URLs que permitem que o SEP e o SES se conectem aos servidores Symantec

O
Symantec Endpoint Protection
(SEP) e o
Symantec Endpoint Security
(SES) se comunicam com URLs específicos que a Symantec possui para executar várias funções, como validação de licenças, envio de amostras de arquivos suspeitos e uso de recursos de segurança de reputação de arquivos.
Você deve permitir os URLs a seguir se usar um ou mais proxies em seu ambiente, a fim de redirecionar o tráfego necessário para os servidores da Symantec.Adicione os URLs listados ao seu firewall de proxy ou de perímetro.Use as portas remotas 80 e 443.A direção é saída.
Se você estiver usando um proxy e um firewall na rede, será necessário permitir o tráfego para esses URLs em ambos os sistemas.
Observação:
se o proxy estiver configurado para executar a inspeção SSL, você deverá ignorá-la para esses URLs; caso contrário, alguns serviços, como o Insight, não funcionarão devido a certificados fixados.
CLIENTE DO SYMANTEC AGENT/SYMANTEC ENDPOINT PROTECTION
A tabela a seguir lista os URLs necessários para o cliente do Symantec Endpoint Protection (também chamado de Symantec Agent), independentemente do local em que ele é gerenciado: se no Symantec Endpoint Protection Manager ou no console de nuvem do ICDm.
URLs para o cliente do Symantec Endpoint Protection/Symantec Agent
Finalidade
URL
Porta
Pacote de instalação do agente
Pacote de instalação para o agente e definições de nuvem.
https://liveupdate.symantec.com
https://liveupdate.symantecliveupdate.com
443
Servidores de reputação da Symantec
Usado pelo cliente para recuperar a reputação de um arquivo em servidores da Symantec.
https://ent-shasta-rrs.symantec.com
443
Informações de telemetria do endpoint da Symantec (SETI, Symantec Endpoint Telemetry Information)
Envia à Symantec dados sobre os eventos relacionados à instalação, que incluem informações sobre como a base de clientes usa o produto.
https://tses.broadcom.com
https://telemetry.broadcom.com
443
Envios de amostra de telemetria
Usado para que o cliente faça upload de dados de telemetria, se essa opção tiver sido aceita.
Esses URLs aceitam amostras de todas as detecções feitas pelos clientes.Se um cliente detectar uma ameaça, ele consultará a Symantec para verificar se é necessária uma amostra. Até o momento, ainda não foi criada uma definição formal para esse item. Se não houver necessidade de uma amostra porque uma definição formal já foi criada, o cliente não enviará a amostra. Esse sistema de resposta de consultas reduz eficazmente o tráfego da rede criado pelo SEP e torna o SEP mais ágil nas respostas a ameaças novas e emergentes.
https://ent-shasta-mr-clean.symantec.com
https://central.ss.crsi.symantec.com
https://central.nrsi.symantec.com
https://central.avsi.symantec.com
https://central.b6.crsi.symantec.com
https://central.crsi.symantec.com
443
Envios de ping
Usado pela Symantec para avaliar a eficácia de um conjunto de definições que ainda não estão em ação, como detecções beta. Essa eficácia tem como base o número de "pings" que cada detecção ou definição cria.Por exemplo, se uma detecção criar várias respostas de ping para a Symantec, essa detecção poderá ser um falso positivo e será investigada quanto à eficácia. Esse sistema e os URLs relacionados fazem parte do sistema de prevenção de falsos positivos da Symantec.
Os envios de ping se baseiam no tipo de definição (como antivírus).
https://stnd-avpg.crsi.symantec.com
https://avs-avpg.crsi.symantec.com
https://stnd-ipsg.crsi.symantec.com
https://bash-avpg.crsi.symantec.com
443
Servidor de reputação de pulso da web
As solicitações para URLs são verificadas primeiro no banco de dados do Intelligence Services local no proxy, ou no cache de categorização local em outros produtos Symantec. Também usado para a reputação do URL, que identifica as ameaças de domínios e URLs.
Para a release 14.3 MP1 ou posterior.
https://sp.cwfservice.net
443
Envios de token de autenticação do cliente (CAT, Client Authentication Token)
Usado para que o cliente se autentique na Symantec e faça uso dos servidores de reputação para o download do Insight, por exemplo.
https://tus1gwynwapex01.symantec.com
443
SymQual
Usado para enviar à Symantec informações sobre despejos de travamento e dados de processos, de modo a ajudar na melhoria do produto.
https://faults.qalabs.symantec.com (14.3 MP1 e anteriores)
https://faults.symantec.com (a partir da 14.3 RU1)
443
Agente do Linux
https://linux-repo.us.securitycloud.symantec.com (a partir da 14.3 RU1)
443
Para permitir certificados SSL/TLS públicos de raízes públicas existentes da DigiCert, consulte: SSL/TLS OCSP and CRL in DigiCert new Web PKI hierarchy certificates (em inglês)
URLs adicionais a serem permitidos para o Symantec Agent gerenciado na nuvem ou com gerenciamento híbrido
Finalidade
URL
Porta
Gateway da API do Symantec Cloud
Se esse URL for bloqueado, o cliente não poderá chamar as APIs da nuvem.
https://usea1.r3.securitycloud.symantec.com
443
Serviço de notificação da nuvem (SPOC)
Usado para notificar o cliente para verificar os serviços na nuvem.
https://us.spoc.securitycloud.symantec.com
443
Serviços de armazenamento na nuvem
Usado para o upload seguro de arquivos de dados grandes na nuvem.
https://us-east-1-s3-symc-prod-ses-shared-content.s3.amazonaws.com
https://us-east-1-s3-symc-prod-saep-cis.s3.amazonaws.com
*https://storage.googleapis.com
Shell em tempo real
Permite que o PowerShell seja executado remotamente nos agentes.
https://ws.securitycloud.symantec.com
https://bds.securitycloud.symantec.com
https://us-east-1-s3-symc-prod-cdm-websocket.s3.amazonaws.com
*https://storage.googleapis.com
443
CONSOLE DE GERENCIAMENTO
URLs a serem permitidos para o
Symantec Endpoint Protection Manager
(local)
Finalidade
URL
Porta
Telemetria
https://tses.broadcom.com
https://telemetry.broadcom.com
443
Licenciamento
Usado para ativar a licença.
Usado para verificar se a licença que está sendo usada está atualizada e ativa.
https://services-prod.symantec.com/service/IPLService.serviceagent/IPLendpoint1
443
Servidores do Symantec LiveUpdate
Usado para conexão do SEP para mecanismo de definição e atualizações de conteúdo.
https://liveupdate.symantec.com
https://liveupdate.symantecliveupdate.com
Se você usar um servidor proxy e os servidores padrão do LiveUpdate no SEPM, permita os seguintes URLs com a porta 80 (que não é mais necessária na release 14.3 RU1):
http://liveupdate.symantec.com
http://liveupdate.symantecliveupdate.com
443
Definições do Windows "mais recentes da Symantec" para o Endpoint Protection Manager
Usado para a recuperação de informações sobre as definições mais recentes da Symantec.
https://www.broadcom.com/support/security-center
https://www.symantec.com/pt/br
https://www.symantec.com/avcenter/venc/auto/defstats.xml
443
URLs adicionais a serem permitidos se o Symantec Endpoint Protection Manager for registrado no console de nuvem
Finalidade
URL
Porta
Gateway da API do Symantec Cloud
https://usea1.r3.securitycloud.symantec.com
443
Serviços de armazenamento na nuvem
Usado para o upload seguro de arquivos de dados grandes na nuvem. Se esse URL for bloqueado, o
Symantec Endpoint Protection Manager
não poderá fazer upload de dispositivo, de grupo de dispositivos e de informações de eventos na nuvem.
https://global-s3-cpe-prod-saep-hub.s3.amazonaws.com/
*https://storage.googleapis.com
443
Serviço de notificação da nuvem (SPOC)
https://us.spoc.securitycloud.symantec.com
443
URLs a serem permitidos para acesso ao console de nuvem do gerenciador da defesa cibernética integrada (ICDm, Integrated Cyber Defense Manager)
Finalidade
URL
Porta
Console de nuvem do ICDm
https://sep.securitycloud.symantec.com
https://avagoext.okta.com/
443
Área temporária do console para recuperar arquivos obtidos por download
Local em que o console recupera um arquivo que foi carregado a partir de um agente.
https://us-east-1-s3-symc-prod-saep-edr-samples.s3.amazonaws.com
*https://storage.googleapis.com
443
Shell em tempo real
https://ws.securitycloud.symantec.com
https://bds.securitycloud.symantec.com
https://us-east-1-s3-symc-prod-cdm-websocket.s3.amazonaws.com
*https://storage.googleapis.com
443
* Em novembro de 2020, o SEP e o SES mudaram o provedor de data center, do Amazon Web Services (AWS) para o Google Cloud Platform (GCP). Para saber a data específica da migração, consulte a seção de perguntas frequentes: Symantec Endpoint Protection Migration to Google Cloud Platform - FAQs (em inglês). Para se preparar para essa migração, você deve permitir agora o URL para GCP.
Se um firewall corporativo ou proxy bloquear o acesso a esses URLs, se eles não forem permitidos, estes problemas poderão ocorrer:
  • O tráfego para os servidores do Download Insight será bloqueado durante o uso de servidores proxy com autenticação definida por configurações de proxy .PAC ou URL. Consequentemente, o Endpoint Protection não poderá usar os dados de reputação nos servidores do Download Insight para avaliar possíveis ameaças.
  • As licenças não podem ser ativadas.
  • O Symantec Endpoint Protection Manager (SEPM) não poderá ser registrado em serviços na nuvem.
  • O Symantec Endpoint Protection Manager terá problemas para se comunicar com os serviços em nuvem pós-registro.
Para ver as etapas da solução de problemas, consulte: How test connectivity with Insight and Symantec Licensing servers (em inglês)