Privacidad para Microsoft Defender para punto de conexión en Linux

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Microsoft se compromete a proporcionarle la información y los controles necesarios para tomar decisiones sobre cómo se recopilan y usan los datos cuando se usa Defender para punto de conexión en Linux.

En este artículo se describen los controles de privacidad disponibles en el producto, cómo administrar estos controles con la configuración de directiva y más detalles sobre los eventos de datos que se recopilan.

Introducción a los controles de privacidad en Microsoft Defender para punto de conexión en Linux

En esta sección se describen los controles de privacidad de los distintos tipos de datos recopilados por Defender para punto de conexión en Linux.

Datos de diagnóstico

Los datos de diagnóstico se usan para mantener Defender para punto de conexión seguro y actualizado, detectar, diagnosticar y corregir problemas, y también realizar mejoras en el producto.

Algunos datos de diagnóstico son necesarios, mientras que otros son opcionales. Le ofrecemos la posibilidad de elegir si desea enviarnos datos de diagnóstico necesarios u opcionales mediante controles de privacidad, como la configuración de directivas para las organizaciones.

Hay dos niveles de datos de diagnóstico para el software cliente de Defender para punto de conexión entre los que puede elegir:

  • Requerido: los datos mínimos necesarios para ayudar a mantener Defender para punto de conexión seguro, actualizado y con el rendimiento esperado en el dispositivo en el que está instalado.
  • Opcional: otros datos que ayudan a Microsoft a realizar mejoras en el producto y proporcionan información mejorada para ayudar a detectar, diagnosticar y corregir problemas.

De forma predeterminada, solo se envían a Microsoft los datos de diagnóstico necesarios.

Datos de protección entregados en la nube

La protección proporcionada en la nube se usa para proporcionar una protección mayor y más rápida con acceso a los datos de protección más recientes en la nube.

La habilitación del servicio de protección entregada en la nube es opcional, pero es muy recomendable porque proporciona una protección importante contra el malware en los puntos de conexión y en toda la red.

Datos de ejemplo

Los datos de ejemplo se usan para mejorar las capacidades de protección del producto mediante el envío de muestras sospechosas de Microsoft para que se puedan analizar. Habilitar el envío automático de ejemplos es opcional.

Hay tres niveles para controlar el envío de muestras:

  • Ninguno: no se envían muestras sospechosas a Microsoft.
  • Seguro: solo las muestras sospechosas que no contienen información de identificación personal (PII) se envían automáticamente. Este es el valor predeterminado.
  • Todos: todos los ejemplos sospechosos se envían a Microsoft.

Administre los controles de privacidad con la configuración de directiva

Si es administrador de TI, es posible que desee configurar estos controles en el nivel empresarial.

Los controles de privacidad de los distintos tipos de datos que se describen en la sección anterior se describen en detalle en Establecer preferencias para Defender para punto de conexión en Linux.

Al igual que con cualquier nueva configuración de directiva, debe probarlas cuidadosamente en un entorno limitado y controlado para asegurarse de que la configuración que configure tenga el efecto deseado antes de implementar la configuración de directiva de forma más amplia en su organización.

Eventos de datos de diagnóstico

En esta sección se describen los datos de diagnóstico necesarios y los que se consideran datos de diagnóstico opcionales, junto con una descripción de los eventos y campos que se recopilan.

Campos de datos comunes para todos los eventos

Hay cierta información acerca de los eventos que es común a todos, independientemente del subtipo de datos o la categoría.

Los campos siguientes se consideran comunes para todos los eventos:

Campo Descripción
plataforma La amplia clasificación de la plataforma en la que se ejecuta la aplicación. Permite a Microsoft identificar en qué plataformas puede producirse un problema para que se pueda priorizar correctamente.
machine_guid Identificador único asociado al dispositivo. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se ven afectados.
sense_guid Identificador único asociado al dispositivo. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se ven afectados.
org_id Identificador único asociado a la empresa a la que pertenece el dispositivo. Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de empresas y cuántas empresas se ven afectadas.
nombre de host Nombre del dispositivo local (sin sufijo DNS). Permite a Microsoft identificar si los problemas afectan a un conjunto selecto de instalaciones y cuántos usuarios se ven afectados.
product_guid Identificador único del producto. Permite a Microsoft diferenciar los problemas que afectan a diferentes tipos del producto.
app_version Versión de la aplicación Defender para punto de conexión en Linux. Permite a Microsoft identificar qué versiones del producto muestran un problema para que se pueda priorizar correctamente.
sig_version Versión de la base de datos de inteligencia de seguridad. Permite a Microsoft identificar qué versiones de la inteligencia de seguridad muestran un problema para que se pueda priorizar correctamente.
supported_compressions Lista de algoritmos de compresión admitidos por la aplicación, por ejemplo ['gzip']. Permite a Microsoft comprender qué tipos de compresión se pueden usar cuando se comunica con la aplicación.
release_ring Anillo al que está asociado el dispositivo (por ejemplo, Insider Fast, Insider Slow, Production). Permite a Microsoft identificar en qué anillo de versión puede producirse un problema para que se pueda priorizar correctamente.

Datos de diagnósticos necesarios

Los datos de diagnóstico necesarios son los datos mínimos necesarios para ayudar a mantener Defender para punto de conexión seguro, actualizado y con el rendimiento esperado en el dispositivo en el que está instalado.

Los datos de diagnóstico necesarios ayudan a identificar problemas con Microsoft Defender para punto de conexión que pueden estar relacionados con una configuración de software o dispositivo. Por ejemplo, puede ayudar a determinar si una característica de Defender para punto de conexión se bloquea con más frecuencia en una versión determinada del sistema operativo, con características recién introducidas o cuando determinadas características de Defender para punto de conexión están deshabilitadas. Los datos de diagnóstico necesarios ayudan a Microsoft a detectar, diagnosticar y corregir estos problemas más rápidamente para reducir el impacto en los usuarios u organizaciones.

Eventos de datos de inventario y configuración de software

Microsoft Defender para punto de conexión instalación o desinstalación:

Se recopilan los campos siguientes:

Campo Descripción
correlation_id Identificador único asociado a la instalación.
version Versión del paquete.
severity Gravedad del mensaje (por ejemplo, informativo).
código Código que describe la operación.
text Información adicional asociada a la instalación del producto.

Microsoft Defender para punto de conexión configuración:

Se recopilan los campos siguientes:

Campo Descripción
antivirus_engine.enable_real_time_protection Si la protección en tiempo real está habilitada en el dispositivo o no.
antivirus_engine.passive_mode Si el modo pasivo está habilitado en el dispositivo o no.
cloud_service.enabled Si la protección de entrega en la nube está habilitada en el dispositivo o no.
cloud_service.timeout Tiempo de espera cuando la aplicación se comunica con la nube de Defender para punto de conexión.
cloud_service.heartbeat_interval Intervalo entre latidos consecutivos enviados por el producto a la nube.
cloud_service.service_uri URI que se usa para comunicarse con la nube.
cloud_service.diagnostic_level Nivel de diagnóstico del dispositivo (obligatorio, opcional).
cloud_service.automatic_sample_submission Nivel de envío de ejemplo automático del dispositivo (ninguno, seguro, todo).
cloud_service.automatic_definition_update_enabled Si la actualización de definición automática está activada o no.
edr.early_preview Si el dispositivo debe ejecutar características de versión preliminar temprana de EDR.
edr.group_id Identificador de grupo utilizado por el componente de detección y respuesta.
edr.tags Etiquetas definidas por el usuario.
Funciones. [nombre de característica opcional] Lista de características en versión preliminar, junto con si están habilitadas o no.

Eventos de datos de uso de productos y servicios

Informe de actualización de inteligencia de seguridad:

Se recopilan los campos siguientes:

Campo Descripción
from_version Versión de inteligencia de seguridad original.
to_version Nueva versión de inteligencia de seguridad.
status Estado de la actualización que indica si se ha realizado correctamente o no.
using_proxy Si la actualización se realizó a través de un proxy.
error Código de error si se produjo un error en la actualización.
motivo Mensaje de error si se produjo un error en la actualización.

Eventos de datos de rendimiento de productos y servicios para los datos de diagnóstico necesarios

Estadísticas de extensión de kernel:

Se recopilan los campos siguientes:

Campo Descripción
version Versión de Defender para punto de conexión en Linux.
instance_id Identificador único generado durante el inicio de la extensión del kernel.
trace_level Nivel de seguimiento de la extensión del kernel.
subsistema Subsistema subyacente utilizado para la protección en tiempo real.
ipc.connect Número de solicitudes de conexión recibidas por la extensión del kernel.
ipc.rejects Número de solicitudes de conexión rechazadas por la extensión del kernel.
ipc.connected Si hay alguna conexión activa a la extensión del kernel.

Datos de soporte técnico

Registros de diagnóstico:

Los registros de diagnóstico solo se recopilan con el consentimiento del usuario como parte de la característica de envío de comentarios. Los siguientes archivos se recopilan como parte de los registros de soporte técnico:

  • Todos los archivos en /var/log/microsoft/mdatp
  • Subconjunto de archivos en /etc/opt/microsoft/mdatp creados y usados por Defender para punto de conexión en Linux
  • Registros de instalación y desinstalación de productos en /var/log/microsoft/mdatp/*.log

Datos de diagnóstico opcionales

Los datos de diagnóstico opcionales son datos adicionales que ayudan a Microsoft a realizar mejoras en el producto y proporcionan información mejorada para ayudar a detectar, diagnosticar y corregir problemas.

Si elige enviarnos sus datos de diagnóstico opcionales, también se incluyen los datos de diagnósticos requeridos.

Entre los ejemplos de datos de diagnóstico opcionales se incluyen los datos que Microsoft recopila sobre la configuración del producto (por ejemplo, el número de exclusiones establecidas en el dispositivo) y el rendimiento del producto (medidas agregadas sobre el rendimiento de los componentes del producto).

Eventos de datos de inventario y configuración de software para datos de diagnóstico opcionales

Microsoft Defender para punto de conexión configuración:

Se recopilan los campos siguientes:

Campo Descripción
connection_retry_timeout Tiempo de espera de reintento de conexión cuando se comunica con la nube.
file_hash_cache_maximum Tamaño de la memoria caché del producto.
crash_upload_daily_limit Límite de registros de bloqueo cargados diariamente.
antivirus_engine.exclusiones[].is_directory Si la exclusión del examen es un directorio o no.
antivirus_engine.exclusiones[].path Ruta de acceso que se excluyó del examen.
antivirus_engine.exclusions[].extension Extensión excluida del examen.
antivirus_engine.exclusions[].name Nombre del archivo excluido del examen.
antivirus_engine.scan_cache_maximum Tamaño de la memoria caché del producto.
antivirus_engine.maximum_scan_threads Número máximo de subprocesos usados para el examen.
antivirus_engine.threat_restoration_exclusion_time Tiempo de espera antes de que se pueda volver a detectar un archivo restaurado desde la cuarentena.
antivirus_engine.threat_type_settings Configuración de la forma en que el producto controla los distintos tipos de amenazas.
filesystem_scanner.full_scan_directory Directorio de examen completo.
filesystem_scanner.quick_scan_directories Lista de directorios usados en el examen rápido.
edr.latency_mode Modo de latencia usado por el componente de detección y respuesta.
edr.proxy_address Dirección de proxy usada por el componente de detección y respuesta.

Configuración de Actualización automática de Microsoft:

Se recopilan los campos siguientes:

Campo Descripción
how_to_check Determina cómo se comprueban las actualizaciones del producto (por ejemplo, automáticas o manuales).
channel_name Actualice el canal asociado al dispositivo.
manifest_server Servidor que se usa para descargar actualizaciones.
update_cache Ubicación de la memoria caché usada para almacenar actualizaciones.

Uso de productos y servicios

Informe de inicio de carga del registro de diagnóstico

Se recopilan los siguientes campos:

Campo Descripción
sha256 Identificador SHA256 del registro de soporte técnico.
size Tamaño del registro de soporte técnico.
original_path Ruta de acceso al registro de soporte técnico (siempre en /var/opt/microsoft/mdatp/wdavdiag/).
format Formato del registro de soporte técnico.

Informe completado de carga del registro de diagnóstico

Se recopilan los campos siguientes:

Campo Descripción
request_id Identificador de correlación para la solicitud de carga del registro de soporte técnico.
sha256 Identificador SHA256 del registro de soporte técnico.
blob_sas_uri URI usado por la aplicación para cargar el registro de soporte técnico.

Eventos de datos de rendimiento de productos y servicios para el servicio y el uso del producto

Salida inesperada de la aplicación (bloqueo):

Cierres de aplicación inesperados y el estado de la aplicación cuando esto ocurre.

Estadísticas de extensión de kernel:

Se recopilan los siguientes campos:

Campo Descripción
pkt_ack_timeout Las propiedades siguientes son valores numéricos agregados, que representan el recuento de eventos que se produjeron desde el inicio de la extensión del kernel.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Recursos

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.