Übertragen der
Symantec Endpoint Protection
-Telemetrie zur Verbesserung der Sicherheit

Einführung
Telemetrie, auch Übertragungen oder Datenerfassung genannt, sammelt Informationen, um den Sicherheitsstatus Ihres Netzwerks zu verbessern und die Produkterfahrung zu verbessern. Telemetrie sammelt weit gefasst die folgenden Typen von Informationen:
  • Systemumgebung, einschließlich Hardware- und Software-Details
  • Produktfehler und verwandte Ereignisse
  • Wirksamkeit der Produktkonfiguration
Die erfassten Daten werden an Symantec gesendet.
Die von Symantec erfassten Telemetriedaten enthalten möglicherweise pseudonyme Elemente, die nicht direkt identifizierbar sind. Symantec benötigt zum Identifizieren einzelner Benutzer keine Telemetriedaten.
Zweck
Symantec verwendet die Informationen, um die Produkterfahrung für Kunden zu analysieren und zu verbessern.
  • Der Symantec-Support verwendet Telemetrie.
  • Symantec verwendet Telemetrie zur Analyse erkannter Bedrohungen im Rahmen des Risiko-Insight-Programms.
Aktivieren der Telemetrie-Erfassung
Symantec erfasst Telemetriedaten aus dem Management-Server und dem
Symantec Endpoint Protection
-Client.
Sie müssen möglicherweise als Reaktion auf Netzwerkbandbreitenprobleme oder Einschränkungen für Daten, die den Client verlassen, Telemetrieübertragungen deaktivieren. Im Clientaktivitätsprotokoll können Sie die Übertragungsaktivitäten prüfen und Ihre Bandbreitennutzung überwachen.
  1. So aktivieren oder deaktivieren Sie die Telemetrie-Erfassung des Management-Servers
  2. Aktivieren bzw. deaktivieren Sie die Option
    Pseudonyme Daten zur Verbesserung des Bedrohungsschutzes an Symantec senden
    für die Serverdatenerfassung.
    • Wählen Sie in der Management-Konsole
      Admin > Server > Lokaler Standort > Standorteigenschaften > Datenerfassung
      und ändern Sie die Option.
    Sie können die Option "Serverdatenerfassung" auch beim Installieren von
    Symantec Endpoint Protection Manager
    ändern.
  3. So aktivieren oder deaktivieren Sie Clienttelemetrie-Übertragungen
  4. Aktivieren bzw. deaktivieren Sie die Option
    Pseudonyme Daten zur Verbesserung des Bedrohungsschutzes an Symantec senden
    für die Clientdatenübertragung. Sie können diese Option auf Gruppenebene in der Management-Konsole bzw. für nur einen Client im Client selbst ändern.
    • Klicken Sie in der Management-Konsole auf die Registerkarte
      Clients > Richtlinien
      . Wählen Sie im Teilfenster
      Einstellungen
      Externe Kommunikationseinstellungen > Übertragungen
      .
    • Wählen Sie im Client
      Einstellungen ändern > Clientverwaltung > Einstellungen konfigurieren > Übertragungen
      .
Jeder Client im Unternehmen gehört zu einer Gruppe. Eine Gruppe hat ihre eigene Richtlinie. In einigen Fällen wird eine Gruppe konfiguriert, um die Richtlinie von seiner übergeordnete Gruppe zu erben. Da die Clientübertragungen eine gruppenweite Einstellung sind, stellen Sie sicher, dass Sie die Einstellung bei Bedarf bei allen Gruppen übernehmen.
Wenn Sie Übertragungen deaktivieren und die Einstellung sperren, kann der Benutzer keine Clients in der Gruppe konfigurieren, um Übertragungen zu senden. Wenn Sie die Option aktivieren, wählen Sie Übertragungstypen und sperren die Einstellung, der Benutzer kann die Übertragungen nicht deaktivieren. Wenn Sie die Einstellung nicht sperren, kann der Benutzer die Konfiguration einschließlich der Übertragungstypen unter
Weitere Optionen
ändern.
Symantec empfiehlt das Senden von Bedrohungsinformationen, um Symantec dabei zu helfen, den besten Bedrohungsschutz bereitstellen zu können.
Häufig gestellte Fragen
Welche Datentypen erfasst
Symantec Endpoint Protection
?
Die folgende Tabelle beschreibt, welche Daten von
Symantec Endpoint Protection
erfasst werden.
Weitere Details über die Art der Informationen, die
Symantec Endpoint Protection
sammelt
Typ
Weitere Details
Software-Konfiguration, Produktdetails und Installationsstatus
Schließt Informationen über Viren- und Spyware-Schutz-Richtlinien ein:
  • Bloodhound-Einstellungen
    Ob Bloodhound aktiviert oder deaktiviert und ob die Stufe automatisch oder aggressiv ist. (
    Richtlinie für Viren- und Spyware-Schutz > Globale Scanoptionen
    )
  • Download-Insight-Einstellungen
    Ob Download-Insight aktiviert oder deaktiviert ist und was die Download-Insight-Einstellungen sind, einschließlich Empfindlichkeitsstufe und Verbreitungsschwellenwert. (
    Richtlinie für Viren- und Spyware-Schutz > Downloadschutz
    )
  • Auto-Protect-Einstellungen
    Welche Übergehungen für Malware oder Sicherheitsrisiken konfiguriert werden. (
    Richtlinie für Viren- und Spyware-Schutz: Auto-Protect
    )
Umfasst Informationen über die Top-20-Gruppen mit der größten Anzahl von Clients. Für jede Gruppe wird der erste Speicherort ausgewählt, gewöhnlich der Standardort, um die Informationen zu senden.
Gewöhnlich umfassen die Informationen:
  • Clientmodus: Ob der Client die Serversteuerung, die Clientsteuerung bzw. den gemischten Modus verwendet, oder keine Daten gefunden werden.
  • Push-/Pullmodus: Ob der Client Richtlinien vom Server erhält oder anfordert.
  • Ob die Funktion "Anwendung lernen" aktiviert ist.
  • Heartbeat-Intervall in Minuten
  • Ob das Hochladen von kritischen Ereignissen aktiviert ist
  • Ob die zufällige Ausführung von Downloads aktiviert ist; Fenster für zufällige Ausführung in Minuten
  • Ob der Client die zuletzt genutzten Gruppeneinstellungen oder den zuletzt genutzten Gruppenmodus verwendet
  • Ob der Client Erkennungsübertragungen sendet und welchen Typ (z. B. AntiVirus, Dateireputation oder SONAR)
  • Ob Hostintegrität auf dem Client aktiviert wird
  • Die Anzahl von Domänen.
  • Die Gesamtanzahl von Gruppen in allen Domänen, die in Näherungswerten, wie zum Beispiel
    < 1500
    , angezeigt wird. Ein Wert über 3.000 wird als
    >/= 3000
    gesendet.
  • Die maximale Gruppentiefe bei allen Domänen
  • Die Gesamtanzahl der Clients
  • Die Anzahl von Clients im Computermodus
  • Die Anzahl von Clients im Benutzermodus
  • Die Anzahl von Clients in Organisationseinheiten(OU)-Gruppen
Lizenzstatus, Lizenzberechtigungsinformationen, Lizenz-ID und Lizenznutzung
Nicht zutreffend
Gerätename, Typ, Betriebssystemversion, Sprache, Speicherort, Browsertyp und -version, IP-Adresse und ID
Nicht zutreffend
Gerätehardware, Software und Anwendungsinventar
Die Serverdatenbank sendet die gebündelten Informationen über die Clienthardware. Die Informationen umfassen CPU, RAM und freien Speicherplatz auf dem
Symantec Endpoint Protection
-Installationsdatenträger.
Anwendungs- und Datenbankzugriffkonfigurationen, Richtlinienanforderungen, Status der Einhaltung von Sicherheitsrichtlinien und Anwendungsausnahmen- und Arbeitsablauf-Fehlerprotokolle
Umfasst die Anzahl von Regeln für Einträge im System-Verwaltungs-Protokoll. Sendet auch die Anzahl von Protokolleinträgen sowie die Anzahl der Tage, bis die Protokolleinträge für die folgenden Datenbankprotokolle ablaufen:
  • System-Verwaltungs-Protokoll
  • Clientserver-System-Aktivitätsprotokoll
  • Überwachungsprotokoll
  • System-Server-Aktivitätsprotokoll
Enthält Server-Replikations-Fehlerereignisse, wie zum Beispiel Replikationsfehler oder nicht übereinstimmende Datenbankversionen.
Mit möglichen Bedrohungen verknüpfte Informationen, einschließlich: Clientsicherheitsereignisinformationen, IP-Adresse, Benutzer-ID, Pfad, Geräteinformationen wie Gerätename und -status, heruntergeladene Dateien, Dateiaktionen
Nicht zutreffend
Datei- und Anwendungs-Reputations-Informationen einschließlich Dateidownloads, Aktionen und Ausführung von Anwendungsinformationen und Malware-Übertragungen
Dateireputationsdaten sind Informationen zu Dateien, die aufgrund ihrer Reputation erkannt werden.
  • Diese Übertragungen tragen zur Symantec Insight-Reputationsdatenbank bei und helfen, Ihren Computer vor neuen und entstehenden Risiken zu schützen.
    Die Informationen umfassen Datei-Hash, Client-IP-Hash, IP-Adresse, von der die Datei heruntergeladen wurde, Dateigröße und Reputationswertung der Datei.
Anwendungsausnahmen- und Arbeitsablauffehlerprotokolle
Nicht zutreffend
Bei der Konfiguration des Dienstes oder späteren Dienstaufrufen angegebene persönliche Informationen
Nicht zutreffend
Lizenzinformationen wie Name, Version, Sprache und Lizenzierungsberechtigung
Nicht zutreffend
Nutzung der in SEP enthaltenen Schutzfunktionen
Umfasst Informationen über die Top-20-Gruppen mit der größten Anzahl von Clients. Für jede Gruppe wird der erste Speicherort ausgewählt, gewöhnlich der Standardort, um die Informationen zu senden.
Die Informationen umfassen:
  • Die Anzahl von Clients, die eine bestimmte Schutztechnologie aktiviert oder deaktiviert haben.
  • Die Anzahl und den Typ, z. B.
    Isolieren
    ,
    Nur protokollieren
    ,
    Bereinigen
    usw., der ersten und zweiten Aktion für Erkennungen durch die aktivierten Schutztechnologien.
Symantec Endpoint Protection Manager
sendet die Anzahl gemeinsam genutzter Richtlinien eines jeden Typs an seine Datenbank, die gleich der Anzahl der Standard-Richtlinien zuzüglich der Anzahl der benutzerdefinierten Richtlinien ist. Die Informationen umfassen:
  • Die Anzahl von Domänen
  • Die Anzahl jeder der folgenden gemeinsam genutzten Richtlinien:
    • Richtlinien für Viren- und Spyware-Schutz
    • Firewall-Richtlinien
    • Angriffsschutzrichtlinien
    • Richtlinien für Anwendungs- und Gerätesteuerung
    • LiveUpdate-Richtlinien
    • Hostintegritäts-Richtlinien
  • Die Anzahl benutzerdefinierter Angriffsschutzsignaturen
Beschreibung der Konfiguration von SEP: Betriebssystem, Konfiguration von Server-Hardware und -Software, CPU-Name, Arbeitsspeicher, Softwareversion und Funktionen der installierten Pakete
Enthält Serverinformationen wie:
  • Anzahl der Replikationspartner
  • Ob Protokolldaten repliziert werden
  • Ob Inhaltsdaten repliziert werden
Umfasst den Linux-Betriebssystemtyp und die Kernelversionen, plus einer Zählung der Anzahl von Clients mit dieser Konfiguration.
Umfasst die angehäuften Informationen in der
Symantec Endpoint Protection Manager
-Datenbank über den Betriebszustand des
Symantec Endpoint Protection
-Clients, einschließlich der Zählung folgender:
  • Gesamtzahl Clients
  • Clients mit reduzierter Größe
  • Clients mit Standard-Größe
  • EWF-aktivierte Clients
  • FBWF-aktivierte Clients
  • UWF-aktivierte Clients
  • Microsoft-Hypervisor-Clients
  • VMware-Hypervisor-Clients
  • Citrix-Hypervisor-Clients
  • Unbekannte Hypervisor-Clients
Sendet die ungefähre Anzahl von LiveUpdate-Versionen, beispielsweise
< 30
.
Informationen zu potentiellen Sicherheitsrisiken, ausführbare Dateien und Dateien mit ausführbarem Inhalt, die als Malware identifiziert werden und persönliche Informationen enthalten können, einschließlich Informationen über die von diesen Dateien zum Zeitpunkt der Installation ausgeführten Aktionen
  • AntiVirus-Erkennungen (nur Windows und Mac)
    Informationen über bei Viren- und Spyware-Scans erkannte Bedrohungen. Die Arten von Informationen, die Clients senden, umfassen Datei-Hash, Client-IP-Hash, Antivirus-Signaturen, Angreifer-URL etc.
  • Virenschutz - Erweiterte heuristische Erkennung (nur Windows)
    Informationen über die möglichen Bedrohungen, die von Bloodhound und anderen Viren- und Spyware-Heuristik-Scannern erkannt werden. Diese Erkennungen sind still und werden nicht im Risikoprotokoll angezeigt. Informationen über diese Erkennungen werden zur statistischen Analyse verwendet.
  • SONAR-Erkennungen (nur Windows)
    Informationen über von SONAR erkannten Bedrohungen. Dazu gehören Erkennungen mit niedrigem und hohem Risiko, Systemänderungsereignisse und verdächtiges Verhalten vertrauenswürdiger Anwendungen.
Umfasst auch Prozessdaten, wie zum Beispiel:
  • SONAR-heuristische Erkennungen (nur Windows) sind still und werden nicht im Risikoprotokoll angezeigt. Diese Informationen werden zur statistische Analyse verwendet. Die Art von Informationen, die Clients gewöhnlich senden, umfasst Attribute der Erkennung, wie zum Beispiel die Folgenden:
    • Versteckte Prozesse
    • Prozesse mit geringem Speicherplatzbedarf
    • Keylogging oder Screenshot-Verhalten
    • Deaktivieren des Sicherheitsprodukt-Verhaltens
    • Datum und Zeitstempel der Erkennung
Informationen zu Netzwerkaktivitäten wie aufgerufene URLs und gebündelte Informationen über Netzwerkverbindungen (z. B. Hostname, IP-Adressen und statistische Informationen über eine Netzwerkverbindung)
Enthält Folgendes:
  • Netzwerk-Erkennungsereignisse (nur Windows und Mac)
    Informationen über Erkennungen durch die IPS-Engine (Angriffsschutz). Die Informationen, die Clients senden, umfassen Client-IP-Hash, Angreifer-URL, Erkennungszeitstempel, Angreifer-IP-Adresse, IPS-Signatur etc.
  • Browser-Erkennungsereignisse (nur Windows)
    Alle URLs, die in die Browseradressleiste eingegeben oder angeklickt werden oder mit denen eine Verbindung zum Herunterladen aufgebaut wird.
    Clients senden auch Metadaten über Folgendes:
    • Jede Netzwerkverbindung, einschließlich IP-Adressen, Port-Nummern, Hostnamen, Anwendungen, die Verbindungen initiieren, Protokolle, Verbindungszeit, Anzahl der Bytes pro Verbindung.
    • Alle Dateiübertragungsaktivitäten zwischen Geräten, einschließlich Geräteerkennung, Zeit der Übertragung, Protokoll, Dateiattribute (Typ, Name, Pfad, Größe) und SHA-256 des Inhalts.
Statusinformationen bezüglich der Installation und des Einsatzes von SEP, die persönliche Informationen nur enthalten dürfen, wenn sie im Namen der Datei bzw. des Ordners enthalten sind, die/der bei der Installation oder einem Fehler von SEP erkannt wurde und Symantec meldet, ob die Installation von SEP erfolgreich war sowie ob ein Fehler in SEP aufgetreten ist.
Nicht zutreffend
Pseudonyme allgemeine, statistische und Statusinformationen
Nicht zutreffend
Wie weiß ich, dass meine
Symantec Endpoint Protection
-Clients Telemetrie-Übertragungen senden?
Prüfen Sie das Client-Aktivitätsprotokoll, um Übertragungsereignisse anzuzeigen. Wenn das Protokoll keine aktuellen Übertragungsereignisse enthält, prüfen Sie Folgendes:
  • Stellen Sie sicher, dass Clientübertragungen aktiviert sind.
  • Wenn Sie einen Proxy-Server verwenden, prüfen Sie die Proxy-Ausnahmen. Weitere Informationen finden Sie unter Kann ich einen Proxy-Server für Clientübertragungen angeben?.
  • Prüfen Sie die Konnektivität zu den Symantec-Servern. Weitere Informationen finden Sie im Artikel der Supportdatenbank: article.TECH163042.html.
  • Prüfen Sie, um sicherzustellen, dass die Clients aktuellen LiveUpdate-Inhalt haben.
    Symantec Endpoint Protection verwendet eine Übertragungskontrolldaten(SCD)-Datei. Symantec veröffentlicht die SCD-Datei und schließt sie in ein LiveUpdate-Paket ein. Jedes Symantec-Produkt hat eine eigene SCD-Datei. Die SCD-Datei steuert folgende Einstellungen:
    • Wie viele Meldungen ein Client an einem Tag senden kann
    • Wie lang die Clientsoftware bis zu einem erneuten Übertragungsversuch wartet
    • Die Anzahl erneuter Übertragungsversuche
    • Welche IP-Adresse des Symantec-Security-Response-Servers die Meldung erhält
Wenn die SCD-Datei veraltet ist, beenden die Clients das Übertragen von Meldungen. Symantec betrachtet die SCD-Datei als veraltet, wenn die Clientcomputer 7 Tage lang keine LiveUpdate-Inhalte abgerufen haben. Der Client sendet nach 14 Tagen keine Meldungen mehr.
Wenn Clients die Übertragung der Meldungen beenden, sammelt die Clientsoftware keine Meldungsinformationen für eine eventuelle spätere Übertragung. Wenn die Clients wieder beginnen, Meldungen zu senden, dann nur mit Informationen über die Ereignisse, die nach dem erneuten Übertragungsbeginn aufgetreten sind.
Kann ich mich gegen Telemetrie-Übertragungen entscheiden?
Ja, Sie können sich dagegen entscheiden. Sie können die Serverdatenerfassungs- bzw. Clientübertragungsoptionen in der Server- bzw. Clientbenutzeroberfläche ändern. Jedoch empfiehlt Symantec, dass Sie so viel Telemetrie wie möglich aktivieren, um die Sicherheit Ihres Netzwerks zu verbessern.
Leistung, Größe und Bereitstellung
Wie viel Bandbreite verbraucht Telemetrie?
Symantec Endpoint Protection drosselt Clientcomputer-Übertragungen, um Beeinträchtigungen Ihres Netzwerks zu minimieren. Symantec Endpoint Protection drosselt Übertragungen auf die folgenden Arten:
  • Clientcomputer senden Proben nur, wenn der Computer nicht aktiv ist. Mit Übertragungen im Leerlauf können die Übertragungen über das Netzwerk zufällig gewählt werden.
  • Clientcomputer senden nur Proben für eindeutige Dateien. Wenn Symantec die Datei bereits bekannt ist, sendet der Clientcomputer die Informationen nicht.
Die Datengröße dieser Übertragungen ist sehr geringfügig. Zum Beispiel überschreiten Antivirus-Übertragungen üblicherweise nicht 4 KB und ähnlich sind IPS-Übertragungen, die ungefähr 32 KB an Größe haben.
Kann ich einen Proxy-Server für Clientübertragungen angeben?
Sie können
Symantec Endpoint Protection Manager
konfigurieren, um einen Proxy-Server für Übertragungen und andere Mitteilungen nach außen zu verwenden, die Ihre Windows-Clients verwenden. Wenn Ihre Clientcomputer ein Proxy mit Authentifizierung verwenden, müssen Sie Ausnahmen für Symantec-URLs in Ihrer Proxy-Server-Konfiguration angeben. Die Ausnahmen ermöglichen es den Clientcomputern, mit Symantec Insight und anderen wichtigen Symantec-Sites zu kommunizieren.
Weitere Informationen zum Proxy finden Sie unter
Um mehr über die Ausnahmen für Symantec-URLs zu lernen, siehe: