Privacy per Microsoft Defender per endpoint in Linux

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Microsoft si impegna a fornire le informazioni e i controlli necessari per scegliere come raccogliere e usare i dati quando si usa Defender per endpoint in Linux.

Questo articolo descrive i controlli della privacy disponibili all'interno del prodotto, come gestire questi controlli con le impostazioni dei criteri e altri dettagli sugli eventi di dati raccolti.

Panoramica dei controlli della privacy in Microsoft Defender per endpoint in Linux

Questa sezione descrive i controlli della privacy per i diversi tipi di dati raccolti da Defender per endpoint in Linux.

Dati di diagnostica

I dati di diagnostica vengono usati per mantenere Defender per endpoint sicuro e aggiornato, rilevare, diagnosticare e risolvere i problemi e apportare miglioramenti al prodotto.

Alcuni dati di diagnostica sono obbligatori, mentre altri sono facoltativi. È possibile scegliere se inviare dati di diagnostica obbligatori o facoltativi usando i controlli della privacy, ad esempio le impostazioni dei criteri per le organizzazioni.

Sono disponibili due livelli di dati di diagnostica per il software client defender per endpoint tra cui è possibile scegliere:

  • Obbligatorio: i dati minimi necessari per mantenere Defender per endpoint sicuro, aggiornato e con le prestazioni previste nel dispositivo in cui è installato.
  • Facoltativo: altri dati che consentono a Microsoft di apportare miglioramenti ai prodotti e forniscono informazioni avanzate per rilevare, diagnosticare e correggere i problemi.

Per impostazione predefinita, vengono inviati a Microsoft solo i dati di diagnostica necessari.

Dati di protezione forniti dal cloud

La protezione fornita dal cloud viene usata per offrire una protezione maggiore e più veloce con accesso ai dati di protezione più recenti nel cloud.

L'abilitazione del servizio di protezione fornita dal cloud è facoltativa, ma è consigliabile perché offre una protezione importante contro il malware negli endpoint e nella rete.

Dati di esempio

I dati di esempio vengono usati per migliorare le funzionalità di protezione del prodotto inviando esempi sospetti Microsoft in modo che possano essere analizzati. L'abilitazione dell'invio automatico di esempi è facoltativa.

Esistono tre livelli per controllare l'invio di campioni:

  • Nessuno: nessun esempio sospetto viene inviato a Microsoft.
  • Sicuro: vengono inviati automaticamente solo esempi sospetti che non contengono informazioni personali. Questo è il valore predefinito.
  • Tutti: tutti gli esempi sospetti vengono inviati a Microsoft.

Gestire i controlli della privacy con le impostazioni dei criteri

Gli amministratori IT potrebbero voler configurare questi controlli a livello aziendale.

I controlli della privacy per i vari tipi di dati descritti nella sezione precedente sono descritti in dettaglio in Impostare le preferenze per Defender per endpoint in Linux.

Come per le nuove impostazioni dei criteri, è consigliabile testarle attentamente in un ambiente limitato e controllato per garantire che le impostazioni configurate abbiano l'effetto desiderato prima di implementare le impostazioni dei criteri in modo più ampio nell'organizzazione.

Eventi dei dati di diagnostica

Questa sezione descrive i dati di diagnostica considerati obbligatori e i dati di diagnostica facoltativi, oltre a una descrizione degli eventi e dei campi raccolti.

Campi dati comuni per tutti gli eventi

Esistono alcune informazioni sugli eventi comuni a tutti gli eventi, indipendentemente dalla categoria o dal sottotipo di dati.

I campi seguenti sono considerati comuni per tutti gli eventi:

Campo Descrizione
piattaforma Classificazione generale della piattaforma in cui è in esecuzione l'app. Consente a Microsoft di identificare le piattaforme in cui potrebbe verificarsi un problema in modo che possa essere correttamente classificato in ordine di priorità.
machine_guid Identificatore univoco associato al dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati.
sense_guid Identificatore univoco associato al dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati.
org_id Identificatore univoco associato all'organizzazione a cui appartiene il dispositivo. Consente a Microsoft di identificare se i problemi interessano un set selezionato di aziende e il numero di aziende interessate.
nome host Nome del dispositivo locale (senza suffisso DNS). Consente a Microsoft di identificare se i problemi interessano un set selezionato di installazioni e il numero di utenti interessati.
product_guid Identificatore univoco del prodotto. Consente a Microsoft di distinguere i problemi che influiscono sulle diverse versioni del prodotto.
app_version Versione dell'applicazione Defender per endpoint in Linux. Consente a Microsoft di identificare le versioni del prodotto che visualizzano un problema in modo che possa essere correttamente classificato in ordine di priorità.
sig_version Versione del database di security intelligence. Consente a Microsoft di identificare le versioni dell'intelligence di sicurezza che mostrano un problema in modo che possa essere correttamente classificato in ordine di priorità.
supported_compressions Elenco di algoritmi di compressione supportati dall'applicazione, ad esempio ['gzip']. Consente a Microsoft di comprendere quali tipi di compressioni possono essere usate quando comunica con l'applicazione.
release_ring Anello a cui è associato il dispositivo, ad esempio Insider Fast, Insider Slow, Production. Consente a Microsoft di identificare in quale anello di rilascio potrebbe verificarsi un problema in modo che possa essere correttamente classificato come priorità.

Dati di diagnostica obbligatori

I dati di diagnostica necessari sono i dati minimi necessari per mantenere Defender per endpoint sicuro, aggiornato e funzionare come previsto nel dispositivo in cui è installato.

I dati di diagnostica necessari consentono di identificare i problemi con Microsoft Defender per endpoint che possono essere correlati a una configurazione di dispositivo o software. Ad esempio, può aiutare a determinare se una funzionalità di Defender per endpoint si arresta in modo anomalo più frequentemente in una determinata versione del sistema operativo, con funzionalità appena introdotte o quando alcune funzionalità di Defender per endpoint sono disabilitate. I dati di diagnostica necessari consentono a Microsoft di rilevare, diagnosticare e risolvere questi problemi più rapidamente in modo da ridurre l'impatto per utenti o organizzazioni.

Eventi dati Configurazione e inventario software

Microsoft Defender per endpoint installazione/disinstallazione:

Vengono raccolti i campi seguenti:

Campo Descrizione
correlation_id Identificatore univoco associato all'installazione.
Versione Versione del pacchetto.
severità Gravità del messaggio ,ad esempio Informational.
code Codice che descrive l'operazione.
Testo Informazioni aggiuntive associate all'installazione del prodotto.

configurazione Microsoft Defender per endpoint:

Vengono raccolti i campi seguenti:

Campo Descrizione
antivirus_engine.enable_real_time_protection Indica se la protezione in tempo reale è abilitata o meno nel dispositivo.
antivirus_engine.passive_mode Indica se la modalità passiva è abilitata o meno nel dispositivo.
cloud_service.enabled Indica se la protezione fornita dal cloud è abilitata o meno nel dispositivo.
cloud_service.timeout Timeout quando l'applicazione comunica con il cloud di Defender per endpoint.
cloud_service.heartbeat_interval Intervallo tra heartbeat consecutivi inviati dal prodotto al cloud.
cloud_service.service_uri URI usato per comunicare con il cloud.
cloud_service.diagnostic_level Livello di diagnostica del dispositivo (obbligatorio, facoltativo).
cloud_service.automatic_sample_submission Livello di invio automatico del campione del dispositivo (nessuno, sicuro, tutto).
cloud_service.automatic_definition_update_enabled Indica se l'aggiornamento automatico delle definizioni è attivato o meno.
edr.early_preview Indica se il dispositivo deve eseguire le funzionalità di anteprima anticipata di EDR.
edr.group_id Identificatore di gruppo usato dal componente di rilevamento e risposta.
edr.tags Tag definiti dall'utente.
tratti somatici. [nome funzionalità facoltativo] Elenco delle funzionalità di anteprima, insieme all'abilitazione o meno.

Eventi dati di Utilizzo di prodotti e servizi

Report sull'aggiornamento dell'intelligence per la sicurezza:

Vengono raccolti i campi seguenti:

Campo Descrizione
from_version Versione originale di Security Intelligence.
to_version Nuova versione di Security Intelligence.
stato Stato dell'aggiornamento che indica l'esito positivo o negativo.
using_proxy Indica se l'aggiornamento è stato eseguito tramite un proxy.
errore Codice di errore se l'aggiornamento non è riuscito.
motivo Messaggio di errore se l'aggiornamento non è riuscito.

Eventi dei dati sulle prestazioni di prodotti e servizi per i dati di diagnostica necessari

Statistiche dell'estensione del kernel:

Vengono raccolti i campi seguenti:

Campo Descrizione
Versione Versione di Defender per endpoint in Linux.
instance_id Identificatore univoco generato all'avvio dell'estensione del kernel.
trace_level Livello di traccia dell'estensione del kernel.
sottosistema Sottosistema sottostante usato per la protezione in tempo reale.
ipc.connects Numero di richieste di connessione ricevute dall'estensione del kernel.
ipc.rejects Numero di richieste di connessione rifiutate dall'estensione del kernel.
ipc.connected Indica se è presente una connessione attiva all'estensione del kernel.

Dati di supporto

Log di diagnostica:

I log di diagnostica vengono raccolti solo con il consenso dell'utente come parte della funzionalità di invio di commenti e suggerimenti. I file seguenti vengono raccolti come parte dei log di supporto:

  • Tutti i file in /var/log/microsoft/mdatp
  • Subset di file in /etc/opt/microsoft/mdatp creati e usati da Defender per endpoint in Linux
  • Log di installazione e disinstallazione del prodotto in /var/log/microsoft/mdatp/*.log

Dati di diagnostica facoltativi

I dati di diagnostica facoltativi sono dati aggiuntivi che consentono a Microsoft di apportare miglioramenti ai prodotti e forniscono informazioni avanzate per rilevare, diagnosticare e risolvere i problemi.

Se si sceglie di inviare i dati di diagnostica facoltativi, saranno inclusi anche i dati indispensabili.

Esempi di dati di diagnostica facoltativi includono i dati raccolti da Microsoft sulla configurazione del prodotto (ad esempio il numero di esclusioni impostate nel dispositivo) e le prestazioni del prodotto (misure aggregate sulle prestazioni dei componenti del prodotto).

Eventi di configurazione software e dati di inventario per i dati di diagnostica facoltativi

configurazione Microsoft Defender per endpoint:

Vengono raccolti i campi seguenti:

Campo Descrizione
connection_retry_timeout Timeout dei tentativi di connessione durante la comunicazione con il cloud.
file_hash_cache_maximum Dimensioni della cache del prodotto.
crash_upload_daily_limit Limite dei log di arresto anomalo caricati ogni giorno.
antivirus_engine.exclusions[].is_directory Indica se l'esclusione dall'analisi è o meno una directory.
antivirus_engine.exclusions[].path Percorso escluso dall'analisi.
antivirus_engine.exclusions[].extension Estensione esclusa dall'analisi.
antivirus_engine.exclusions[].name Nome del file escluso dall'analisi.
antivirus_engine.scan_cache_maximum Dimensioni della cache del prodotto.
antivirus_engine.maximum_scan_threads Numero massimo di thread usati per l'analisi.
antivirus_engine.threat_restoration_exclusion_time Timeout prima che un file ripristinato dalla quarantena possa essere rilevato di nuovo.
antivirus_engine.threat_type_settings Configurazione per la modalità di gestione dei diversi tipi di minaccia da parte del prodotto.
filesystem_scanner.full_scan_directory Directory di analisi completa.
filesystem_scanner.quick_scan_directories Elenco delle directory usate nell'analisi rapida.
edr.latency_mode Modalità di latenza usata dal componente di rilevamento e risposta.
edr.proxy_address Indirizzo proxy usato dal componente di rilevamento e risposta.

Configurazione dell'aggiornamento automatico Microsoft:

Vengono raccolti i campi seguenti:

Campo Descrizione
how_to_check Determina il modo in cui vengono controllati gli aggiornamenti del prodotto, ad esempio automatico o manuale.
channel_name Aggiornare il canale associato al dispositivo.
manifest_server Server usato per scaricare gli aggiornamenti.
update_cache Posizione della cache usata per archiviare gli aggiornamenti.

Uso di prodotti e servizi

Report avviato per il caricamento del log di diagnostica

Vengono raccolti i campi seguenti:

Campo Descrizione
sha256 Identificatore SHA256 del log di supporto.
grandezza Dimensioni del log di supporto.
original_path Percorso del log di supporto (sempre in /var/opt/microsoft/mdatp/wdavdiag/).
format Formato del log di supporto.

Report di caricamento del log di diagnostica completato

Vengono raccolti i campi seguenti:

Campo Descrizione
request_id ID di correlazione per la richiesta di caricamento del log di supporto.
sha256 Identificatore SHA256 del log di supporto.
blob_sas_uri URI usato dall'applicazione per caricare il log di supporto.

Eventi dei dati sulle prestazioni di prodotti e servizi per il servizio e l'utilizzo del prodotto

Uscita imprevista dell'applicazione (arresto anomalo):

Chiusure impreviste dell'applicazione e stato dell'applicazione al momento dell'evento.

Statistiche dell'estensione del kernel:

Vengono raccolti i campi seguenti:

Campo Descrizione
pkt_ack_timeout Le proprietà seguenti sono valori numerici aggregati, che rappresentano il numero di eventi che si sono verificati dopo l'avvio dell'estensione del kernel.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Risorse

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.