Privacidade para Microsoft Defender para Ponto de Extremidade no Linux

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A Microsoft está empenhada em fornecer-lhe as informações e controlos necessários para escolher a forma como os seus dados são recolhidos e utilizados quando estiver a utilizar o Defender para Endpoint no Linux.

Este artigo descreve os controlos de privacidade disponíveis no produto, como gerir estes controlos com definições de política e mais detalhes sobre os eventos de dados que são recolhidos.

Descrição geral dos controlos de privacidade no Microsoft Defender para Ponto de Extremidade no Linux

Esta secção descreve os controlos de privacidade para os diferentes tipos de dados que são recolhidos pelo Defender para Endpoint no Linux.

Dados de diagnóstico

Os dados de diagnóstico são utilizados para manter o Defender para Endpoint seguro e atualizado, detetar, diagnosticar e corrigir problemas e também melhorar o produto.

Alguns dados de diagnóstico são necessários, enquanto alguns dados de diagnóstico são opcionais. Damos-lhe a capacidade de escolher se pretende enviar-nos dados de diagnóstico obrigatórios ou opcionais através de controlos de privacidade, tais como definições de política para organizações.

Existem dois níveis de dados de diagnóstico para o software de cliente do Defender para Endpoint que pode escolher:

  • Obrigatório: os dados mínimos necessários para ajudar a manter o Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.
  • Opcional: outros dados que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e remediar problemas.

Por predefinição, apenas os dados de diagnóstico obrigatórios são enviados à Microsoft.

Dados de proteção fornecidos pela cloud

A proteção fornecida pela cloud é utilizada para proporcionar uma proteção maior e mais rápida com acesso aos dados de proteção mais recentes na cloud.

Ativar o serviço de proteção fornecido na cloud é opcional, no entanto, é altamente recomendado porque fornece proteção importante contra software maligno nos seus pontos finais e em toda a sua rede.

Dados de exemplo

Os dados de exemplo são utilizados para melhorar as capacidades de proteção do produto ao enviar amostras suspeitas da Microsoft para que possam ser analisados. Ativar a submissão automática de exemplo é opcional.

Existem três níveis para controlar a submissão de amostras:

  • Nenhum: não são submetidos exemplos suspeitos à Microsoft.
  • Seguro: apenas os exemplos suspeitos que não contenham informações pessoais (PII) são submetidos automaticamente. Esse é o valor padrão.
  • Todos: todos os exemplos suspeitos são submetidos à Microsoft.

Gerenciar os controles de privacidade com as configurações de política

Se for um administrador de TI, poderá querer configurar estes controlos ao nível da empresa.

Os controlos de privacidade dos vários tipos de dados descritos na secção anterior são descritos em detalhe em Definir preferências do Defender para Endpoint no Linux.

Tal como acontece com as novas definições de política, deve testá-las cuidadosamente num ambiente limitado e controlado para garantir que as definições que configura têm o efeito desejado antes de implementar as definições de política mais amplamente na sua organização.

Eventos de dados de diagnóstico

Esta secção descreve o que são considerados dados de diagnóstico obrigatórios e o que são considerados dados de diagnóstico opcionais, juntamente com uma descrição dos eventos e campos que são recolhidos.

Campos de dados comuns a todos os eventos

Há algumas informações sobre eventos que são comuns a todos os eventos, independentemente da categoria ou do subtipo de dados.

Os seguintes campos são considerados comuns para todos os eventos:

Campo Descrição
plataforma A ampla classificação da plataforma na qual a aplicação está em execução. Permite que a Microsoft identifique em que plataformas um problema pode estar a ocorrer para que possa ser priorizada corretamente.
machine_guid Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
sense_guid Identificador exclusivo associado ao dispositivo. Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
org_id Identificador exclusivo associado à empresa à qual o dispositivo pertence. Permite que a Microsoft identifique se os problemas estão a afetar um conjunto selecionado de empresas e quantas empresas são afetadas.
nome do anfitrião Nome do dispositivo local (sem sufixo DNS). Permite à Microsoft identificar se os problemas estão a afetar um conjunto selecionado de instalações e quantos utilizadores são afetados.
product_guid Identificador exclusivo do produto. Permite à Microsoft diferenciar problemas que afetam diferentes variantes do produto.
app_version Versão do Defender para Endpoint na aplicação Linux. Permite que a Microsoft identifique que versões do produto estão a mostrar um problema para que possa ser priorizada corretamente.
sig_version Versão da base de dados de informações de segurança. Permite que a Microsoft identifique que versões das informações de segurança estão a mostrar um problema para que possa ser priorizada corretamente.
supported_compressions Lista de algoritmos de compressão suportados pela aplicação, por exemplo ['gzip']. Permite que a Microsoft compreenda que tipos de compressões podem ser utilizadas quando comunica com a aplicação.
release_ring Toque ao qual o dispositivo está associado (por exemplo, Insider Fast, Insider Slow, Production). Permite que a Microsoft identifique em que cadência de versão pode estar a ocorrer um problema para que possa ser priorizada corretamente.

Dados de diagnóstico obrigatórios

Os dados de diagnóstico obrigatórios são os dados mínimos necessários para ajudar a manter o Defender para Endpoint seguro, atualizado e a funcionar conforme esperado no dispositivo onde está instalado.

Os dados de diagnóstico necessários ajudam a identificar problemas com Microsoft Defender para Ponto de Extremidade que podem estar relacionados com uma configuração de dispositivo ou software. Por exemplo, pode ajudar a determinar se uma funcionalidade do Defender para Endpoint falha com mais frequência numa versão específica do sistema operativo, com funcionalidades recentemente introduzidas ou quando determinadas funcionalidades do Defender para Endpoint estão desativadas. Os dados de diagnóstico necessários ajudam a Microsoft a detetar, diagnosticar e corrigir estes problemas mais rapidamente para que o impacto para os utilizadores ou organizações seja reduzido.

Configuração do software e eventos de dados de inventário

Microsoft Defender para Ponto de Extremidade instalação/desinstalação:

Os seguintes campos são coletados:

Campo Descrição
correlation_id Identificador exclusivo associado à instalação.
versão Versão do pacote.
severity Gravidade da mensagem (por exemplo, Informativo).
código Código que descreve a operação.
texto Informações adicionais associadas à instalação do produto.

Microsoft Defender para Ponto de Extremidade configuração:

Os seguintes campos são coletados:

Campo Descrição
antivirus_engine.enable_real_time_protection Se a proteção em tempo real está ativada no dispositivo ou não.
antivirus_engine.passive_mode Se o modo passivo está ativado no dispositivo ou não.
cloud_service.enabled Se a proteção fornecida pela cloud está ou não ativada no dispositivo.
cloud_service.timeout Tempo limite excedido quando a aplicação comunica com a cloud do Defender para Endpoint.
cloud_service.heartbeat_interval Intervalo entre heartbeats consecutivos enviados pelo produto para a cloud.
cloud_service.service_uri URI utilizado para comunicar com a cloud.
cloud_service.diagnostic_level Nível de diagnóstico do dispositivo (obrigatório, opcional).
cloud_service.automatic_sample_submission Nível de submissão automática de exemplo do dispositivo (nenhum, seguro, tudo).
cloud_service.automatic_definition_update_enabled Se a atualização automática de definições está ativada ou não.
edr.early_preview Se o dispositivo deve executar as funcionalidades de pré-visualização antecipada do EDR.
edr.group_id Identificador de grupo utilizado pelo componente de deteção e resposta.
edr.tags Etiquetas definidas pelo utilizador.
funcionalidades. [nome da funcionalidade opcional] Lista de funcionalidades de pré-visualização, juntamente com se estão ativadas ou não.

Produtos e eventos de dados e uso do serviço

Relatório de atualização de informações de segurança:

Os seguintes campos são coletados:

Campo Descrição
from_version Versão original das informações de segurança.
to_version Nova versão das informações de segurança.
status Estado da atualização que indica êxito ou falha.
using_proxy Se a atualização foi feita através de um proxy.
erro Código de erro se a atualização tiver falhado.
motivo Mensagem de erro se a atualização tiver falhado.

Eventos de dados de desempenho de produtos e serviços para dados de diagnóstico necessários

Estatísticas da extensão do kernel:

Os seguintes campos são coletados:

Campo Descrição
versão Versão do Defender para Endpoint no Linux.
instance_id Identificador exclusivo gerado no arranque da extensão de kernel.
trace_level Nível de rastreio da extensão de kernel.
subsistema O subsistema subjacente utilizado para proteção em tempo real.
ipc.connects Número de pedidos de ligação recebidos pela extensão de kernel.
ipc.rejects Número de pedidos de ligação rejeitados pela extensão de kernel.
ipc.connected Se existe alguma ligação ativa à extensão de kernel.

Dados de suporte

Registos de diagnóstico:

Os registos de diagnóstico são recolhidos apenas com o consentimento do utilizador como parte da funcionalidade de submissão de comentários. Os seguintes ficheiros são recolhidos como parte dos registos de suporte:

  • Todos os ficheiros em /var/log/microsoft/mdatp
  • Subconjunto de ficheiros em /etc/opt/microsoft/mdatp que são criados e utilizados pelo Defender para Endpoint no Linux
  • Registos de instalação e desinstalação do produto em /var/log/microsoft/mdatp/*.log

Dados de diagnóstico opcionais

Os dados de diagnóstico opcionais são dados adicionais que ajudam a Microsoft a melhorar os produtos e fornecem informações melhoradas para ajudar a detetar, diagnosticar e corrigir problemas.

Se você optar por nos enviar dados de diagnóstico opcionais, os dados de diagnóstico necessários também serão incluídos.

Exemplos de dados de diagnóstico opcionais incluem dados que a Microsoft recolhe sobre a configuração do produto (por exemplo, o número de exclusões definidas no dispositivo) e o desempenho do produto (medidas agregadas sobre o desempenho dos componentes do produto).

Eventos de dados de configuração e inventário de software para dados de diagnóstico opcionais

Microsoft Defender para Ponto de Extremidade configuração:

Os seguintes campos são coletados:

Campo Descrição
connection_retry_timeout O tempo limite de repetição da ligação é excedido quando a comunicação com a cloud é excedida.
file_hash_cache_maximum Tamanho da cache do produto.
crash_upload_daily_limit Limite de registos de falhas carregados diariamente.
antivirus_engine.exclusions[].is_directory Se a exclusão da análise é ou não um diretório.
antivirus_engine.exclusions[].path Caminho que foi excluído da análise.
antivirus_engine.exclusions[].extension Extensão excluída da análise.
antivirus_engine.exclusions[].name Nome do ficheiro excluído da análise.
antivirus_engine.scan_cache_maximum Tamanho da cache do produto.
antivirus_engine.maximum_scan_threads Número máximo de threads utilizados para análise.
antivirus_engine.threat_restoration_exclusion_time Tempo limite excedido antes de um ficheiro restaurado a partir da quarentena poder ser detetado novamente.
antivirus_engine.threat_type_settings Configuração para a forma como os diferentes tipos de ameaças são processados pelo produto.
filesystem_scanner.full_scan_directory Diretório de análise completo.
filesystem_scanner.quick_scan_directories Lista de diretórios utilizados na análise rápida.
edr.latency_mode Modo de latência utilizado pelo componente de deteção e resposta.
edr.proxy_address Endereço proxy utilizado pelo componente de deteção e resposta.

Configuração da Atualização Automática da Microsoft:

Os seguintes campos são coletados:

Campo Descrição
how_to_check Determina a forma como as atualizações de produtos são verificadas (por exemplo, automáticas ou manuais).
channel_name Canal de atualização associado ao dispositivo.
manifest_server Servidor utilizado para transferir atualizações.
update_cache Localização da cache utilizada para armazenar atualizações.

Uso de produtos e serviços

Relatório de início do carregamento do registo de diagnósticos

Os seguintes campos são coletados:

Campo Descrição
sha256 Identificador SHA256 do registo de suporte.
size Tamanho do registo de suporte.
original_path Caminho para o registo de suporte (sempre em /var/opt/microsoft/mdatp/wdavdiag/).
format Formato do registo de suporte.

Relatório concluído do carregamento do registo de diagnósticos

Os seguintes campos são coletados:

Campo Descrição
request_id ID de Correlação do pedido de carregamento do registo de suporte.
sha256 Identificador SHA256 do registo de suporte.
blob_sas_uri URI utilizado pela aplicação para carregar o registo de suporte.

Eventos de dados de desempenho de produtos e serviços para utilização e serviço de produtos

Saída inesperada da aplicação (falha):

Saídas inesperadas do aplicativo e o estado do aplicativo quando isso acontece.

Estatísticas da extensão do kernel:

Os seguintes campos são coletados:

Campo Descrição
pkt_ack_timeout As seguintes propriedades são valores numéricos agregados, que representam a contagem de eventos ocorridos desde o arranque da extensão de kernel.
pkt_ack_conn_timeout
ipc.ack_pkts
ipc.nack_pkts
ipc.send.ack_no_conn
ipc.send.nack_no_conn
ipc.send.ack_no_qsq
ipc.send.nack_no_qsq
ipc.ack.no_space
ipc.ack.timeout
ipc.ack.ackd_fast
ipc.ack.ackd
ipc.recv.bad_pkt_len
ipc.recv.bad_reply_len
ipc.recv.no_waiter
ipc.recv.copy_failed
ipc.kauth.vnode.mask
ipc.kauth.vnode.read
ipc.kauth.vnode.write
ipc.kauth.vnode.exec
ipc.kauth.vnode.del
ipc.kauth.vnode.read_attr
ipc.kauth.vnode.write_attr
ipc.kauth.vnode.read_ex_attr
ipc.kauth.vnode.write_ex_attr
ipc.kauth.vnode.read_sec
ipc.kauth.vnode.write_sec
ipc.kauth.vnode.take_own
ipc.kauth.vnode.link
ipc.kauth.vnode.create
ipc.kauth.vnode.move
ipc.kauth.vnode.mount
ipc.kauth.vnode.denied
ipc.kauth.vnode.ackd_before_deadline
ipc.kauth.vnode.missed_deadline
ipc.kauth.file_op.mask
ipc.kauth_file_op.open
ipc.kauth.file_op.close
ipc.kauth.file_op.close_modified
ipc.kauth.file_op.move
ipc.kauth.file_op.link
ipc.kauth.file_op.exec
ipc.kauth.file_op.remove
ipc.kauth.file_op.unmount
ipc.kauth.file_op.fork
ipc.kauth.file_op.create

Recursos

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.