. |
Eventi dei dati sulle prestazioni di prodotti e servizi per i dati di diagnostica necessari
Statistiche dell'estensione del kernel:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
Versione | Versione di Defender per endpoint in Linux. |
instance_id | Identificatore univoco generato all'avvio dell'estensione del kernel. |
trace_level | Livello di traccia dell'estensione del kernel. |
sottosistema | Sottosistema sottostante usato per la protezione in tempo reale. |
ipc.connects | Numero di richieste di connessione ricevute dall'estensione del kernel. |
ipc.rejects | Numero di richieste di connessione rifiutate dall'estensione del kernel. |
ipc.connected | Indica se è presente una connessione attiva all'estensione del kernel. |
Dati di supporto
Log di diagnostica:
I log di diagnostica vengono raccolti solo con il consenso dell'utente come parte della funzionalità di invio di commenti e suggerimenti. I file seguenti vengono raccolti come parte dei log di supporto:
- Tutti i file in /var/log/microsoft/mdatp
- Subset di file in /etc/opt/microsoft/mdatp creati e usati da Defender per endpoint in Linux
- Log di installazione e disinstallazione del prodotto in /var/log/microsoft/mdatp/*.log
Dati di diagnostica facoltativi
I dati di diagnostica facoltativi sono dati aggiuntivi che consentono a Microsoft di apportare miglioramenti ai prodotti e forniscono informazioni avanzate per rilevare, diagnosticare e risolvere i problemi.
Se si sceglie di inviare i dati di diagnostica facoltativi, saranno inclusi anche i dati indispensabili.
Esempi di dati di diagnostica facoltativi includono i dati raccolti da Microsoft sulla configurazione del prodotto (ad esempio il numero di esclusioni impostate nel dispositivo) e le prestazioni del prodotto (misure aggregate sulle prestazioni dei componenti del prodotto).
Eventi di configurazione software e dati di inventario per i dati di diagnostica facoltativi
configurazione Microsoft Defender per endpoint:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
connection_retry_timeout | Timeout dei tentativi di connessione durante la comunicazione con il cloud. |
file_hash_cache_maximum | Dimensioni della cache del prodotto. |
crash_upload_daily_limit | Limite dei log di arresto anomalo caricati ogni giorno. |
antivirus_engine.exclusions[].is_directory | Indica se l'esclusione dall'analisi è o meno una directory. |
antivirus_engine.exclusions[].path | Percorso escluso dall'analisi. |
antivirus_engine.exclusions[].extension | Estensione esclusa dall'analisi. |
antivirus_engine.exclusions[].name | Nome del file escluso dall'analisi. |
antivirus_engine.scan_cache_maximum | Dimensioni della cache del prodotto. |
antivirus_engine.maximum_scan_threads | Numero massimo di thread usati per l'analisi. |
antivirus_engine.threat_restoration_exclusion_time | Timeout prima che un file ripristinato dalla quarantena possa essere rilevato di nuovo. |
antivirus_engine.threat_type_settings | Configurazione per la modalità di gestione dei diversi tipi di minaccia da parte del prodotto. |
filesystem_scanner.full_scan_directory | Directory di analisi completa. |
filesystem_scanner.quick_scan_directories | Elenco delle directory usate nell'analisi rapida. |
edr.latency_mode | Modalità di latenza usata dal componente di rilevamento e risposta. |
edr.proxy_address | Indirizzo proxy usato dal componente di rilevamento e risposta. |
Configurazione dell'aggiornamento automatico Microsoft:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
how_to_check | Determina il modo in cui vengono controllati gli aggiornamenti del prodotto, ad esempio automatico o manuale. |
channel_name | Aggiornare il canale associato al dispositivo. |
manifest_server | Server usato per scaricare gli aggiornamenti. |
update_cache | Posizione della cache usata per archiviare gli aggiornamenti. |
Uso di prodotti e servizi
Report avviato per il caricamento del log di diagnostica
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
sha256 | Identificatore SHA256 del log di supporto. |
grandezza | Dimensioni del log di supporto. |
original_path | Percorso del log di supporto (sempre in /var/opt/microsoft/mdatp/wdavdiag/). |
format | Formato del log di supporto. |
Report di caricamento del log di diagnostica completato
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
request_id | ID di correlazione per la richiesta di caricamento del log di supporto. |
sha256 | Identificatore SHA256 del log di supporto. |
blob_sas_uri | URI usato dall'applicazione per caricare il log di supporto. |
Eventi dei dati sulle prestazioni di prodotti e servizi per il servizio e l'utilizzo del prodotto
Uscita imprevista dell'applicazione (arresto anomalo):
Chiusure impreviste dell'applicazione e stato dell'applicazione al momento dell'evento.
Statistiche dell'estensione del kernel:
Vengono raccolti i campi seguenti:
Campo | Descrizione |
---|---|
pkt_ack_timeout | Le proprietà seguenti sono valori numerici aggregati, che rappresentano il numero di eventi che si sono verificati dopo l'avvio dell'estensione del kernel. |
pkt_ack_conn_timeout | |
ipc.ack_pkts | |
ipc.nack_pkts | |
ipc.send.ack_no_conn | |
ipc.send.nack_no_conn | |
ipc.send.ack_no_qsq | |
ipc.send.nack_no_qsq | |
ipc.ack.no_space | |
ipc.ack.timeout | |
ipc.ack.ackd_fast | |
ipc.ack.ackd | |
ipc.recv.bad_pkt_len | |
ipc.recv.bad_reply_len | |
ipc.recv.no_waiter | |
ipc.recv.copy_failed | |
ipc.kauth.vnode.mask | |
ipc.kauth.vnode.read | |
ipc.kauth.vnode.write | |
ipc.kauth.vnode.exec | |
ipc.kauth.vnode.del | |
ipc.kauth.vnode.read_attr | |
ipc.kauth.vnode.write_attr | |
ipc.kauth.vnode.read_ex_attr | |
ipc.kauth.vnode.write_ex_attr | |
ipc.kauth.vnode.read_sec | |
ipc.kauth.vnode.write_sec | |
ipc.kauth.vnode.take_own | |
ipc.kauth.vnode.link | |
ipc.kauth.vnode.create | |
ipc.kauth.vnode.move | |
ipc.kauth.vnode.mount | |
ipc.kauth.vnode.denied | |
ipc.kauth.vnode.ackd_before_deadline | |
ipc.kauth.vnode.missed_deadline | |
ipc.kauth.file_op.mask | |
ipc.kauth_file_op.open | |
ipc.kauth.file_op.close | |
ipc.kauth.file_op.close_modified | |
ipc.kauth.file_op.move | |
ipc.kauth.file_op.link | |
ipc.kauth.file_op.exec | |
ipc.kauth.file_op.remove | |
ipc.kauth.file_op.unmount | |
ipc.kauth.file_op.fork | |
ipc.kauth.file_op.create |
Risorse
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.