Privacidade para Microsoft Defender para Endpoint no macOS
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A Microsoft está empenhada em fornecer-lhe as informações e controlos necessários para escolher a forma como os seus dados são recolhidos e utilizados quando estiver a utilizar Microsoft Defender para Endpoint no macOS.
Este tópico descreve os controlos de privacidade disponíveis no produto, como gerir estes controlos com definições de política e mais detalhes sobre os eventos de dados que são recolhidos.
Descrição geral dos controlos de privacidade no Microsoft Defender para Endpoint no macOS
Esta secção descreve os controlos de privacidade para os diferentes tipos de dados recolhidos pelo Microsoft Defender para Endpoint no macOS.
Dados de diagnóstico
Os dados de diagnóstico são utilizados para manter Microsoft Defender para Endpoint seguros e atualizados, detetar, diagnosticar e corrigir problemas e também melhorar o produto.
Alguns dados de diagnóstico são obrigatórios, enquanto outros dados de diagnóstico são opcionais. Damos-lhe a possibilidade de optar por enviar dados de diagnóstico obrigatórios ou opcionais através da utilização de controlos de privacidade, como as definições de política para organizações.
Existem dois níveis de dados de diagnóstico para Microsoft Defender para Endpoint software de cliente que pode escolher:
Obrigatório: os dados mínimos necessários para ajudar a manter o Microsoft Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo em que está instalado.
Opcional: dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e remediar problemas.
Por predefinição, apenas os dados de diagnóstico obrigatórios são enviados à Microsoft.
Dados de proteção fornecidos pela cloud
A proteção fornecida pela cloud é utilizada para proporcionar uma proteção maior e mais rápida com acesso aos dados de proteção mais recentes na cloud.
Ativar o serviço de proteção fornecido na cloud é opcional, no entanto, é altamente recomendado porque fornece proteção importante contra software maligno nos seus pontos finais e em toda a sua rede.
Dados de exemplo
Os dados de exemplo são utilizados para melhorar as capacidades de proteção do produto ao enviar amostras suspeitas da Microsoft para que possam ser analisados. Ativar a submissão automática de exemplo é opcional.
Quando esta funcionalidade está ativada e é provável que o exemplo recolhido contenha informações pessoais, é pedido ao utilizador o consentimento.
Faça a gestão de controlos de privacidade com definições de política
Se for um administrador de TI, poderá querer configurar estes controlos ao nível da empresa.
Os controlos de privacidade dos vários tipos de dados descritos na secção anterior são descritos em detalhe em Definir preferências para Microsoft Defender para Endpoint no macOS.
Tal como acontece com as novas definições de política, deve testá-las cuidadosamente num ambiente limitado e controlado para garantir que as definições que configura têm o efeito desejado antes de implementar as definições de política mais amplamente na sua organização.
Eventos de dados de diagnóstico
Esta secção descreve o que são considerados dados de diagnóstico obrigatórios e o que são considerados dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos que são recolhidos.
Campos de dados comuns a todos os eventos
Existem algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou subtipo de dados.
Os seguintes campos são considerados comuns para todos os eventos:
| Campo | Descrição |
|---|---|
| plataforma | A ampla classificação da plataforma na qual a aplicação está em execução. Permite que a Microsoft identifique em que plataformas um problema pode estar a ocorrer para que possa ser priorizada corretamente. |
| machine_guid | Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| sense_guid | Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| org_id | Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão a afetar um conjunto selecionado de empresas e quantas empresas são afetadas. |
| nome do anfitrião | Nome do dispositivo local (sem sufixo DNS). Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados. |
| product_guid | Identificador exclusivo do produto. Permite à Microsoft diferenciar problemas que afetam diferentes variantes do produto. |
| app_version | Versão do Microsoft Defender para Endpoint na aplicação macOS. Permite que a Microsoft identifique que versões do produto estão a mostrar um problema para que possa ser priorizada corretamente. |
| sig_version | Versão da base de dados de informações de segurança. Permite que a Microsoft identifique que versões das informações de segurança estão a mostrar um problema para que possa ser priorizada corretamente. |
| supported_compressions | Lista de algoritmos de compressão suportados pela aplicação, por exemplo ['gzip']. Permite que a Microsoft compreenda que tipos de compressões podem ser utilizadas quando comunica com a aplicação. |
| release_ring | Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em que cadência de versão pode estar a ocorrer um problema para que possa ser priorizada corretamente. |
Dados de diagnóstico obrigatórios
Os dados de diagnóstico obrigatórios são os dados mínimos necessários para ajudar a manter o Microsoft Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.
Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Endpoint que podem estar relacionados com uma configuração de dispositivo ou software. Por exemplo, pode ajudar a determinar se uma funcionalidade de Microsoft Defender para Endpoint falha com mais frequência numa determinada versão do sistema operativo, com funcionalidades recentemente introduzidas ou quando determinadas funcionalidades de Microsoft Defender para Endpoint estão desativadas. Os dados de diagnóstico necessários ajudam a Microsoft a detetar, diagnosticar e corrigir estes problemas mais rapidamente para que o impacto para os utilizadores ou organizações seja reduzido.
Eventos de dados de configuração e inventário do software
Microsoft Defender para Endpoint instalação/desinstalação:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| correlation_id | Identificador exclusivo associado à instalação. |
| versão | Versão do pacote. |
| gravidade | Gravidade da mensagem (por exemplo, Informativo). |
| código | Código que descreve a operação. |
| texto | Informações adicionais associadas à instalação do produto. |
Microsoft Defender para Endpoint configuração:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| antivirus_engine.enable_real_time_protection | Se a proteção em tempo real está ativada no dispositivo ou não. |
| antivirus_engine.passive_mode | Se o modo passivo está ativado no dispositivo ou não. |
| cloud_service.enabled | Se a proteção fornecida pela cloud está ou não ativada no dispositivo. |
| cloud_service.timeout | Tempo limite excedido quando a aplicação comunica com a cloud Microsoft Defender para Endpoint. |
| cloud_service.heartbeat_interval | Intervalo entre heartbeats consecutivos enviados pelo produto para a cloud. |
| cloud_service.service_uri | URI utilizado para comunicar com a cloud. |
| cloud_service.diagnostic_level | Nível de diagnóstico do dispositivo (obrigatório, opcional). |
| cloud_service.automatic_sample_submission | Se a submissão automática de exemplo está ativada ou não. |
| cloud_service.automatic_definition_update_enabled | Se a atualização automática de definições está ativada ou não. |
| edr.early_preview | Se o dispositivo deve executar as funcionalidades de pré-visualização antecipada do EDR. |
| edr.group_id | Identificador de grupo utilizado pelo componente de deteção e resposta. |
| edr.tags | Etiquetas definidas pelo utilizador. |
| funcionalidades. [nome da funcionalidade opcional] | Lista de funcionalidades de pré-visualização, juntamente com se estão ativadas ou não. |
Eventos de dados de utilização do produto e do serviço
Relatório de atualização de informações de segurança:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| from_version | Versão original das informações de segurança. |
| to_version | Nova versão das informações de segurança. |
| estado | Estado da atualização que indica êxito ou falha. |
| using_proxy | Se a atualização foi feita através de um proxy. |
| erro | Código de erro se a atualização tiver falhado. |
| motivo | Mensagem de erro se a atualização tiver sido arquivada. |
Eventos de dados de desempenho de produtos e serviços para dados de diagnóstico necessários
Saída inesperada da aplicação (falha):
Recolhe informações do sistema e o estado de uma aplicação quando uma aplicação sai inesperadamente.
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| v1_crash_count | Número de vezes que o processo do motor V1 falhou a cada hora no computador cliente |
| v2_crash_count | Número de vezes que o processo do motor V2 falhou a cada hora no computador cliente |
| EDR_crash_count | Número de vezes que o processo EDR falhou a cada hora no computador cliente |
Estatísticas da extensão do kernel:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| versão | Versão do Microsoft Defender para Endpoint no macOS. |
| instance_id | Identificador exclusivo gerado no arranque da extensão de kernel. |
| trace_level | Nível de rastreio da extensão de kernel. |
| subsistema | O subsistema subjacente utilizado para proteção em tempo real. |
| ipc.connects | Número de pedidos de ligação recebidos pela extensão de kernel. |
| ipc.rejects | Número de pedidos de ligação rejeitados pela extensão de kernel. |
| ipc.connected | Se existe alguma ligação ativa à extensão de kernel. |
Dados de suporte
Registos de diagnóstico:
Os registos de diagnóstico são recolhidos apenas com o consentimento do utilizador como parte da funcionalidade de submissão de comentários. Os seguintes ficheiros são recolhidos como parte dos registos de suporte:
- Todos os ficheiros em /Library/Logs/Microsoft/mdatp/
- Subconjunto de ficheiros em /Library/Application Support/Microsoft/Defender/ que são criados e utilizados por Microsoft Defender para Endpoint no macOS
- Subconjunto de ficheiros em /Library/Managed Preferences que são utilizados pelo Microsoft Defender para Endpoint no macOS
- /Library/Logs/Microsoft/autoupdate.log
- $HOME/Biblioteca/Preferências/com.microsoft.autoupdate2.plist
Dados de diagnóstico opcionais
Os dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e corrigir problemas.
Se optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico obrigatórios também são incluídos.
Exemplos de dados de diagnóstico opcionais incluem dados que a Microsoft recolhe sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).
Eventos de dados de configuração e inventário de software para dados de diagnóstico opcionais
Microsoft Defender para Endpoint configuração:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| connection_retry_timeout | A repetição da ligação excede o limite de tempo quando a comunicação com a cloud é excedida. |
| file_hash_cache_maximum | Tamanho da cache do produto. |
| crash_upload_daily_limit | Limite de registos de falhas carregados diariamente. |
| antivirus_engine.exclusions[].is_directory | Se a exclusão da análise é ou não um diretório. |
| antivirus_engine.exclusions[].path | Caminho que foi excluído da análise. |
| antivirus_engine.exclusions[].extension | Extensão excluída da análise. |
| antivirus_engine.exclusions[].name | Nome do ficheiro excluído da análise. |
| antivirus_engine.scan_cache_maximum | Tamanho da cache do produto. |
| antivirus_engine.maximum_scan_threads | Número máximo de threads utilizados para análise. |
| antivirus_engine.threat_restoration_exclusion_time | Tempo limite excedido antes de um ficheiro restaurado a partir da quarentena poder ser detetado novamente. |
| antivirus_engine.threat_type_settings | Configuração para a forma como os diferentes tipos de ameaças são processados pelo produto. |
| filesystem_scanner.full_scan_directory | Diretório de análise completo. |
| filesystem_scanner.quick_scan_directories | Lista de diretórios utilizados na análise rápida. |
| edr.latency_mode | Modo de latência utilizado pelo componente de deteção e resposta. |
| edr.proxy_address | Endereço proxy utilizado pelo componente de deteção e resposta. |
Configuração da Atualização Automática da Microsoft:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| how_to_check | Determina a forma como as atualizações de produtos são verificadas (por exemplo, automáticas ou manuais). |
| channel_name | Canal de atualização associado ao dispositivo. |
| manifest_server | Servidor utilizado para transferir atualizações. |
| update_cache | Localização da cache utilizada para armazenar atualizações. |
Utilização do produto e do serviço
Relatório de início do carregamento do registo de diagnósticos
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| sha256 | Identificador SHA256 do registo de suporte. |
| tamanho | Tamanho do registo de suporte. |
| original_path | Caminho para o registo de suporte (sempre em /Library/Application Support/Microsoft/Defender/wdavdiag/). |
| formato | Formato do registo de suporte. |
| metadados | Informações sobre o conteúdo do registo de suporte. |
Relatório concluído do carregamento do registo de diagnósticos
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| request_id | ID de Correlação do pedido de carregamento do registo de suporte. |
| sha256 | Identificador SHA256 do registo de suporte. |
| blob_sas_uri | URI utilizado pela aplicação para carregar o registo de suporte. |
Eventos de dados de desempenho de produtos e serviços para utilização de produtos e serviços
Saída inesperada da aplicação (falha):
Saída inesperada da aplicação e o estado da aplicação quando tal acontece.
Estatísticas da extensão do kernel:
São recolhidos os seguintes campos:
| Campo | Descrição |
|---|---|
| pkt_ack_timeout | As seguintes propriedades são valores numéricos agregados, que representam a contagem de eventos ocorridos desde o arranque da extensão de kernel. |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |
Recursos
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.