Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения о хранении данных и конфиденциальности для Microsoft Defender для конечной точки, включая Управление уязвимостями Microsoft Defender.
Примечание.
В этой статье описываются сведения о хранении данных и конфиденциальности, связанных с Defender для конечной точки (включая Управление уязвимостями Defender) и Defender для бизнеса. Дополнительные сведения о Defender для конечной точки и других продуктах и службах, таких как антивирусная программа Microsoft Defender и Windows, см. в заявлении о конфиденциальности Майкрософт.
Что мы собираем?
Microsoft Defender для конечной точки собирает сведения с настроенных устройств и сохраняет их в выделенном клиенте, выделенном клиентом, специфичном для службы, для администрирования, отслеживания и создания отчетов.
Собранные сведения включают:
- Данные файлов (имена, размеры и хэши)
- Данные процесса (запущенные процессы, хэши)
- Данные реестра
- Данные сетевого подключения (IP-адреса и порты узла)
- Сведения об устройстве (идентификаторы устройств, имена и версия операционной системы)
- Данные инвентаризации программного обеспечения для Управление уязвимостями Defender возможностей (установленные приложения, версии операционной системы, встроенное ПО, компоненты оборудования и другие важные сведения о программном обеспечении для выявления уязвимостей, оценки уровней риска и предоставления практических аналитических сведений, помогающих защитить среду)
Корпорация Майкрософт безопасно хранит эти данные в microsoft Azure и обслуживает их в соответствии с рекомендациями корпорации Майкрософт по обеспечению конфиденциальности и политиками Центра управления безопасностью Майкрософт.
Эти данные позволяют Defender для конечной точки:
- Упреждающее определение индикаторов атак (IOA) в организации
- Создание оповещений при обнаружении возможной атаки
- Предоставьте своим операциям безопасности представление об устройствах, файлах и URL-адресах, связанных с сигналами об угрозах из сети, что позволяет исследовать и исследовать наличие угроз безопасности в сети.
Корпорация Майкрософт не использует ваши данные для рекламы.
Расположение данных
Defender для конечной точки (включая Управление уязвимостями Defender) работает в центрах обработки данных Microsoft Azure в Европейском союзе, Соединенном Королевстве, США, Австралии, Швейцарии, Индии или ОАЭ. Данные клиента, собранные службой, могут храниться в: (a) географическом расположении клиента, определяемом во время подготовки, или (b) географическом расположении, определенном правилами хранения данных веб-службы, если эта веб-служба используется Defender для конечной точки для обработки таких данных. Дополнительные сведения см. в разделе Где хранятся данные клиента Microsoft 365.
(a) географическое расположение клиента, определенное во время подготовки; Или
(b) географическое расположение, определенное правилами хранения данных веб-службы, если эта веб-служба используется Defender для конечной точки для обработки таких данных.
Хранение данных
Данные из Microsoft Defender для конечной точки хранятся в течение 180 дней, видимых на портале.
Ваши данные хранятся и доступны вам, пока лицензия находится в режиме льготного периода или приостановлена. По истечении этого периода эти данные будут удалены из систем Майкрософт, чтобы сделать их невосстановимыми, не позднее чем через 180 дней после прекращения или истечения срока действия контракта.
В расширенном опыте исследования охоты он доступен через запрос в течение 30 дней.
Хранение данных для данных инвентаризации Управление уязвимостями Defender
Срок действия записей инвентаризации в Управление уязвимостями Defender истекает через 7 или31 день в зависимости от источника, как описано в следующей таблице:
| Источник данных | Срок хранения | Сведения |
|---|---|---|
| Приложения для Android | 7 дней или 31 день | Зависит от категории исходного события. |
| Расширения браузера* | 7 дней | Область действия пользователя и изменчивая. Срок действия быстро истекает без обновления. |
| Сертификаты* | До двух дней до последнего отчета (резервный — семь дней) | Хранение соответствует меткам времени создания отчетов о сертификатах. |
| Удаленные продукты реестра | 30 дней | Окно grace после того, как продукт помечается как удаленный в реестре. |
| Встроенное ПО и оборудование* | 31 день | Срок действия истекает, если компьютер не предоставил отчет в течение 31 дня или становится неуправляемым. |
| Приложения iOS | 7 дней или 31 день | Зависит от категории исходного события. |
| Пакеты Linux | 7 дней или 31 день | Зависит от категории исходного события:
|
| Компоненты программного обеспечения из источников проверки пользователей или файлов | 7 дней | Временные проверки файлов и дескрипторов и другие переменные источники. |
| Пути к файлам с областью пользователя (пути, содержащие USERS) | 7 дней | Расположения профилей пользователей. |
| Разделы реестра на уровне пользователя (HKU) | 7 дней | Данные hive для конкретных пользователей. |
| По умолчанию (все остальные источники) | 31 день | Стабильные источники с областью системы. |
*Этот источник данных не входит в Microsoft Defender для конечной точки план 2. Чтобы получить его, вам потребуется один из следующих вариантов:
- Надстройка Управление уязвимостями Defender для Microsoft Defender для конечной точки плана 2.
- Управление уязвимостями Microsoft Defender автономный, если у вас еще нет Microsoft Defender для конечной точки плана 2.
Восстановление данных.
Defender для конечной точки (включая Управление уязвимостями Defender) включает в себя региональную стратегию аварийного восстановления, согласованную с более широкой платформой устойчивости Майкрософт. Дополнительные сведения см. в статье Устойчивость и непрерывность — Microsoft Service Assurance | Microsoft Learn. В случае сбоя службы все компоненты MDE предназначены для отработки отказа в парный регион в пределах одной географической границы, тем самым сохраняя требования к размещению данных.
Однако из-за текущих ограничений службы в Объединенных Арабских Эмиратах MDE компоненты, зависящие от Azure Synapse рабочих нагрузок, поддерживаются только с зональной устойчивостью. В настоящее время для рабочих нагрузок отсутствует возможность обеспечения непрерывности бизнес-процессов и аварийного восстановления между регионами (BCDR). Дополнительные сведения о возможностях аварийного восстановления Synapse см. в официальной документации.
Общий доступ к данным для Microsoft Defender для конечной точки
Defender для конечной точки (включая Управление уязвимостями Defender) предоставляет доступ к данным, включая данные клиентов, среди следующих продуктов Майкрософт, также лицензированных клиентом. Для клиентов в облаке сообщества для государственных организаций (GCC) может происходить обмен данными между правительственными и коммерческими облачными средами в зависимости от расположения предложения службы.
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel
- Microsoft Tunnel для управления мобильными приложениями — Android
- Microsoft Defender для облака
- Microsoft Defender для удостоверений
- Управление рисками Microsoft Security (общедоступная предварительная версия)
Видимость данных для Управление уязвимостями Defender
Видимость данных — это то, что вы видите на портале Microsoft Defender. Если устройство или определенное программное обеспечение на устройстве перестает сообщать сигналы, Управление уязвимостями Microsoft Defender перестает отображать связанные уязвимости устройства или программного обеспечения через 30 дней подряд.
В следующей таблице описано, как Управление уязвимостями Defender сохраняет и отображает данные для различных сценариев.
| Сценарий хранения | Описание | Дополнительные сведения |
|---|---|---|
| Неактивные устройства | Устройство может быть указано как неактивное по нескольким причинам: — Устройство не использовалось более семи дней. — устройство было переустановлено или переименовано. Предыдущая сущность устройства остается и помечается как неактивная. — устройство было отключено от Defender для конечной точки. Через семь дней состояние работоспособности устройства изменится на Неактивное. — Устройство не отправляло сигналы Microsoft Defender для конечной точки более семи дней. Управление уязвимостями Defender по-прежнему отображает последний snapshot уязвимости в течение 30 дней с момента остановки отчетов устройства. Через 30 дней устройство помечается как неактивное , а связанные уязвимости больше не отображаются на портале Defender. Defender для конечной точки хранит данные на неактивных устройствах в течение 180 дней для соответствия требованиям и судебной экспертизы. |
-
Неактивные устройства в Microsoft Defender для конечной точки - Исключить устройства |
| Удаленное или неактивное программное обеспечение | Если определенное программное обеспечение на активном устройстве перестает отправлять сигналы в течение 30 дней подряд, Управление уязвимостями Defender предполагает, что программное обеспечение было удалено или неактивно. Управление уязвимостями Defender автоматически перестает помечать уязвимости программного обеспечения на устройстве на портале Defender. | Инвентаризация программного обеспечения |
Примечание.
Дополнительные сведения о конфиденциальности в Управление уязвимостями Defender и других продуктах и службах, таких как антивирусная программа Microsoft Defender и Windows, см. в заявлении Майкрософт о конфиденциальности.