Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Informationen zur Datenspeicherung und zum Datenschutz für Microsoft Defender für Endpunkt, einschließlich Microsoft Defender-Sicherheitsrisikomanagement.
Hinweis
In diesem Artikel werden die Datenspeicherungs- und Datenschutzdetails im Zusammenhang mit Defender für Endpunkt (einschließlich Defender-Sicherheitsrisikomanagement) und Defender for Business erläutert. Weitere Informationen zu Defender für Endpunkt und anderen Produkten und Diensten wie Microsoft Defender Antivirus und Windows finden Sie unter Microsoft-Datenschutzbestimmungen.
Was sammeln wir?
Microsoft Defender für Endpunkt sammelt Informationen von Ihren konfigurierten Geräten und speichert sie in einem kundenspezifischen und für den Dienst getrennten Mandanten zu Verwaltungs-, Nachverfolgungs- und Berichterstellungszwecken.
Gesammelte Informationen umfassen:
- Dateidaten (Dateinamen, Größen und Hashes)
- Prozessdaten (Ausführen von Prozessen, Hashes)
- Registrierungsdaten
- Netzwerkverbindungsdaten (Host-IP-Adressen und Ports)
- Gerätedetails (Gerätebezeichner, Namen und Betriebssystemversion)
- Softwareinventurdaten für Defender Vulnerability Management-Funktionen (installierte Anwendungen, Betriebssystemversionen, Firmware, Hardwarekomponenten und andere relevante Softwaredetails, um Sicherheitsrisiken zu identifizieren, Risikostufen zu bewerten und umsetzbare Erkenntnisse bereitzustellen, um Ihre Umgebung zu schützen)
Microsoft speichert diese Daten sicher in Microsoft Azure und verwaltet sie in Übereinstimmung mit den Datenschutzpraktiken von Microsoft und den Microsoft Trust Center-Richtlinien.
Diese Daten ermöglichen Defender für Endpunkt:
- Proaktives Identifizieren von Indikatoren für Angriffe (IOAs) in Ihrer Organisation
- Generieren von Warnungen, wenn ein möglicher Angriff erkannt wurde
- Bieten Sie Ihren Sicherheitsvorgängen einen Einblick in Geräte, Dateien und URLs im Zusammenhang mit Bedrohungssignalen aus Ihrem Netzwerk, sodass Sie das Vorhandensein von Sicherheitsbedrohungen im Netzwerk untersuchen und untersuchen können.
Microsoft verwendet Ihre Daten nicht für Werbung.
Datenspeicherort
Defender für Endpunkt (einschließlich Defender Vulnerability Management) ist in den Microsoft Azure-Rechenzentren in der Europäischen Union, dem Vereinigten Königreich, den VEREINIGTEN Staaten, Australien, der Schweiz, Indien oder den Vereinigten Arabischen Emiraten (VAE) tätig. Die vom Dienst gesammelten Kundendaten können gespeichert werden in: (a) der Geolocation des Mandanten, die während der Bereitstellung identifiziert wurde, oder (b) der Geolocation gemäß den Datenspeicherregeln eines Onlinediensts, wenn dieser Onlinedienst von Defender für Endpunkt zur Verarbeitung solcher Daten verwendet wird. Weitere Informationen finden Sie unter Wo Ihre Microsoft 365-Kundendaten gespeichert werden.
(a) die Geolocation des Mandanten, die während der Bereitstellung identifiziert wurde; Oder
(b) die Geolocation gemäß den Datenspeicherregeln eines Onlinediensts, wenn dieser Onlinedienst von Defender für Endpunkt zur Verarbeitung dieser Daten verwendet wird.
Datenaufbewahrung
Daten aus Microsoft Defender für Endpunkt werden 180 Tage lang aufbewahrt und sind im Portal sichtbar.
Ihre Daten werden aufbewahrt und stehen Ihnen zur Verfügung, während sich die Lizenz in der Toleranzperiode oder im Ausgesetzten Modus befindet. Nach Ablauf dieses Zeitraums werden diese Daten aus den Systemen von Microsoft gelöscht, damit sie nicht wiederhergestellt werden können, spätestens 180 Tage nach Vertragsbeendigung oder Ablauf.
In der erweiterten Untersuchungsumgebung für die Suche ist der Zugriff 30 Tage lang über eine Abfrage möglich.
Datenaufbewahrung für Defender Vulnerability Management-Bestandsdaten
Inventureinträge in Defender Vulnerability Management laufen je nach Quelle nach 7 Tagen oder 31 Tagen ab, wie in der folgenden Tabelle beschrieben:
| Datenquelle | Aufbewahrungszeitraum | Details |
|---|---|---|
| Android Apps | 7 Tage oder 31 Tage | Hängt von der Quellereigniskategorie ab. |
| Browsererweiterungen* | 7 Tage | Benutzerweit gültig und flüchtig. Läuft schnell ohne Aktualisierung ab. |
| Zertifikate* | Bis zu zwei Tage vor dem letzten Bericht (Fallback beträgt sieben Tage) | Die Aufbewahrung richtet sich nach den Zeitstempeln der Zertifikatsberichterstattung. |
| Gelöschte Registrierungsprodukte | 30 Tage | Toleranzfenster, nachdem ein Produkt in der Registrierung als gelöscht markiert wurde. |
| Firmware und Hardware* | 31 Tage | Läuft ab, wenn der Computer nicht innerhalb von 31 Tagen gemeldet wurde oder nicht verwaltet wird. |
| iOS-Apps | 7 Tage oder 31 Tage | Hängt von der Quellereigniskategorie ab. |
| Linux-Pakete | 7 Tage oder 31 Tage | Hängt von der Quellereigniskategorie ab:
|
| Softwarekomponenten aus Quellen der Benutzer-/Dateiüberprüfung | 7 Tage | Vorübergehende Datei-/Handlescans und andere flüchtige Quellen. |
| Benutzerbezogene Dateipfade (Pfade, die BENUTZER enthalten) | 7 Tage | Benutzerprofilspeicherorte. |
| Benutzerbezogene Registrierungsschlüssel (HKU) | 7 Tage | Benutzerspezifische Hive-Daten. |
| Standard (alle anderen Quellen) | 31 Tage | Systembezogene und stabile Quellen. |
* Diese Datenquelle ist in Microsoft Defender für EndpunktPlan 2 nicht enthalten. Um sie zu erhalten, benötigen Sie eine der folgenden Optionen:
- Das Defender-Add-On für die Verwaltung von Sicherheitsrisiken für Microsoft Defender für Endpunkt Plan 2.
- Eigenständiges Microsoft Defender-Sicherheitsrisikomanagement, wenn Sie noch nicht über Microsoft Defender für Endpunkt Plan 2 verfügen.
Datenwiederherstellung
Defender für Endpunkt (einschließlich Defender Vulnerability Management) umfasst eine regionale Notfallwiederherstellungsstrategie, die auf das umfassendere Resilienzframework von Microsoft ausgerichtet ist. Weitere Informationen finden Sie unter Resilienz und Kontinuität – Microsoft-Dienst Assurance | Microsoft Learn. Im Falle einer Dienstunterbrechung sind alle MDE-Komponenten so konzipiert, dass ein Failover auf eine gekoppelte Region innerhalb derselben geografischen Grenze erfolgt, wodurch die Anforderungen an die Datenresidenz beibehalten werden.
Aufgrund der aktuellen Diensteinschränkungen in den Vereinigten Arabischen Emiraten werden MDE-Komponenten, die von Azure Synapse-Workloads abhängen, jedoch nur mit Zonenresilienz unterstützt. Derzeit ist für die Workloads keine BCDR-Funktion (Regionsübergreifende Geschäftskontinuität und Notfallwiederherstellung) verfügbar. Weitere Informationen zu den Notfallwiederherstellungsfunktionen von Synapse finden Sie in der offiziellen Dokumentation.
Datenfreigabe für Microsoft Defender für Endpunkt
Defender für Endpunkt (einschließlich Defender-Sicherheitsrisikomanagement) teilt Daten, einschließlich Kundendaten, unter den folgenden Microsoft-Produkten, die ebenfalls vom Kunden lizenziert sind. Für Kunden in der Government Community Cloud (GCC) kann je nach Standort des Dienstangebots die Datenfreigabe zwischen behördenbasierten und kommerziellen Cloudumgebungen erfolgen.
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel
- Microsoft Tunnel für mobile Anwendungsverwaltung – Android
- Microsoft Defender für Cloud
- Microsoft Defender for Identity
- Microsoft Security Exposure Management
- Intune
- Agent 365
Datentransparenz für die Defender-Sicherheitsrisikoverwaltung
Datensichtbarkeit bezieht sich auf das, was im Microsoft Defender-Portal angezeigt wird. Wenn ein Gerät oder eine bestimmte Software auf dem Gerät keine Signale mehr meldet, zeigt die Microsoft Defender-Sicherheitsrisikoverwaltung nach 30 aufeinanderfolgenden Tagen keine zugehörigen Geräte- oder Softwaresicherheitsrisiken mehr an.
In der folgenden Tabelle wird beschrieben, wie die Defender-Sicherheitsrisikoverwaltung Daten für verschiedene Szenarien beibehält und anzeigt:
| Aufbewahrungsszenario | Beschreibung | Weitere Informationen |
|---|---|---|
| Inaktive Geräte | Ein Gerät kann aus verschiedenen Gründen als inaktiv aufgeführt werden: – Das Gerät wurde länger als sieben Tage nicht verwendet. – Das Gerät wurde neu installiert oder umbenannt. Die vorherige Geräteentität bleibt bestehen und ist als Inaktiv markiert. – Das Gerät wurde von Defender für Endpunkt offboarded. Nach sieben Tagen ändert sich der Integritätsstatus des Geräts in Inaktiv. – Das Gerät hat seit mehr als sieben Tagen keine Signale an Microsoft Defender für Endpunkt gesendet. Defender Vulnerability Management zeigt die letzte Sicherheitsrisikomomentaufnahme bis zu 30 Tage ab dem Zeitpunkt an, an dem das Gerät die Meldung beendet hat. Nach 30 Tagen wird das Gerät als inaktiv markiert, und die zugehörigen Sicherheitsrisiken werden nicht mehr im Defender-Portal angezeigt. Defender für Endpunkt speichert Daten auf inaktiven Geräten für bis zu 180 Tage für Compliance und Forensik. |
-
Inaktive Geräte in Microsoft Defender für Endpunkt - Ausschließen von Geräten |
| Deinstallierte oder inaktive Software | Wenn bestimmte Software auf einem aktiven Gerät 30 aufeinanderfolgende Tage lang keine Signale mehr sendet, geht Defender Vulnerability Management davon aus, dass die Software entfernt wurde oder inaktiv ist. Die Defender-Sicherheitsrisikomanagement beendet automatisch das Kennzeichnen von Softwaresicherheitsrisiken für die Software auf dem Gerät im Defender-Portal. | Softwarebestand |
Hinweis
Weitere Informationen zum Datenschutz in Defender Vulnerability Management und anderen Produkten und Diensten wie Microsoft Defender Antivirus und Windows finden Sie unter Microsoft-Datenschutzbestimmungen.