Quais são as ferramentas incluídas no Symantec Endpoint Protection?

Este artigo descreve as ferramentas que estão incluídas no
Symantec Endpoint Protection
e seu uso.

Ferramentas localizadas no arquivo de instalação

As ferramentas e a documentação a seguir estão localizadas na pasta \Tools do arquivo de instalação do
Symantec Endpoint Protection
, que você pode obter por download na página Download Management (em inglês) da Broadcom:
ApacheReverseProxy (12.1.4 e posterior)
Esta ferramenta configura o servidor Web Apache no Symantec Endpoint Protection Manager para permitir que os clientes Mac e Linux façam o download do conteúdo do LiveUpdate por meio do servidor Web. O servidor da Web Apache trabalha com o
Symantec Endpoint Protection Manager
para fazer o download e armazenar em cache localmente o conteúdo do LiveUpdate para os clientes Mac e Linux sempre que conteúdo novo for publicado.
Essa ferramenta é apropriada para redes com um número menor de clientes.
CentralQ (12.1.6 e anteriores)
O
Symantec Endpoint Protection
pode encaminhar automaticamente os pacotes em quarentena que contêm arquivos infectados e seus efeitos colaterais relacionados de uma quarentena local para a Quarentena central. Você pode coletar as informações de análise posterior mais facilmente usando a Quarentena central. Essa ferramenta permite a você recuperar uma amostra de um computador infectado sem ter que diretamente acessar esse computador.
Use o servidor de quarentena em um ambiente do
Symantec Endpoint Protection
nos seguintes casos:
  • Para receber amostras de suspeitas de ameaça de clientes
    Symantec Endpoint Protection
    .
  • Para enviar automaticamente essas amostras ao Security Response.
  • Para fazer o download das definições rápidas do release que são específicas às suspeitas de ameaça enviadas somente ao servidor de quarentena. Essas definições não são enviadas aos clientes
    Symantec Endpoint Protection
    de onde a ameaça se originou.Consulte:
Para obter mais informações, consulte:
CleanWipe
O CleanWipe desinstala o produto
Symantec Endpoint Protection
. Use o CleanWipe somente como último recurso, depois de ter tentado sem sucesso outros métodos de desinstalação, como o painel de controle do Windows.Consulte:
Você pode também encontrar essa ferramenta no seguinte local (64 bits): C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
ContentDistributionMonitor (SEPMMonitor)
A ferramenta ContentDistributionMonitor ajuda você a gerenciar e monitorar vários provedores de atualizações de grupo (GUPs, Group Update Providers) em seu ambiente. A ferramenta apresenta uma exibição gráfica do status da distribuição de conteúdo e da integridade dos GUPs.Consulte:
Deception (14.0.1)
O Deception é usado para detectar atividades do adversário no endpoint usando “fraudadores”. A premissa básica dessa abordagem é que o invasor já violou as defesas primárias da rede e está realizando o reconhecimento no ambiente. O invasor busca por ativos críticos, como um controlador de domínio ou credenciais do banco de dados.
DeviceInfo (14), DevViewer
O DeviceInfo (para Mac; a partir da versão 14) e o DevViewer (para Windows) obtêm o fornecedor, o modelo ou o número de série do dispositivo de um dispositivo específico. Você adiciona essas informações à lista
Dispositivos de hardware
. Você pode então adicionar o ID do dispositivo a uma política de Controle de dispositivo para permitir ou bloquear um dispositivo em computadores-cliente.
Faça download do DevViewer na seção Anexos em:
Para obter mais informações, consulte:
Integration (WebServicesDocumentation)
A partir da versão 14, a pasta Integração foi renomeada para
WebServicesDocumentation
.Consulte:
ITAnalytics
O software IT Analytics expande a geração de relatórios integrada que o
Symantec Endpoint Protection
oferece, permitindo a criação de relatórios e consultas personalizados. Traz a análise multidimensional e recursos gráficos da geração de relatórios dos dados contidos dentro dos bancos de dados do
Symantec Endpoint Protection Manager
. Essa funcionalidade permite que você explore os dados, mesmo sem conhecimento avançado de bancos de dados ou das ferramentas de geração de relatórios de terceiros.
JAWS
O programa de leitor de tela JAWS e um conjunto de scripts facilitam ler menus e caixas de diálogo do
Symantec Endpoint Protection
. JAWS é uma tecnologia de auxílio que fornece a conformidade com a acessibilidade do produto da seção 508.
Administrador do LiveUpdate
O Administrador do Symantec LiveUpdate é um aplicativo web autônomo separado do
Symantec Endpoint Protection
. O Administrador do LiveUpdate espelha o conteúdo dos servidores públicos do LiveUpdate e oferece então o conteúdo aos produtos da Symantec internamente com um servidor da Web incorporado.
O Administrador do LiveUpdate é um componente opcional do
Symantec Endpoint Protection
e não é exigido para atualizar os clientes
Symantec Endpoint Protection
. Por padrão, o
Symantec Endpoint Protection Manager
usa a tecnologia do LiveUpdate em vez da do Administrador do LiveUpdate para fazer o download do conteúdo diretamente dos servidores públicos do LiveUpdate da Symantec.
Você pode querer usar o Administrador do LiveUpdate em algumas circunstâncias. Por exemplo, talvez seja necessário fazer o download de conteúdo para um grande número de clientes que não sejam do Windows ou para clientes se o
Symantec Endpoint Protection Manager
não puder fazer o download do conteúdo. Consequentemente, você pode instalar um servidor do Administrador do LiveUpdate e, então, configurar o
Symantec Endpoint Protection Manager
para fazer o download a partir dele.Consulte:
Para fazer download do Administrador do LiveUpdate e da documentação, consulte:
Nenhum suporte > MoveClient
O
MoveClient
é um script do Visual Basic que move clientes de um grupo do
Symantec Endpoint Protection Manager
a outro grupo com base no nome do host, no nome de usuário, no endereço IP ou no sistema operacional do cliente. Também pode alternar clientes do modo de usuário para o modo de computador e vice-versa. Consulte:
Nenhum suporte > Qextract
O
Qextract
extrai e restaura arquivos da quarentena local do cliente. Talvez você precise dessa ferramenta se o cliente colocar em quarentena um arquivo que você determinou ser um falso positivo.
Nenhum suporte > SEPprep (12.1.6 e anteriores)
O SEPprep é uma ferramenta não suportada que desinstala produtos antivírus dos concorrentes automaticamente. O SEPprep também desinstalará os produtos Symantec Norton
se você desejar migrar do Norton para o
Symantec Endpoint Protection
.
Você pode empacotar o SEPprep em um script que desinstale o produto do concorrente e, então, iniciar o instalador do
Symantec Endpoint Protection
automática e silenciosamente.
Em vez do SEPprep, use o Assistente de Implementação de Cliente para desinstalar os produtos dos concorrentes. Na guia
Configurações de instalação do cliente
no assistente, clique em
Desinstalar automaticamente o software de segurança de terceiros existente
.
Para obter mais informações, consulte:
Para obter a lista dos produtos que o Assistente de Implementação de Cliente desinstala, consulte:
O SEPprep não desinstala nenhum produto da Symantec. Contudo, a partir da versão 14, o CleanWipe é incorporado ao Assistente de Implementação de Cliente para remover outros produtos da Symantec, incluindo o cliente
Symantec Endpoint Protection
.
OfflineImageScanner (12.1.6 e anteriores)
Essa ferramenta verifica e detecta ameaças em discos virtuais off-line do VMware (arquivos .vmdk). Consulte:
PushDeploymentWizard
Você usa o Assistente de Implementação por envio para implementar o pacote de instalação do cliente
Symantec Endpoint Protection
nos computadores de destino. O Assistente de Implementação por envio é o mesmo que o Assistente de Implementação de Cliente no
Symantec Endpoint Protection Manager
. Você usa-o tipicamente para implementar em grupos de computadores menores ou em computadores remotos.Consulte:
Para obter mais informações, consulte: Overview of the Push Deployment Wizard in Symantec Endpoint Protection (em inglês)
SylinkDrop
O arquivo Sylink.xml inclui configurações de comunicação entre o cliente do Windows e um Symantec Endpoint Protection Manager. Se os clientes perderem a comunicação com o
Symantec Endpoint Protection Manager
, use a ferramenta SylinkDrop para substituir automaticamente o arquivo Sylink.xml existente por um novo arquivo Sylink.xml no computador-cliente.
A substituição do arquivo Sylink.xml realiza as tarefas a seguir:
  • Converter um cliente não gerenciado em um cliente gerenciado.
  • Migra ou move clientes para um novo domínio ou servidor de gerenciamento.
  • Restaura as rupturas de comunicação do cliente que não podem ser corrigidas no servidor de gerenciamento.
  • Mover um cliente de um servidor para outro que não seja um parceiro de replicação.
  • Mover um cliente de um domínio para outro.
Você também pode usar essa ferramenta somente para clientes Windows. Ela está no seguinte local (64 bits):
C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Para obter mais informações, consulte:
SymDiag (SymHelp)
A partir da versão 14, a ferramenta SymHelp foi renomeada como Symantec Diagnostic (SymDiag).
A
SymDiag
é uma ferramenta de diagnóstico para vários produtos que identifica problemas comuns, coleta dados para a solução de problemas assistida pelo suporte e fornece links para outros recursos de autoatendimento e suporte ao cliente. A
SymDiag
também fornece o status de licenciamento e de manutenção para alguns produtos da Symantec, assim como a Threat Analysis Scan, que ajuda a encontrar malwares potenciais.
Virtualização
As ferramentas da virtualização melhoram o desempenho da verificação para os clientes que estão instalados em ambientes de infraestrutura da área de trabalho virtual (VDI, virtual desktop infrastructure).
  • SecurityVirtualAppliance (12.1.6 e anteriores)
    O Appliance de segurança virtual da Symantec contém o cache compartilhado do Insight ativado para vShield para infraestruturas do VMware vShield. Consulte:
  • SharedInsightCache
    A ferramenta de Cache compartilhado do Insight melhora o desempenho da verificação em ambientes virtualizados por não fazer a verificação dos arquivos que um cliente do
    Symantec Endpoint Protection
    tenha determinado como limpos. Quando o cliente verifica a existência de ameaças em um arquivo e determina que está limpo, ele envia as informações sobre o arquivo para o Cache compartilhado do Insight.
    Quando outro cliente tentar e depois verificar o mesmo arquivo, ele poderá consultar o cache compartilhado do Insight para determinar se o arquivo está limpo. Se o arquivo estiver limpo, o cliente não verificará esse arquivo específico. Se o arquivo não estiver limpo, o cliente verificará o arquivo para detectar vírus e enviará esses resultados para o cache compartilhado do Insight.
    O Cache compartilhado do Insight é um serviço Web executado independentemente do cliente. Porém, é necessário configurar o
    Symantec Endpoint Protection
    para especificar o local do Cache compartilhado do Insight para que os clientes possam se comunicar com ele. O Cache compartilhado do Insight se comunica com os clientes por HTTP ou HTTPS. A conexão HTTP do cliente é mantida até que a verificação seja concluída.Consulte:
  • Exceção de imagem virtual
    Para melhorar o desempenho e a segurança em um ambiente de VDI, uma prática comum é aproveitar imagens base para construir sessões do computador virtual conforme a necessidade. A ferramenta Exceção da imagem virtual da Symantec permite que os clientes
    Symantec Endpoint Protection
    ignorem a verificação de ameaças em arquivos de imagem base, o que reduz a carga do recurso na E/S do disco. Isso também melhora o desempenho do processo de verificação da CPU em seu ambiente de VDI.Consulte:
WebServicesDocumentation (integração)
No 12.1.6 e anteriores, essa ferramenta fica situada na pasta \Tools\Integration.
O
Symantec Endpoint Protection
inclui um conjunto de APIs públicas na forma de serviços da Web para fornecer suporte para aplicativos de gerenciamento e monitoramento remotos (RMM, remote monitoring and management). Os serviços da Web fornecem funções no cliente e no servidor de gerenciamento. Todos os chamados aos serviços web do
Symantec Endpoint Protection
são autenticados por meio do
OAuth
e permitem o acesso somente a administradores autorizados do
Symantec Endpoint Protection
. Os desenvolvedores usam essas APIs para integrar a solução de segurança de terceiros da rede da sua empresa com o servidor de gerenciamento e o cliente
Symantec Endpoint Protection
.
Fornece o suporte para o gerenciamento e o monitoramento remotos. O gerenciamento remoto é fornecido por meio de APIs públicas na forma de serviços da Web que permitem que você integre sua solução ou console personalizado de terceiros com funcionalidades de servidor básicas de cliente e servidor. O monitoramento remoto é fornecido por meio de chaves de registro publicamente suportadas e logs de eventos do Windows.
Os serviços da Web para gerenciamento remoto podem fazer as tarefas a seguir:
  • Relata o status da licença e do conteúdo do servidor de gerenciamento por atendimentos técnicos via web, além de relatar o status da licença no log de eventos do Windows.
  • Enviar comandos ao cliente, como Atualizar, Atualizar e verificar e Reinicializar.
  • Gerenciar as políticas que são fornecidas ao cliente. As políticas podem ser importadas de outro servidor de gerenciamento e podem ser atribuídas aos grupos ou aos locais em outro servidor de gerenciamento.

Ferramentas instaladas com o Symantec Endpoint Protection Manager

As ferramentas a seguir são instaladas com o
Symantec Endpoint Protection Manager
no seguinte local padrão:
C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
.
CollectLog
O CollectLog.cmd coloca os logs do
Symantec Endpoint Protection Manager
em um arquivo.zip comprimido. Você pode enviar o arquivo .zip ao Suporte da Symantec ou a outro administrador para fins de solução de problemas.
Você encontra essa ferramenta no seguinte local (64 bits): C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Validador do banco de dados
Você usa o dbvalidator.bat para ajudar o Suporte a diagnosticar um problema com o banco de dados que o
Symantec Endpoint Protection Manager
executa.
Você encontra essa ferramenta no seguinte local (64 bits): C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption (14)
O
Symantec Endpoint Protection Manager
comunica-se com o Microsoft SQL Server por um canal criptografado por padrão. Essa ferramenta permite desativar ou ativar a criptografia de TLS entre a comunicação do servidor de gerenciamento e do Microsoft SQL Server. A partir da versão 14, é possível usá-la com as instalações do servidor de gerenciamento configuradas para usar o banco de dados do Microsoft SQL Server.
Essa ferramenta é instalada com o Symantec Endpoint Protection Manager no seguinte local (64 bits): C:\Arquivos de programas (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Referência da API do
Symantec Endpoint Protection Manager
(14)
O
Symantec Endpoint Protection Manager
inclui um conjunto de APIs REST que realizam operações do
Symantec Endpoint Protection Manager
e se conectam a elas a partir do Endpoint Detection and Response (EDR). As APIs serão usadas se você não tiver acesso ao
Symantec Endpoint Protection Manager
. A documentação está nos seguintes locais:
  • No servidor do
    Symantec Endpoint Protection Manager
    , no endereço a seguir, em que
    SEPM-IP
    é o endereço IP do servidor do
    Symantec Endpoint Protection Manager
    :
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    O endereço IP inclui IPv4 e IPv6. Você deve inserir o endereço IPv6 entre colchetes:
    http://[
    SEPMServer
    ]:
    número da porta
  • Documentação da API. Consulte:
    Endpoint Security REST API Documentation (em inglês)