提交
Symantec Endpoint Protection
遥测以提高安全性

简介
遥测也称为提交或数据收集,可以收集信息以改善网络安全健全检查状态,并改进产品体验。遥测广泛收集以下类型的信息:
  • 系统环境,包括硬件和软件详细信息
  • 产品错误和相关事件
  • 产品配置的有效性
收集的数据将发送到 Symantec.
Symantec 遥测收集的数据可能包括无法直接识别的假名元素。Symantec 不需要也不会尝试使用遥测数据来识别任何个人用户。
用途
Symantec 使用该信息分析和改进客户的产品体验。
  • Symantec 支持使用遥测.
  • Symantec 使用遥测技术来了解威胁状况,并将其纳入 Risk Insight 计划.
启用遥测收集
Symantec 将同时从管理服务器和
Symantec Endpoint Protection
客户端收集遥测数据。
但是,为了响应网络带宽问题或对从客户端发出的数据的限制,您可能需要禁用遥测提交。您可以检查客户端活动日志,以查看提交活动并监视带宽使用情况。
  1. 启用或禁用管理服务器遥测收集
  2. 启用或禁用用于服务器数据收集的“
    向 Symantec 发送假名数据以获得更有价值的威胁防护情报
    ”选项。
    • 在管理控制台中,转到
      “管理”>“服务器”>“本地站点”>“站点属性”>“数据收集”
      ,并更改选项。
    在安装
    Symantec Endpoint Protection Manager
    期间,也可以更改服务器数据收集选项。
  3. 启用或禁用客户端遥测提交
  4. 启用或禁用用于客户端提交的“
    向 Symantec 发送假名数据以获得更有价值的威胁防护情报
    ”选项。可以在管理控制台的组级别上更改此选项,或在客户端用户界面中为单个客户端更改此选项。
    • 在管理控制台中,转到
      “客户端”>“策略”
      选项卡。在“
      设置
      ”窗格中,选择
      “外部通信设置”>“提交”
    • 在客户端用户界面中,转到
      “客户端设置”>“客户端管理”>“配置设置”>“提交”
企业中的每个客户端都属于一个组。组有其自己的策略。在某些情况下,组被配置为继承其父组的策略。由于客户端提交是组范围设置,请确保根据需要将设置应用于所有组。
如果您禁用提交并锁定设置,则用户无法将组中的客户端配置为发送提交。如果您启用此选项,选择提交类型并锁定设置,则用户无法禁用提交。如果您不锁定设置,则用户可以更改配置,包括“
更多选项
”中的提交类型。
Symantec 建议您提交威胁信息以帮助 Symantec 提供最佳威胁防护。
常见问题
Symantec Endpoint Protection
收集哪些类型的信息?
下表介绍了
Symantec Endpoint Protection
收集的信息类型。
有关
Symantec Endpoint Protection
收集的信息类型的更多详细信息
类型
更多详细信息
软件配置、产品详细信息和安装状态
包括有关病毒和间谍软件防护策略的信息:
  • Bloodhound 设置
    是否启用或禁用 Bloodhound,以及级别是自动还是主动。(
    病毒和间谍软件防护策略 > 全局扫描选项
  • 下载智能分析设置
    是否启用或禁用“下载智能分析”,以及“下载智能分析”的设置是什么,包括敏感度级别和普遍度阈值。(
    病毒和间谍软件防护策略 > 下载防护
  • 自动防护设置
    为恶意软件或安全风险配置了哪些覆盖。(
    病毒和间谍软件防护策略 > 自动防护
包括具有最多客户端数量的前 20 个组的信息。对于每个组,选择第一个位置(通常是默认位置)来发送信息。
通常,信息包括:
  • 客户端模式:客户端是使用服务器控制、客户端控制、混合模式还是未找到数据
  • 推送/提取模式:客户端是从服务器获取策略还是请求策略
  • 开启或关闭应用程序发现
  • 检测信号间隔(以分钟为单位)
  • 开启或关闭关键事件上传
  • 开启或关闭下载随机化;随机化时段(以分钟为单位)
  • 客户端是使用上次使用的组设置,还是上次使用的组模式
  • 客户端是否发送检测提交以及发送什么类型的检测提交,如防病毒检测、文件信誉或 SONAR
  • 在客户端上是否启用主机完整性
  • 域的数量。
  • 所有域中的组总数,以近似值显示,例如
    <1500
    。如果超过 3,000,则会以
    >/= 3000
    形式发送
  • 所有域中组的最大深度
  • 客户端总数的计数
  • 计算机模式下的客户端数量
  • 用户模式下的客户端数量
  • 组织单位 (OU) 组中的客户端数量
许可证状态、许可证权利信息、许可证 ID 和许可证使用情况
N/A
设备名称、类型、操作系统版本、语言、位置、浏览器类型和版本、IP 地址和 ID
N/A
设备硬件、软件和应用程序清单
服务器数据库发送有关客户端硬件的汇总信息。这些信息包括
Symantec Endpoint Protection
安装盘上的 CPU、RAM 和可用磁盘空间。
应用程序和数据库访问配置、策略要求和策略遵从性状态以及应用程序异常和工作流程故障日志
包括系统管理日志条目的规则数。此外,还发送日志条目的数量以及以下数据库日志的日志条目还要多少天到期:
  • 系统管理日志
  • 客户端服务器活动日志
  • 审核日志
  • 系统服务器活动日志
包括任何服务器复制失败事件,如复制失败或数据库版本不匹配。
与可能的威胁相关的信息,包括:客户端安全事件信息、IP 地址、用户 ID、路径、设备信息(如设备名称和状态、下载的文件、文件操作)
N/A
文件和应用程序信誉信息,包括:文件下载、操作以及执行应用程序信息和恶意软件提交
文件信誉数据是基于文件信誉检测到的文件的相关信息。
  • 这些提交构成 Symantec Insight 信誉数据库,并帮助保护计算机免受新风险和新兴风险的侵害。
    该信息包括文件哈希、客户端 IP 哈希、下载文件的 IP 地址、文件大小和文件的信誉分数。
应用程序异常和工作流程故障日志
N/A
在配置服务或任何其他后续服务调用期间提供的个人信息
N/A
授权许可信息,例如名称、版本、语言和许可权利数据
N/A
SEP 中包含的防护技术的使用情况
包括具有最多客户端数量的前 20 个组的信息。对于每个组,选择第一个位置(通常是默认位置)来发送信息。
信息包括:
  • 启用或禁用特定防护技术的客户端数量。
  • 已启用防护技术的检测的第一个和第二个操作的数量和类型(如“
    隔离
    ”、“
    仅记录
    ”、“
    清理
    ”等)。
Symantec Endpoint Protection Manager
发送其数据库中每种类型的共享策略的数量,该数量等于默认策略数量加上自定义策略数量。信息包括:
  • 域的数量
  • 以下每个共享策略的数量:
    • 病毒和间谍软件防护策略
    • 防火墙策略
    • 入侵防护策略
    • 应用程序与设备控制策略
    • LiveUpdate 策略
    • 主机完整性策略
  • 自定义入侵防护特征的数量
说明 SEP 配置的信息,如操作系统信息、服务器硬件和软件配置详细信息、CPU 名称、内存大小、软件版本以及已安装软件包的功能
包括服务器信息,例如:
  • 复制合作伙伴的数量
  • 是否复制日志数据
  • 是否复制内容数据
包括 Linux 操作系统类型和内核版本,以及具有此配置的客户端数量的计数。
包括
Symantec Endpoint Protection Manager
数据库中有关
Symantec Endpoint Protection
客户端操作状态的汇总信息,包含以下内容的计数:
  • 客户端总数
  • 已缩减大小的客户端
  • 标准大小的客户端
  • 已启用 EWF 的客户端
  • 已启用 FBWF 的客户端
  • 已启用 UWF 的客户端
  • Microsoft 虚拟机管理程序客户端
  • VMware 虚拟机管理程序客户端
  • Citrix 虚拟机管理程序客户端
  • 未知虚拟机管理程序客户端
发送 LiveUpdate 修订版的大致数量,例如
<30
有关潜在安全风险、识别为恶意软件的可移植型可执行文件以及含可执行内容的文件的信息,其中可能包含个人信息,包括此类文件在安装时所执行的操作的相关信息
  • 防病毒检测(仅限 Windows 和 Mac)
    有关病毒和间谍软件扫描检测的信息。客户端提交的信息类型包括文件哈希、客户端 IP 哈希、防病毒特征、攻击者 URL 等。
  • 防病毒高级启发式检测(仅限 Windows)
    有关 Bloodhound 及其他病毒和间谍软件扫描启发式技术检测到的潜在威胁的信息。这些检测是静默检测,不会显示在风险日志中。有关这些检测的信息用于进行统计分析。
  • SONAR 检测(仅限 Windows)
    有关 SONAR 所检测到的威胁的信息,包括高/低风险检测、系统更改事件和可信应用程序出现的可疑行为。
此外,还包括进程数据,如:
  • SONAR 启发式检测(仅限 Windows)是静默检测,不会显示在风险日志中。此信息用于进行统计分析。客户端提交的信息的类型通常包括检测属性,例如以下内容:
    • 隐藏的进程
    • 小印记进程
    • 击键日志记录或屏幕捕获行为
    • 禁用安全产品行为
    • 检测的日期和时间戳
与网络活动相关的信息,包括所访问的 URL 和网络连接的汇总信息(例如,网络连接的主机名、IP 地址和统计信息)
包括以下内容:
  • 网络检测事件(仅限 Windows 和 Mac)
    有关 IPS 引擎检测的信息(入侵防护)。客户端提交的信息包括客户端 IP 哈希、攻击者 URL、检测时间戳、攻击者 IP 地址、IPS 特征等
  • 浏览器检测事件(仅限 Windows)
    在浏览器地址栏中键入的所有 URL,已单击或连接以用于下载。
    此外,客户端还发送有关以下内容的元数据:
    • 每个网络连接,包括 IP 地址、端口号、主机名、启动连接的应用程序、协议、连接时间、每个连接的字节数。
    • 设备之间的所有文件传输活动,包括设备标识、传输时间、协议、文件属性(类型、名称、路径、大小)和内容的 SHA-256。
SEP 安装和运行的相关状态信息,只有在 SEP 于安装或发生错误时所使用的名称或文件夹包括个人信息时,状态信息才可能包括此类信息,此信息使 Symantec 得以确认是否成功安装 SEP,以及 SEP 是否发生错误
N/A
假名的通用、统计和状态信息
N/A
如何知道我的
Symantec Endpoint Protection
客户端正在发送遥测提交?
检查客户端活动日志以查看提交事件。如果日志不包含当前提交事件,请检查以下内容:
  • 确保已启用客户端提交。
  • 如果使用代理服务器,请检查代理异常。请参阅“我可以指定用于客户端提交的代理服务器吗?
  • 检查与 Symantec 服务器的连接。请参见知识库文章:article.TECH163042.html
  • 检查以确保客户端具有最新的 LiveUpdate 内容。
    Symantec Endpoint Protection 使用提交控制数据 (SCD) 文件。Symantec 会发布 SCD 文件,并将其包括在 LiveUpdate 软件包中。每个赛门铁克产品都有其各自的 SCD 文件。此文件可控制以下设置:
    • 一天内客户端可提交的次数
    • 客户端软件重试提交时可等候的时间长度
    • 提交失败后重试的次数
    • Symantec 安全响应中心服务器接收提交的 IP 地址
如果 SCD 文件已过期,则客户端会停止发送提交。如果客户端计算机已有 7 天未检索 LiveUpdate 内容,则 Symantec 会认为该 SCD 文件已过期。客户端在 14 天后停止发送提交。
如果客户端停止了传输提交,则客户端软件不会收集提交信息并稍后发送。客户端再次开始传输提交时,只会发送在提交重新开始之后发生的事件信息。
我可以选择退出遥测提交吗?
是的,您可以选择退出。您可以在客户端和服务器用户界面中修改服务器数据收集或客户端提交选项。但是,Symantec 建议您尽量启用遥测,以提高网络的安全性。
性能、规模调整和部署
遥测会使用多少带宽?
Symantec Endpoint Protection 会限制客户端计算机的提交,以将对网络的影响降至最低。Symantec Endpoint Protection 通过以下方式限制提交:
  • 客户端计算机仅在计算机空闲时发送示例。空闲提交有助于将网络中的提交通信随机化。
  • 客户端计算机仅发送唯一文件的示例。如果 Symantec 已看到此文件,客户端计算机就不会发送信息。
这些提交的数据大小可以忽略不计。例如,防病毒提交通常不超过 4 KB,与此类似,IPS 提交的大小约为 32 KB。
我可以指定用于客户端提交的代理服务器吗?
您可以配置
Symantec Endpoint Protection Manager
,以使用代理服务器进行提交和 Windows 客户端使用的其他外部通信。如果客户端计算机使用需身份验证的代理,您可能需要在代理服务器配置中为 Symantec URL 指定例外。例外允许您的客户端计算机与 Symantec Insight 和 Symantec 的其他重要站点进行通信。
有关代理的更多详细信息,请参阅:
要了解有关 Symantec URL 例外的更多信息,请参见: