Microsoft致力于为你提供在 Linux 上使用 Defender for Endpoint 时选择数据收集和使用方式所需的信息和控件。
本文介绍产品中可用的隐私控件、如何使用策略设置管理这些控件,以及有关收集的数据事件的更多详细信息。
Linux 上的Microsoft Defender for Endpoint中的隐私控件概述
本部分介绍 Defender for Endpoint 在 Linux 上收集的不同类型的数据的隐私控制。
诊断数据
诊断数据用于保持 Defender for Endpoint 的安全和最新、检测、诊断和修复问题,以及进行产品改进。
某些诊断数据是必需的,而某些诊断数据是可选的。 我们让你能够选择通过使用隐私控制(例如组织的策略设置)向我们发送必需或可选的诊断数据。
Defender for Endpoint 客户端软件有两个级别的诊断数据可供选择:
- 必需:帮助保持 Defender for Endpoint 安全、最新并在安装它的设备上按预期执行所需的最低数据。
- 可选:其他数据,可帮助Microsoft进行产品改进,并提供增强的信息来帮助检测、诊断和修正问题。
默认情况下,仅向Microsoft发送所需的诊断数据。
云提供的保护数据
云提供的保护用于通过访问云中的最新保护数据来提供更高、更快的保护。
启用云提供的保护服务是可选的,但强烈建议启用该服务,因为它在终结点上和网络中提供针对恶意软件的重要保护。
示例数据
示例数据用于通过发送Microsoft可疑样本来改进产品的保护功能,以便对其进行分析。 启用自动示例提交是可选的。
有三个级别用于控制示例提交:
- 无:不会将可疑样本提交到Microsoft。
- 安全:仅自动提交不包含个人身份信息的可疑样本 (PII) 。 此值为默认值。
- 全部:所有可疑样本均提交到Microsoft。
通过策略设置管理隐私控件
如果你是 IT 管理员,则可能需要在企业级别配置这些控件。
在Linux上设置 Defender for Endpoint 的首选项中详细介绍了上一部分所述的各种类型的数据的隐私控制。
与任何新策略设置一样,应在受限的受控环境中仔细测试这些设置,以确保在组织中更广泛地实施策略设置之前,配置的设置具有所需的效果。
诊断数据事件
本部分介绍哪些诊断数据被视为必需诊断数据,哪些诊断数据被视为可选诊断数据,以及所收集的事件和字段的说明。
所有事件通用的数据字段
一些关于事件的信息是所有事件所共有的,这与类别或数据子类型无关。
以下字段被视为所有事件的通用字段:
| 字段 | 说明 |
|---|---|
| 平台 | 运行应用的平台的广泛分类。 允许Microsoft识别问题可能发生在哪些平台上,以便正确确定问题的优先级。 |
| machine_guid | 与设备关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| sense_guid | 与设备关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| org_id | 与设备所属企业关联的唯一标识符。 允许Microsoft确定问题是否正在影响一组选定企业以及受影响的企业数量。 |
| 主机 名 | 本地设备名称 (不带 DNS 后缀) 。 允许Microsoft确定问题是否正在影响一组选择的安装以及受影响的用户数。 |
| product_guid | 产品的唯一标识符。 允许Microsoft区分影响不同口味的产品的问题。 |
| app_version | Linux 应用程序上的 Defender for Endpoint 版本。 允许Microsoft确定产品的哪些版本显示问题,以便正确确定问题的优先级。 |
| sig_version | 安全智能数据库的版本。 允许Microsoft识别哪些安全智能版本显示问题,以便正确确定问题的优先级。 |
| supported_compressions | 应用程序支持的压缩算法列表,例如 ['gzip']。 允许Microsoft了解在与应用程序通信时可以使用哪些类型的压缩。 |
| release_ring | 响铃设备与 (例如 Insider Fast、Insider Slow、Production) 。 允许Microsoft识别问题可能发生在哪个版本上,以便正确确定问题的优先级。 |
必需诊断数据
所需的诊断数据 是帮助 Defender for Endpoint 保持安全、最新并在安装它的设备上按预期执行所需的最小数据。
所需的诊断数据有助于识别可能与设备或软件配置相关的Microsoft Defender for Endpoint问题。 例如,它可以帮助确定 Defender for Endpoint 功能在特定操作系统版本上是否更频繁地崩溃,以及何时禁用某些 Defender for Endpoint 功能。 所需的诊断数据可帮助Microsoft更快地检测、诊断和修复这些问题,从而减少对用户或组织的影响。
软件安装和清单数据事件
Microsoft Defender for Endpoint安装/卸载:
收集以下字段:
| 字段 | 说明 |
|---|---|
| correlation_id | 与安装关联的唯一标识符。 |
| version | 包的版本。 |
| severity | 消息的严重性 (例如信息) 。 |
| code | 描述操作的代码。 |
| text | 与产品安装关联的其他信息。 |
Microsoft Defender for Endpoint配置:
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| antivirus_engine.enable_real_time_protection | 是否在设备上启用实时保护。 |
| antivirus_engine.passive_mode | 是否在设备上启用被动模式。 |
| cloud_service.enabled | 是否在设备上启用了云提供的保护。 |
| cloud_service.timeout | 应用程序与 Defender for Endpoint 云通信时超时。 |
| cloud_service.heartbeat_interval | 产品发送到云的连续检测信号之间的间隔。 |
| cloud_service.service_uri | 用于与云通信的 URI。 |
| cloud_service.diagnostic_level | 设备的诊断级别 (必需、可选) 。 |
| cloud_service.automatic_sample_submission | 设备的自动示例提交级别 (无、安全、所有) 。 |
| cloud_service.automatic_definition_update_enabled | 是否打开自动定义更新。 |
| edr.early_preview | 设备是否应运行 EDR 早期预览功能。 |
| edr.group_id | 检测和响应组件使用的组标识符。 |
| edr.tags | 用户定义的标记。 |
| 特征。[可选功能名称] | 预览功能的列表,以及它们是否已启用。 |
产品和服务使用情况数据事件
安全智能更新报告:
收集以下字段:
| 字段 | 说明 |
|---|---|
| from_version | 原始安全智能版本。 |
| to_version | 新的安全智能版本。 |
| status | 指示成功或失败的更新的状态。 |
| using_proxy | 更新是否通过代理完成。 |
| error | 更新失败时出现错误代码。 |
| reason | 更新失败时出现错误消息。 |
所需诊断数据的产品和服务性能数据事件
内核扩展统计信息:
收集以下字段:
| 字段 | 说明 |
|---|---|
| version | Linux 上的 Defender for Endpoint 版本。 |
| instance_id | 内核扩展启动时生成的唯一标识符。 |
| trace_level | 内核扩展的跟踪级别。 |
| 子系统 | 用于实时保护的基础子系统。 |
| ipc.connects | 内核扩展接收的连接请求数。 |
| ipc.rejects | 内核扩展拒绝的连接请求数。 |
| ipc.connected | 内核扩展是否有任何活动连接。 |
支持数据
诊断日志:
诊断日志仅在用户同意的情况下收集,作为反馈提交功能的一部分。 以下文件作为支持日志的一部分收集:
- /var/log/microsoft/mdatp 下的所有文件
- /etc/opt/microsoft/mdatp 下的文件子集,由 Defender for Endpoint 在 Linux
- /var/log/microsoft/mdatp/*.log 下的产品安装和卸载日志
可选诊断数据
可选诊断数据 是其他数据,可帮助Microsoft进行产品改进,并提供增强的信息来帮助检测、诊断和修复问题。
如果你选择向我们发送可选诊断数据,则还需要包括必需的诊断数据。
可选诊断数据的示例包括Microsoft收集有关产品配置的数据 (例如在设备) 上设置的排除项数,以及产品性能 (有关产品) 组件性能的聚合度量值。
可选诊断数据的软件设置和清单数据事件
Microsoft Defender for Endpoint配置:
收集以下字段:
| 字段 | 说明 |
|---|---|
| connection_retry_timeout | 与云通信时连接重试超时。 |
| file_hash_cache_maximum | 产品缓存的大小。 |
| crash_upload_daily_limit | 每天上传的崩溃日志限制。 |
| antivirus_engine.exclusions[].is_directory | 排除扫描是否为目录。 |
| antivirus_engine.exclusions[].path | 从扫描中排除的路径。 |
| antivirus_engine.exclusions[].extension | 从扫描中排除的扩展。 |
| antivirus_engine.exclusions[].name | 从扫描中排除的文件的名称。 |
| antivirus_engine.scan_cache_maximum | 产品缓存的大小。 |
| antivirus_engine.maximum_scan_threads | 用于扫描的最大线程数。 |
| antivirus_engine.threat_restoration_exclusion_time | 在再次检测到从隔离区还原的文件之前超时。 |
| antivirus_engine.threat_type_settings | 产品如何处理不同威胁类型的配置。 |
| filesystem_scanner.full_scan_directory | 完全扫描目录。 |
| filesystem_scanner.quick_scan_directory | 快速扫描中使用的目录列表。 |
| edr.latency_mode | 检测和响应组件使用的延迟模式。 |
| edr.proxy_address | 检测和响应组件使用的代理地址。 |
Microsoft自动更新配置:
收集以下字段:
| 字段 | 说明 |
|---|---|
| how_to_check | 确定如何 (检查产品更新,例如自动或手动) 。 |
| channel_name | 更新与设备关联的通道。 |
| manifest_server | 用于下载更新的服务器。 |
| update_cache | 用于存储更新的缓存的位置。 |
产品和服务使用情况
诊断日志上传已启动报告
将会收集以下字段:
| 字段 | 说明 |
|---|---|
| sha256 | 支持日志的 SHA256 标识符。 |
| size | 支持日志的大小。 |
| original_path | 支持日志的路径 (始终在 /var/opt/microsoft/mdatp/wdavdiag/) 下。 |
| format | 支持日志的格式。 |
诊断日志上传已完成报告
收集以下字段:
| 字段 | 说明 |
|---|---|
| request_id | 支持日志上传请求的相关 ID。 |
| sha256 | 支持日志的 SHA256 标识符。 |
| blob_sas_uri | 应用程序用于上传支持日志的 URI。 |
产品服务和使用情况的产品和服务性能数据事件
意外的应用程序退出 (崩溃) :
应用程序意外退出以及发生这种情况时的应用程序状态。
内核扩展统计信息:
收集以下字段:
| 字段 | 说明 |
|---|---|
| pkt_ack_timeout | 以下属性是聚合的数值,表示自内核扩展启动以来发生的事件计数。 |
| pkt_ack_conn_timeout | |
| ipc.ack_pkts | |
| ipc.nack_pkts | |
| ipc.send.ack_no_conn | |
| ipc.send.nack_no_conn | |
| ipc.send.ack_no_qsq | |
| ipc.send.nack_no_qsq | |
| ipc.ack.no_space | |
| ipc.ack.timeout | |
| ipc.ack.ackd_fast | |
| ipc.ack.ackd | |
| ipc.recv.bad_pkt_len | |
| ipc.recv.bad_reply_len | |
| ipc.recv.no_waiter | |
| ipc.recv.copy_failed | |
| ipc.kauth.vnode.mask | |
| ipc.kauth.vnode.read | |
| ipc.kauth.vnode.write | |
| ipc.kauth.vnode.exec | |
| ipc.kauth.vnode.del | |
| ipc.kauth.vnode.read_attr | |
| ipc.kauth.vnode.write_attr | |
| ipc.kauth.vnode.read_ex_attr | |
| ipc.kauth.vnode.write_ex_attr | |
| ipc.kauth.vnode.read_sec | |
| ipc.kauth.vnode.write_sec | |
| ipc.kauth.vnode.take_own | |
| ipc.kauth.vnode.link | |
| ipc.kauth.vnode.create | |
| ipc.kauth.vnode.move | |
| ipc.kauth.vnode.mount | |
| ipc.kauth.vnode.denied | |
| ipc.kauth.vnode.ackd_before_deadline | |
| ipc.kauth.vnode.missed_deadline | |
| ipc.kauth.file_op.mask | |
| ipc.kauth_file_op.open | |
| ipc.kauth.file_op.close | |
| ipc.kauth.file_op.close_modified | |
| ipc.kauth.file_op.move | |
| ipc.kauth.file_op.link | |
| ipc.kauth.file_op.exec | |
| ipc.kauth.file_op.remove | |
| ipc.kauth.file_op.unmount | |
| ipc.kauth.file_op.fork | |
| ipc.kauth.file_op.create |