Odeslání telemetrie aplikace
Symantec Endpoint Protection
pro zlepšení zabezpečení

Úvodní informace
Při telemetrii (označovaná též jako odesílání dat nebo shromažďování dat) se shromažďují informace za účelem zvýšení zabezpečení sítě a usnadnění používání produktu. Při telemetrii jsou obecně shromažďovány následující typy informací:
  • Prostředí systému, včetně podrobností o hardwaru a softwaru
  • Chyby produktu a související události
  • Efektivita konfigurace produktu
Shromážděná data se odesílají společnosti Symantec.
Data shromažďovaná telemetrií společnosti Symantec mohou obsahovat anonymní prvky, které nejsou přímo identifikovatelné. Společnost Symantec nepotřebuje ani se nesnaží použít telemetrická data k identifikaci jakéhokoli jednotlivého uživatele.
Účel
Společnost Symantec tyto informace využívá k analýze a zlepšení produktu.
  • Telemetrii využívá podpora Symantec.
  • Společnost Symantec může díky telemetrii získat informace o rozšíření hrozeb a využívá ji v programu Risk Insight.
Povolení shromažďování telemetrických dat
Společnost Symantec shromažďuje telemetrická data ze serveru pro správu i z klienta aplikace
Symantec Endpoint Protection
.
Může se stát, že bude třeba odesílání telemetrických dat zakázat kvůli problémům s šířkou pásma sítě nebo omezení dat odesílaných z klientů. Pomocí protokolu aktivity klienta můžete zobrazit informace o odesílaných datech a sledovat využití šířky pásma.
  1. Povolení nebo zakázání shromažďování telemetrických dat serveru pro správu
  2. Povolte nebo zakažte možnost
    Odesílat společnosti Symantec anonymní data za účelem získání rozšířených informací ochrany před hrozbami
    pro shromažďování dat serveru.
    • V konzoli pro správu přejděte k položce
      Správce > Servery > Místní umístění > Vlastnosti umístění > Shromažďování dat
      a změňte možnost.
    Během instalace aplikace
    Symantec Endpoint Protection Manager
    můžete také změnit možnost shromažďování dat serveru.
  3. Povolení nebo zakázání odesílání telemetrických dat z klientů
  4. Povolte nebo zakažte možnost
    Odesílat společnosti Symantec anonymní data za účelem získání rozšířených informací ochrany před hrozbami
    pro odesílání dat z klientů. Můžete změnit možnost na úrovni skupiny v konzoli pro správu nebo u jednoho klienta v uživatelském rozhraní klienta.
    • V konzoli pro správu přejděte na kartu
      Klienti > Zásady
      . V podokně
      Nastavení
      vyberte možnost
      Nastavení externí komunikace > Odeslané informace
      .
    • V uživatelském rozhraní klienta přejděte na možnost
      Změnit nastavení > Správa klienta > Konfigurace nastavení > Odeslané informace
      .
Každý klient v rámci podniku patří do určité skupiny. Každá skupina má vlastní zásady. V některých případech přebírá skupina zásady nadřazené skupiny. Nastavení odesílání dat z klientů je platné na úrovni skupiny. Je tedy potřeba jej nastavit pro všechny skupiny, u kterých jej chcete použít.
Pokud odesílání dat zakážete a nastavení uzamknete, uživatelé nebudou moci v klientech toto odesílání nastavit. Pokud tuto možnost povolíte, vyberete typy odesílaných dat a nastavení uzamknete, uživatelé nebudou moci odesílání zakázat. Pokud nastavení neuzamknete, uživatelé budou moci konfiguraci změnit, včetně typů odesílaných dat v části
Více možností
.
Společnost Symantec doporučuje odesílání informací o hrozbách zapnout, aby mohla poskytovat maximální ochranu před hrozbami.
Časté otázky
Jaké typy informací aplikace
Symantec Endpoint Protection
shromažďuje?
V následující tabulce je popsán typ informací shromažďovaných aplikací
Symantec Endpoint Protection
.
Podrobnosti o typech informací shromažďovaných aplikací
Symantec Endpoint Protection
Typ
Další podrobnosti
Konfigurace softwaru, podrobnosti o produktu a stav instalace
Zahrnuje informace o zásadách ochrany před viry a spywarem:
  • Nastavení technologie Bloodhound
    Uvádí, zda je technologie Bloodhound povolena nebo zakázána a zda je nastavena automatická nebo agresivní úroveň. (
    Zásady ochrany před viry a spywarem > Globální možnosti prověřování
    )
  • Nastavení funkce Download Insight
    Uvádí, zda je funkce Download Insight povolena nebo zakázána a jaká jsou její nastavení, včetně úrovně citlivosti a mezní hodnoty rozšíření. (
    Zásady ochrany před viry a spywarem > Ochrana stahování
    )
  • Nastavení funkce Auto-Protect
    Uvádí, jakým způsobem je přepsáno nastavení konfigurace pro malware a bezpečnostní rizika. (
    Zásady ochrany před viry a spywarem > Auto-Protect
    )
Obsahuje informace o 20 skupinách s nejvyšším počtem klientů. U každé skupiny je vybráno primární umístění (obvykle se jedná o výchozí umístění) pro odesílání informací.
Obvykle se jedná o následující informace:
  • Režim klienta: Uvádí, zda je u klienta aktivováno ovládání serveru, klientské řízení či kombinovaný režim, případně informuje, že nebyla nalezena žádná data.
  • Režim push/pull: Uvádí, zda klient automaticky přijímá zásady ze serveru nebo o ně žádá.
  • Stav zjišťování aplikací (zapnuto nebo vypnuto)
  • Interval prezenčního signálu v minutách
  • Stav odesílání kritických událostí (zapnuto nebo vypnuto)
  • Stav náhodného stahování (zapnuto nebo vypnuto); doba pro náhodné stahování v minutách
  • Informace, zda klient používá naposledy použitá nastavení skupiny nebo naposledy použitý režim skupiny.
  • Informace, zda klient odesílá data o zjištěních a jakých typů zjištění se týkají (například zjištění ochrany před viry, hodnocení souborů nebo technologie SONAR).
  • Stav povolení integrity hostitele
  • Počet domén
  • Přibližný počet skupin ve všech doménách, například
    <1500
    . Pokud je počet vyšší než 3000, odešle se hodnota
    >/= 3000
    .
  • Maximální hloubka skupiny ve všech doménách
  • Celkový počet klientů
  • Počet klientů v počítačovém režimu
  • Počet klientů v uživatelském režimu
  • Počet klientů ve skupinách organizační jednotky
Stav licence, informace o nároku na licenci, ID licence a využití licence
Není k dispozici.
Název a typ zařízení, verze operačního systému, jazyk, poloha, typ a verze prohlížeče, adresa IP a ID
Není k dispozici.
Hardware a software zařízení a inventář aplikací
Serverová databáze odesílá souhrnné informace o hardwaru klientů. Jedná se například o informace o procesoru, paměti RAM a volném místě na disku, na kterém je nainstalována aplikace
Symantec Endpoint Protection
.
Konfigurace přístupu k aplikacím a databázím, požadavky zásad, stav dodržování zásad a protokoly výjimek aplikací a selhání pracovního postupu
Zahrnuje počet pravidel pro záznamy protokolu správy systému. V případě následujících protokolů odesílá i počet záznamů protokolu a informaci o počtu dní do vypršení záznamů:
  • Protokol správy systému
  • Protokol aktivity klienta a serveru
  • Protokol auditu
  • Protokol činnosti serveru systému
Zahrnuje jakékoli události selhání replikace serveru, jako je chyba replikace nebo nesouhlasící verze databáze.
Informace související s možnými hrozbami jako například: události zabezpečení, adresa IP, ID uživatele, cesta, informace o zařízení, jako je název a stav zařízení, stažené soubory, akce se soubory
Není k dispozici.
Informace o hodnocení souborů a aplikací, včetně stahování souborů, akcí, zprostředkovávání informací o zařízení a odesílání malwaru
Data o hodnocení souborů jsou informace o souborech zjištěných na základě hodnocení jejich důvěryhodnosti.
  • Odeslaná data o těchto souborech jsou zařazována do databáze hodnocení Symantec Insight, která pomáhá chránit počítače před novými a vznikajícími riziky.
    Informace zahrnují hodnotu hash souboru, hodnotu hash adresy IP klienta, adresu IP, z níž byl soubor stažen, velikost souboru a hodnocení důvěryhodnosti souboru.
Protokoly výjimek aplikací a selhání pracovního postupu
Není k dispozici.
Osobní údaje poskytnuté během konfigurace služby nebo jakéhokoli následného volání služby
Není k dispozici.
Informace o licenci, jako například údaje o názvu, verzi, jazyku a oprávnění k licenci
Není k dispozici.
Použití technologií ochrany obsažených v aplikaci SEP
Obsahuje informace o 20 skupinách s nejvyšším počtem klientů. U každé skupiny je vybráno primární umístění (obvykle se jedná o výchozí umístění) pro odesílání informací.
Informace zahrnují:
  • Počet klientů, u kterých je povolena nebo zakázána určitá technologie ochrany
  • Počet a typ (například
    Karanténa
    ,
    Pouze protokol
    ,
    Vyčistit
    atd.) první a druhé akce pro detekci technologiemi ochrany, které jsou povoleny.
Aplikace
Symantec Endpoint Protection Manager
odesílá informace o počtu sdílených zásad všech typů, které jsou uloženy v databázi. Hodnota odpovídá součtu výchozích a vlastních zásad. Informace zahrnují:
  • Počet domén
  • Počet sdílených zásad následujících typů:
    • Zásady ochrany před viry a spywarem
    • Zásady brány firewall
    • Zásady prevence narušení
    • Zásady řízení aplikací a zařízení
    • Zásady aktualizace LiveUpdate
    • Zásady integrity hostitele
  • Počet vlastních signatur prevence narušení
Informace popisující konfiguraci aplikace SEP, jako například informace o operačním systému, konfigurace hardwaru a softwaru serveru, název procesoru, velikost paměti, verze softwaru a funkce nainstalovaných balíčků
Zahrnuje informace o serveru jako například:
  • Počet partnerů pro replikaci
  • Povolení či zakázání replikace dat protokolu
  • Povolení či zakázání replikace dat obsahu
Zahrnuje informace o typu operačního systému Linux a verzi jádra a také o počtu klientů s touto konfigurací.
Zahrnuje souhrnné informace o provozním stavu klientů aplikace
Symantec Endpoint Protection Manager
z databáze aplikace
Symantec Endpoint Protection
včetně následujících informací:
  • Celkový počet klientů
  • Počet klientů menší velikosti
  • Počet klientů standardní velikosti
  • Počet klientů s povoleným filtrem EWF
  • Počet klientů s povoleným filtrem FBWF
  • Počet klientů s povoleným filtrem UWF
  • Počet klientů hypervisoru Microsoft
  • Počet klientů hypervisoru VMware
  • Počet klientů hypervisoru Citrix
  • Počet klientů neznámého hypervisoru
Odesílá přibližný počet revizí aktualizace LiveUpdate, například
<30
.
Informace o potenciálních bezpečnostních rizicích, přenosných spustitelných souborech a souborech se spustitelným obsahem, které jsou identifikovány jako malware a které mohou obsahovat osobní údaje, včetně informací o akcích provedených těmito soubory v době instalace
  • Zjištění ochrany před viry (pouze systém Windows a Mac)
    Informace o zjištěných hrozbách v rámci prověřování proti výskytu virů a spywaru. Informace odesílané klientem zahrnují hodnotu hash souboru, hodnotu hash adresy IP klienta, signatury ochrany před viry, adresu URL, z níž byl útok veden, a podobně.
  • Zjištění pokročilé heuristiky ochrany před viry (pouze systém Windows)
    Informace o možných hrozbách, které odhalila technologie Bloodhound nebo jiné prověřování výskytu virů a spywaru za pomoci heuristické analýzy. Tato zjišťování probíhají na pozadí a nezobrazují se v protokolu rizik. Informace o těchto zjištěných hrozbách slouží ke statistické analýze.
  • Zjišťování funkcí SONAR (pouze systém Windows)
    Informace o hrozbách zjištěných v rámci prověřování funkcí SONAR, jako jsou například zjištění vysokého/nízkého rizika, změny v systému a podezřelé chování důvěryhodných aplikací.
Zahrnuje rovněž data o procesech jako například:
  • Zjišťování pomocí heuristické analýzy funkce SONAR probíhá na pozadí a nezobrazuje se v protokolu rizik. Tato informace slouží k vytvoření statistiky. Informace odesílané klientem obvykle zahrnují podrobnosti o zjištěné hrozbě, jako například:
    • Skryté procesy
    • Procesy s malými nároky
    • Zaznamenávání stisknutých kláves nebo obrazovky
    • Zakázání bezpečnostních produktů
    • Datum a čas zjištění
Informace související se síťovou aktivitou, včetně adres URL, ke kterým byl získán přístup, a souhrnných informací o síťových připojeních (například název hostitele, adresy IP a statistické informace o síťovém připojení)
Zahrnuje následující informace:
  • Události zjišťování v síti (pouze systém Windows a Mac)
    Informace o zjištěních modulu systému IPS (prevence narušení). Informace odesílané klientem zahrnují hodnotu hash adresy IP klienta, adresu URL, z níž byl veden útok, čas zjištění, adresu IP útočníka, signaturu IPS a podobně.
  • Události zjišťování v prohlížeči (pouze systém Windows)
    Všechny adresy URL, který byly zadány do adresního řádku prohlížeče, na které uživatel klikl nebo se kterými bylo navázáno připojení za účelem stahování
    Klienti rovněž odesílají metadata, která obsahují následující informace:
    • Veškerá síťová připojení, včetně adres IP, čísel portů, názvů hostitelů, aplikací iniciujících připojení, protokolů, doby připojení a počtu bajtů přenesených v rámci připojení
    • Veškerá aktivita přenosu souborů mezi zařízeními, včetně identifikačních údajů zařízení, doby přenosu, protokolu, atributů souboru (typ, název, cesta, velikost) a hodnoty SHA-256 obsahu.
Informace o stavu instalace a používání aplikace SEP, jejichž součástí mohou být osobní údaje, a to pouze v případě, že dané informace tvoří název souboru nebo složky v aplikaci SEP v době instalace nebo chyby, a které poskytují společnosti Symantec informace, zda instalace aplikace SEP proběhla úspěšně nebo zda došlo k chybě
Není k dispozici.
Anonymní obecné a statistické informace a informace o stavu
Není k dispozici.
Jak lze poznat, že klienti aplikace
Symantec Endpoint Protection
odesílají telemetrická data?
Události odesílání dat jsou uvedeny v protokolu aktivity klienta. Pokud protokol neobsahuje události odesílání dat z poslední doby, zkontrolujte následující:
  • Přesvědčte se, že je povoleno odesílání dat z klientů.
  • Pokud používáte proxy server, zkontrolujte výjimky serveru proxy. Viz část Mohu určit server proxy pro odesílání dat z klientů?
  • Zkontrolujte připojení k serverům společnosti Symantec. Další informace viz článek databáze znalostí: article.TECH163042.html.
  • Zkontrolujte, že je ve všech klientech nainstalován aktuální obsah aktualizace LiveUpdate.
    Aplikace Symantec Endpoint Protection využívá soubor SCD (Submission Control Data). Společnost Symantec publikuje soubor SCD a zahrnuje jej do balíčku aktualizace LiveUpdate. Každý z produktů společnosti Symantec má vlastní soubor SCD. Soubor SCD ovládá následující nastavení:
    • počet odeslání jedním klientem za den,
    • dobu čekání před pokusem klienta o nové odeslání,
    • počet opakování nezdařených odeslání,
    • adresu IP serveru střediska Symantec Security Response, na kterou jsou informace odesílány.
Pokud je soubor SCD zastaralý, klienti přestanou informace odesílat. Společnost Symantec považuje soubor SCD za zastaralý, jestliže klientské počítače nestáhly obsah aktualizace LiveUpdate po dobu 7 dnů. Klient přestane odesílat data po 14 dnech.
Pokud klient přeruší přenos odesílání, klientský software neshromažďuje informace pro pozdější odeslání. Když klient začne informace opět odesílat, jsou odeslány pouze informace o událostech, ke kterým došlo po obnovení odesílání.
Je možné odesílání telemetrických dat zrušit?
Ano, odesílání lze zrušit. Možnosti shromažďování dat serveru a odesílání dat z klientů je možné upravit v uživatelském rozhraní klienta a serveru. Společnost Symantec však v zájmu zvýšení zabezpečení sítě doporučuje, abyste povolili odesílání telemetrických dat v maximálním možném rozsahu.
Výkon, změna velikosti a nasazení
Jaké jsou nároky telemetrie na šířku pásma?
Aplikace Symantec Endpoint Protection reguluje data odesílaná klientským počítačem, aby minimalizovala dopad na síť. Aplikace Symantec Endpoint Protection reguluje odesílaná data následujícími způsoby:
  • Klientské počítače posílají vzorky, jen když je počítač nečinný. Předložení dat ve chvíli nečinnosti pomáhá vyrovnávat provoz v rámci sítě.
  • Klientské počítače posílají pouze vzorky pro jedinečné soubory. Pokud Symantec již soubor prohlédl, klientský počítač data neodešle.
Velikost odesílaných dat je velmi malá. Například velikost odesílaných dat ochrany před viry obvykle nepřesahuje 4 kB a odesílaná data systému IPS mají velikost okolo 32 kB.
Mohu určit proxy server pro odesílání dat z klientů?
Aplikaci
Symantec Endpoint Protection Manager
můžete nakonfigurovat tak, aby k odesílání dat a další externí komunikaci klientů pro systém Windows používala proxy server. Pokud klientské počítače používají proxy server s ověřováním, může být nutné v konfiguraci serveru proxy nastavit výjimky pro adresy URL společnosti Symantec. Výjimky umožní klientským počítačům komunikovat se službou Symantec Insight a jinými důležitými servery společnosti Symantec.
Další informace o proxy serveru viz:
Další informace o výjimkách pro adresy URL společnosti Symantec viz: