Como enviar a telemetria do
Symantec Endpoint Protection
para melhorar a segurança

Introdução
A telemetria, também conhecida como envios ou coleta de dados, coleta informações para melhorar a postura de segurança da sua rede e para melhorar a experiência do produto. A telemetria coleta amplamente os seguintes tipos de informações:
  • Ambiente do sistema, incluindo detalhes do hardware e do software
  • Erros do produto e eventos relacionados
  • Eficácia da configuração do produto
Os dados coletados são enviados à Symantec.
Os dados que a telemetria da Symantec coleta podem incluir elementos pseudoanônimos que não são diretamente identificáveis. A Symantec não precisa nem busca usar dados de telemetria para identificar usuários individualmente.
Finalidade
A Symantec usa as informações para analisar e melhorar a experiência do produto para os clientes.
  • O Suporte da Symantec usa telemetria.
  • A Symantec usa a telemetria para obter informações sobre o cenário de ameaças e como parte do programa Insight sobre riscos.
Como ativar a coleta de telemetria
A Symantec reúne dados de telemetria do servidor de gerenciamento e do cliente do
Symantec Endpoint Protection
.
No entanto, talvez seja preciso desativar os envios de telemetria em resposta a problemas de largura de banda da rede ou a restrições nos dados que saem do cliente. Você pode verificar o log de atividades do cliente para exibir a atividade dos envios e monitorar seu uso da largura de banda.
  1. Para ativar ou desativar a coleta de telemetria do servidor de gerenciamento
  2. Ative ou desative a opção
    Enviar dados pseudoanônimos à Symantec para receber informações sobre proteção contra ameaças aprimorada
    da coleta de dados do servidor.
    • No console de gerenciamento, acesse
      Admin > Servidores > Site local > Propriedades do site > Coleta de dados
      e altere a opção.
    Durante a instalação do
    Symantec Endpoint Protection Manager
    , você também pode alterar a opção de coleta de dados do servidor.
  3. Para ativar ou desativar os envios de telemetria do cliente
  4. Ative ou desative a opção
    Enviar dados pseudoanônimos à Symantec para receber informações sobre proteção contra ameaças aprimorada
    dos envios do cliente. Você pode alterar essa opção no nível do grupo no console de gerenciamento ou em um único cliente na interface de usuário do cliente.
    • No console de gerenciamento, acesse a guia
      Clientes > Políticas
      . No painel
      Configurações
      , selecione
      Configurações de comunicações externas > Envios
      .
    • Na interface de usuário do cliente, acesse
      Alterar configurações > Gerenciamento do cliente > Definir configurações > Envios
      .
Cada cliente na empresa pertence a um grupo. Um grupo tem sua própria política. Em alguns casos, um grupo é configurado para herdar a política de seu grupo pai. Uma vez que os envios do cliente são uma configuração em nível de grupo, certifique-se de aplicar a definição conforme o necessário a todos os grupos.
Se você desativar envios e bloquear a configuração, o usuário não poderá configurar clientes no grupo para fazer envios. Se você ativar a opção, selecionar tipos de envio e bloquear a configuração, o usuário não poderá desativar os envios. Se você não bloquear a configuração, o usuário poderá mudar a configuração, incluindo os tipos de envio em
Mais opções
.
A Symantec recomenda que você envie informações de ameaças para ajudá-la a fornecer a melhor proteção contra ameaças.
Perguntas frequentes
Que tipos de informações o
Symantec Endpoint Protection
coleta?
A tabela a seguir descreve o tipo de informação que o
Symantec Endpoint Protection
coleta.
Mais detalhes sobre os tipos de informações que o
Symantec Endpoint Protection
coleta
Tipo
Mais detalhes
Configuração do software, detalhes do produto e status da instalação
Inclui informações sobre políticas de Proteção contra vírus e spyware:
  • Configurações do Bloodhound
    Se Bloodhound está ativado ou desativado e se o nível é automático ou agressivo. (
    Política de Proteção contra vírus e spyware > Opções de verificação globais
    )
  • Configurações do Download Insight
    Se Download Insight está ativado ou desativado, e quais são as configurações do Download Insight, incluindo o nível de sensibilidade e o limite da prevalência. (
    Política de Proteção contra vírus e spyware > Proteção de download
    )
  • Configurações do Auto-Protect
    Quais sobreposições estão configuradas para o malware ou os riscos à segurança. (
    Política de Proteção contra vírus e spyware > Auto-Protect
    )
Inclui informações sobre os 20 grupos principais com o maior número de clientes. Para cada grupo, o primeiro local, tipicamente o local padrão, está selecionado para enviar as informações.
Tipicamente, as informações incluem:
  • Modo do cliente: se o cliente usa o controle do servidor, o controle do cliente, o modo misto ou nenhum dado encontrado
  • Modo de instalação por envio/pull: se o cliente obtém ou solicita políticas do servidor
  • Aprendizagem de aplicativo ativada ou desativada
  • Intervalo de pulsação em minutos
  • Upload de eventos críticos ativado ou desativado
  • Download aleatório ativado ou desativado; janela de escolha aleatória em minutos
  • Se o cliente utiliza as últimas configurações de grupo usadas ou o último modo do grupo usado
  • Se o cliente faz envios da detecção e de que tipo, como detecções antivírus, reputação do arquivo ou SONAR
  • Se a Integridade do host está ativada no cliente
  • O número de domínios.
  • O número total de grupos em todos os domínios, que é mostrado em aproximações, como
    < 1500
    . Mais de 3.000 é enviado como
    >/= 3000
  • A extensão máxima do grupo entre todos os domínios
  • A contagem do número total de clientes
  • O número de clientes em modo computador
  • O número de clientes em modo usuário
  • O número de clientes em grupos de unidade organizacional (UO)
Status da licença, informações dos direitos da licença, ID da licença e uso da licença
N/D
Nome de dispositivo, tipo, versão do SO, idioma, local, tipo e versão do navegador, endereço IP e ID
N/D
Hardware do dispositivo, software e inventário do aplicativo
A base de dados do servidor envia informações agregadas sobre o hardware do cliente. As informações incluem CPU, RAM e espaço em disco livre no disco de instalação do
Symantec Endpoint Protection
.
Configurações de acesso do aplicativo e do banco de dados, requisitos da política e status da conformidade com as políticas, e logs da falha da exceção do aplicativo e do fluxo de trabalho
Inclui o número de regras para entradas de log administrativas do sistema. Também envia o número de entradas de log, assim como o número de dias até que as entradas de log expirem para os seguintes logs de bancos de dados:
  • Log administrativo do sistema
  • Log de atividade entre o cliente e o servidor
  • Log de auditoria
  • Log de atividades do servidor do sistema
Inclui qualquer evento de falha da replicação do servidor, como falha da replicação ou as versões do banco de dados que não são correspondentes.
Informações associadas a possíveis ameaças, incluindo as informações de evento de segurança do cliente, o endereço IP, o ID do usuário, caminho; as informações do dispositivo, como nome e status do dispositivo; os arquivos obtidos por download e as ações de arquivo
N/D
Informações da reputação do arquivo e do aplicativo, incluindo downloads do arquivo, ações e informações do aplicativo em execução e envios de malware
Dados de reputação do arquivo são informações sobre os arquivos que são detectadas com base em sua reputação.
  • Esses envios contribuem com o banco de dados de reputação do Symantec Insight e a ajudam a proteger seus computadores dos riscos novos e emergentes.
    As informações incluem o hash do arquivo, o hash do IP do cliente, o endereço IP de onde o arquivo foi obtido por download, o tamanho do arquivo e a pontuação da reputação do arquivo.
Logs da falha da exceção e do fluxo de trabalho do aplicativo
N/D
As informações pessoais fornecidas durante a configuração do serviço ou de outro atendimento técnico subsequente
N/D
Informações de licenciamento, como nome, versão, idioma e dados de direitos de licenciamento
N/D
Uso das tecnologias de proteção incluídas no SEP
Inclui informações sobre os 20 grupos principais com o maior número de clientes. Para cada grupo, o primeiro local, tipicamente o local padrão, está selecionado para enviar as informações.
As informações incluem:
  • O número de clientes que têm uma tecnologia de proteção particular ativada ou desativada.
  • O número e o tipo (como
    Quarentena
    ,
    Somente log
    ,
    Limpar
    , etc) das primeiras e segundas ações para detecções pelas tecnologias de proteção que estão ativadas.
O
Symantec Endpoint Protection Manager
envia o número de políticas compartilhadas de cada tipo dentro do seu banco de dados, que é igual ao número de políticas padrão mais o número de políticas personalizadas. As informações incluem:
  • O número de domínios
  • O número de cada uma das seguintes políticas compartilhadas:
    • Políticas de proteção contra vírus e spyware
    • Políticas de firewall
    • Políticas de prevenção contra intrusões
    • Políticas de controle de dispositivos e aplicativos
    • Políticas do LiveUpdate
    • políticas de integridade do host
  • O número de assinaturas personalizadas da prevenção contra intrusões
Informações descrevendo as configurações do SEP, como informações do sistema operacional, especificidades de configuração do software e hardware do servidor, nome da CPU, tamanho da memória, versão do software e recursos para os pacotes instalados
Inclui informações do servidor, como:
  • Número de parceiros de replicação
  • Se os dados de log estão replicados
  • Se os dados do conteúdo estão replicados
Inclui as versões do tipo de sistema operacional e de kernel do Linux, mais uma contagem do número de clientes com essa configuração.
Inclui a informações da agregação no banco de dados do
Symantec Endpoint Protection Manager
sobre o estado operacional do cliente
Symantec Endpoint Protection
, incluindo contagens dos seguintes:
  • Total de clientes
  • Clientes de tamanho reduzido
  • Clientes de tamanho padrão
  • Clientes com EWF ativado
  • Clientes com FBWF ativado
  • Clientes com UWF ativado
  • Clientes do hipervisor Microsoft
  • Clientes do hipervisor VMware
  • Clientes do hipervisor Citrix
  • Clientes desconhecidos do hipervisor
Envia o número aproximado de revisões de LiveUpdate, por exemplo,
< 30
.
Informações sobre possíveis riscos à segurança, arquivos executáveis portáteis e arquivos com conteúdo executável que são identificados como malware e que podem conter informações pessoais, inclusive informações sobre as ações tomadas por tais arquivos no momento da instalação
  • Detecções antivírus (somente Windows e Mac)
    Informações sobre detecções da verificação de vírus e spyware. O tipo de informações que os clientes enviam inclui o hash do arquivo, o hash do IP do cliente, as assinaturas do antivírus, o URL do invasor, etc.
  • Detecções heurísticas avançadas do antivírus (somente Windows)
    As informações sobre as possíveis ameaças detectadas pelo Bloodhound e por outras heurísticas de verificação de vírus e spyware. Essas detecções são silenciosas e não aparecem no log de riscos. As informações sobre essas detecções são usadas para fins de análise estatística.
  • Detecções do SONAR (somente Windows)
    Informações sobre as ameaças que o SONAR detecta, que incluem detecções de alto ou baixo risco, eventos de alteração de sistema e comportamento suspeito dos aplicativos confiáveis.
Também inclui dados do processo, como:
  • As detecções heurísticas do SONAR (Windows somente) são silenciosas e não aparecem no log de riscos. Estas informações são usadas para análise estatística. Os tipos de informações que os clientes enviam tipicamente incluem atributos da detecção, como os seguintes:
    • Processos ocultos
    • Processos de espaço ocupado pequeno
    • Comportamento de registro de teclas ou captura de tela
    • Desativação do comportamento do produto de segurança
    • Carimbos de data e hora da detecção
Informação relativa à atividade da rede, que inclui os URLs acessados e as informações agregadas nas conexões de rede (por exemplo, nome do host, endereço IP e informações estatísticas sobre uma conexão de rede)
Inclui o seguinte:
  • Eventos de detecção da rede (Windows e Mac somente)
    Informações sobre detecções pelo mecanismo IPS (prevenção contra intrusões). As informações que os clientes enviam incluem o hash do IP do cliente, o URL do invasor, o carimbo de hora da detecção, o endereço IP do invasor, a assinatura IPS, etc.
  • Eventos de detecção do navegador (Windows somente)
    Todos os URLs digitados na barra de endereços do navegador, clicados ou conectados para fazer o download.
    Os clientes também enviam metadados sobre o seguinte:
    • Cada conexão de rede, incluindo endereços IP, números de porta, nomes de host, aplicativos que iniciam conexões, protocolos, tempos de conexão, número de bytes por conexão.
    • Todas as atividades de transferência de arquivos entre os dispositivos, incluindo identificação do dispositivo, tempo de transferência, protocolo, atributos do arquivo (tipo, nome, caminho, tamanho) e o SHA-256 do conteúdo.
Informações do status com relação à instalação e operação do SEP, que poderão conter informações pessoais somente se tais informações estiverem incluídas no nome do arquivo ou pasta encontrado pelo SEP no momento da instalação ou erro, e indica para a Symantec se a instalação do SEP foi concluída com êxito, bem como se o SEP encontrou um erro
N/D
Informações pseudoanônimas gerais, estatísticas e de status
N/D
Como eu sei que meus clientes
Symantec Endpoint Protection
estão fazendo envios de telemetria?
Verifique o log de atividades do cliente para exibir eventos de envio. Se o log não contiver eventos de envio atuais, verifique o seguinte:
  • Certifique-se de que os envios do cliente estejam ativados.
  • Se você usar servidor proxy, verifique as exceções do proxy. Consulte Posso especificar um servidor proxy para envios do cliente?
  • Verifique a conectividade aos servidores da Symantec. Consulte o artigo da Base de conhecimento article.TECH163042.html.
  • Verifique para ter certeza de que os clientes têm o conteúdo atual do LiveUpdate.
    O Symantec Endpoint Protection usa um arquivo de dados de controle do envio (SCD, Submission Control Data). A Symantec publica o arquivo SCD e o inclui como parte de um pacote do LiveUpdate. Cada produto da Symantec tem seu próprio arquivo SCD. O arquivo SCD controla as seguintes configurações:
    • Quantos envios um cliente pode fazer por dia
    • Quanto tempo de espera antes que o software-cliente tente enviar novamente
    • Quantas vezes foram feitas novas tentativas de envios que falharam
    • Qual endereço IP do servidor Symantec Security Response recebe os envios
Se o arquivo SCD tornar-se desatualizado, os clientes interromperão o envio. A Symantec considerará o arquivo SCD desatualizado quando um computador-cliente não tiver recuperado o conteúdo do LiveUpdate em sete dias. O cliente interromperá os envios após 14 dias.
Se os clientes interromperem a transmissão de envios, o software cliente não coletará as informações nem as enviará depois. Quando os clientes reiniciarem a transmissão dos envios, enviarão apenas as informações sobre os eventos que ocorrerem depois do reinício da transmissão.
Posso cancelar o envio da telemetria?
Sim, você pode cancelar. Você pode modificar as opções da coleta de dados do servidor ou dos envios do cliente nas interfaces de usuário do servidor. Contudo, a Symantec recomenda que você ative tanta telemetria quanto possível para melhorar a segurança de sua rede.
Desempenho, dimensionamento e implementação
Quanta largura de banda a telemetria consome?
O Symantec Endpoint Protection regula os envios do computador-cliente para minimizar qualquer efeito em sua rede. O Symantec Endpoint Protection regula envios das seguintes maneiras:
  • Os computadores-cliente somente enviarão amostras quando o computador estiver ocioso. O envio em período ocioso ajuda a escolher aleatoriamente o tráfego de envio através da rede.
  • Os computadores-cliente enviam amostras somente para arquivos exclusivos. Se a Symantec já conhecer o arquivo, o computador-cliente não enviará as informações.
O tamanho dos dados desses envios é muito insignificante. Por exemplo, os envios do antivírus não excedem tipicamente 4 KB, e, de maneira semelhante, os envios do IPS são aproximadamente 32 KB em tamanho.
Posso especificar um servidor proxy para envios do cliente?
Você pode configurar o
Symantec Endpoint Protection Manager
para usar um servidor proxy para envios e outras comunicações externas que seus clientes Windows usam. Se seus computadores-cliente usarem um proxy com autenticação, talvez seja preciso especificar exceções para URLs da Symantec em sua configuração do servidor proxy. As exceções permitem que seus computadores-cliente comuniquem-se com o Symantec Insight e com outros sites importantes da Symantec.
Para obter mais detalhes sobre o proxy, consulte:
Para aprender mais sobre as exceções para URLs da Symantec, consulte: