Envío de telemetría de
Symantec Endpoint Protection
para mejorar la seguridad

Introducción
La telemetría, también conocida como envíos o recopilación de datos, recopila información para mejorar el grado de seguridad de su red y para mejorar la experiencia con el producto. La telemetría recopila ampliamente los siguientes tipos de información:
  • Entorno del sistema, incluidos los detalles de hardware y de software
  • Errores del producto y eventos relacionados
  • Eficacia de la configuración de producto
Los datos recopilados se envían a Symantec.
Los datos que recopila de telemetría de Symantec pueden incluir elementos seudónimos que no son directamente identificables. Symantec no necesita ni pretende utilizar los datos de telemetría para identificar a ningún usuario individual.
Propósito
Symantec usa la información para analizar y para mejorar la experiencia con el producto para los clientes.
  • El Soporte de Symantec usa la telemetría.
  • Symantec usa la telemetría para obtener información más clara sobre el panorama de amenazas y como parte del programa de información de riesgos.
Habilitación de la recopilación de telemetría
Symantec recopila datos de telemetría del servidor de administración y del cliente de
Symantec Endpoint Protection
.
No obstante, puede ser necesario deshabilitar los envíos de telemetría en respuesta a los problemas de ancho de banda de red o a las restricciones en los datos que se extraen del cliente. Es posible consultar el registro de actividades del cliente para ver la actividad de los envíos y para supervisar su uso del ancho de banda.
  1. Para habilitar o deshabilitar la recopilación de telemetría del servidor de administración
  2. Habilite o deshabilite la opción
    Enviar datos seudónimos a Symantec para recibir inteligencia mejorada de protección contra amenazas
    para la recopilación de datos del servidor.
    • En la consola de administración, vaya a
      Administrador > Servidores > Sitio local > Propiedades del sitio > Recopilación de datos
      y cambie la opción.
    Durante la instalación de
    Symantec Endpoint Protection Manager
    , también es posible cambiar la opción de recopilación de datos del servidor.
  3. Para habilitar o deshabilitar los envíos de telemetría del cliente
  4. Habilite o deshabilite la opción
    Enviar datos seudónimos a Symantec para recibir inteligencia mejorada de protección contra amenazas
    para los envíos del cliente. Es posible cambiar la opción para el grupo en la consola de administración o para un solo cliente en la interfaz de usuario del cliente.
    • En la consola de administración, vaya a la ficha
      Clientes > Políticas
      . En el panel
      Configuración
      , seleccione
      Configuración de comunicaciones externas > Envíos
      .
    • En la interfaz de usuario de cliente, vaya a
      Cambiar configuración > Administración de clientes > Configurar ajustes > Envíos
      .
Cada cliente en la empresa pertenece a un grupo. Un grupo tiene su propia política. En algunos casos, se configura un grupo para que herede la política de su grupo principal. Puesto que los envíos del cliente son una configuración a nivel de grupo, asegúrese de que se aplique la configuración como sea necesario a todos los grupos.
Si deshabilita los envíos y bloquea la configuración, el usuario no puede configurar los clientes del grupo para que realicen los envíos. Si habilita la opción, seleccione los tipos de envío y bloquee la configuración, el usuario no puede deshabilitar los envíos. Si no bloquea la configuración, el usuario puede cambiar la configuración, incluidos los tipos de envío en
Más opciones
.
Symantec recomienda que se envíe información de amenazas para ayudar a Symantec a proporcionar la mejor protección contra amenazas.
Preguntas frecuentes
¿Qué tipos de información recopila
Symantec Endpoint Protection
?
En la siguiente tabla, se describe el tipo de información que
Symantec Endpoint Protection
recopila.
Más detalles sobre los tipos de información que
Symantec Endpoint Protection
recopila
Tipo
Más detalles
Configuración de software, detalles del producto y estado de instalación
Incluye información sobre las políticas de protección antivirus y antispyware:
  • Opciones de configuración de Bloodhound
    Indica si Bloodhound está habilitado o deshabilitado y si el nivel es automático o intenso. (
    Política de protección antivirus y antispyware > Opciones de análisis global
    )
  • Configuración de Diagnóstico Insight de descargas
    Indica si Diagnóstico Insight de descargas está habilitado o deshabilitado y cuál es la configuración de Diagnóstico Insight de descargas, incluido el umbral del nivel de sensibilidad y de prevalencia. (
    Política de protección antivirus y antispyware > Protección de descargas
    )
  • Configuración de Auto-Protect
    Qué anulaciones hay configuradas para el software malicioso o los riesgos para la seguridad. (
    Política de configuración de la protección antivirus y antispyware > Auto-Protect
    )
Incluye información sobre los 20 grupos principales que más clientes tienen. Para cada grupo, la primera ubicación, generalmente la ubicación predeterminada, se selecciona para enviar la información.
Generalmente, la información incluye:
  • Modo del cliente: si el cliente usa el control de servidores, el control de clientes, el modo mixto o no se encuentran datos
  • Modo de transferencia/obtención: si el cliente obtiene o solicita las políticas del servidor
  • Aprendizaje de aplicaciones activado o desactivado
  • Intervalo de latidos en minutos
  • Carga de eventos críticos activada o desactivada
  • Descarga aleatoria activada o desactivada; intervalo de cálculo aleatorio en minutos
  • Indica si el cliente usa la configuración del grupo usada por última vez o el modo del grupo usado por última vez
  • Indica si el cliente realiza los envíos de las detecciones y qué tipo, tal como detecciones de antivirus, reputación de archivo o SONAR
  • Indica si Integridad del host está habilitada en el cliente
  • La cantidad de dominios
  • La cantidad total de grupos en todos los dominios, que se muestra en aproximaciones como, por ejemplo,
    <1500
    . Más de 3000 se muestra como
    >/= 3000
    .
  • La profundidad máxima del grupo entre todos los dominios
  • La cuenta de la cantidad total de clientes
  • La cantidad de clientes en el modo de equipo
  • La cantidad de clientes en el modo de usuario
  • La cantidad de clientes en los grupos de la unidad organizativa (OU)
Estado de la licencia, información de los derechos de la licencia, Id. de licencia y uso de la licencia
N/A (no aplicable)
Nombre y tipo de dispositivo, versión de sistema operativo, idioma, ubicación, tipo y versión de navegador, dirección IP e Id.
N/A (no aplicable)
Inventario de hardware, software y aplicaciones del dispositivo
La base de datos de servidor envía la información recopilada sobre el hardware del cliente. La información incluye espacio libre en disco, CPU y RAM en el disco de instalación de
Symantec Endpoint Protection
.
Configuración de acceso a la aplicación y la base de datos, requisitos de políticas y estado de cumplimiento de las políticas y registros de excepciones y errores de flujo de trabajo de la aplicación
Incluye la cantidad de reglas para las entradas del registro administrativo del sistema. Además envía la cantidad de entradas de registro así como la cantidad de días hasta que las entradas de registro caduquen para los siguientes registros de la base de datos:
  • Registro administrativo del sistema
  • Registro de actividades del cliente y el servidor
  • Registro de auditoría
  • Registro de actividades del servidor del sistema
Incluye los eventos de error de replicación del servidor, tales como errores de replicación o versiones de la base de datos que no coinciden.
Información asociada a amenazas posibles, incluida: información del evento de seguridad de cliente; la dirección IP; el Id. de usuario; la ruta; información del dispositivo, tal como nombre y estado de dispositivo; archivos descargados; acciones del archivo
N/A (no aplicable)
Información de reputación de archivos y aplicaciones, incluidas las descargas y las acciones de archivos e información sobre las aplicaciones en ejecución, y envíos de software malicioso
Los datos de la reputación de archivos son la información sobre los archivos que se detectan en función de su reputación.
  • Estos envíos contribuyen a la base de datos de reputación de Symantec Insight y ayuda a proteger a sus equipos contra riesgos nuevos y emergentes.
    La información incluye el hash del archivo, el hash de la dirección IP del cliente, la dirección IP de donde el archivo fue descargado, el tamaño del archivo y la calificación de la reputación del archivo.
Registros de excepciones y errores de flujo de trabajo de la aplicación
N/A (no aplicable)
La información personal proporcionada durante la configuración del servicio o de cualquier otra llamada de servicio subsiguiente
N/A (no aplicable)
Información de concesión de licencias, como el nombre, la versión, el idioma y los datos de los derechos de concesión de licencias
N/A (no aplicable)
Uso de las tecnologías de protección incluidas en SEP
Incluye información sobre los 20 grupos principales que más clientes tienen. Para cada grupo, la primera ubicación, generalmente la ubicación predeterminada, se selecciona para enviar la información.
La información incluye:
  • La cantidad de clientes que tienen una tecnología de protección determinada habilitada o deshabilitada.
  • El número y tipo (como
    Cuarentena
    ,
    Solo registro
    ,
    Limpiar
    , etc.) de la primera y segunda acción para las detecciones por las tecnologías de protección que están habilitadas.
Symantec Endpoint Protection Manager
envía la cantidad de políticas compartidas de cada tipo en su base de datos, que es igual a la cantidad de políticas predeterminadas más la cantidad de políticas personalizadas. La información incluye:
  • La cantidad de dominios
  • La cantidad de cada una de las siguientes políticas compartidas:
    • Políticas de protección antivirus y antispyware
    • Políticas de firewall
    • Políticas de prevención de intrusiones
    • Políticas de control de aplicaciones y dispositivos
    • Políticas de LiveUpdate
    • Políticas de integridad del host
  • La cantidad de firmas de prevención personalizada contra intrusiones
Información que describe la configuración de SEP, como: información del sistema operativo, información específica de configuración de hardware y software del servidor, nombre de CPU, tamaño de la memoria, versión del software y funciones para paquetes instalados
Incluye información del servidor, por ejemplo:
  • Cantidad de partners de replicación
  • Si se replican los datos de registro
  • Si se replican datos de contenido
Incluye las versiones de kernel y el tipo de sistema operativo de Linux, más una cuenta de la cantidad de clientes con esta configuración.
Incluye la información recopilada en la base de datos de
Symantec Endpoint Protection Manager
sobre el estado operativo del cliente de
Symantec Endpoint Protection
, incluidas las cuentas de lo siguiente:
  • Clientes totales
  • Clientes de tamaño reducido
  • Clientes de tamaño estándar
  • Clientes habilitados para EWF
  • Clientes habilitados para FBWF
  • Clientes habilitados para UWF
  • Clientes del hipervisor Microsoft
  • Clientes del hipervisor de VMware
  • Clientes del hipervisor de Citrix
  • Clientes de un hipervisor desconocido
Envía la cantidad aproximada de revisiones de LiveUpdate como, por ejemplo,
<30
.
Información sobre los riesgos para la seguridad potenciales, los archivos ejecutables portátiles y los archivos con contenido ejecutable que se identifican como software malicioso que puede contener información personal, incluida información sobre medidas tomadas por tales archivos en el momento de la instalación
  • Detecciones antivirus (Windows y Mac solamente)
    Información sobre detecciones de análisis de virus y spyware. El tipo de información que los clientes envían incluye el hash del archivo, el hash de la dirección IP del cliente, las firmas antivirus, la dirección URL del atacante, etc.
  • Detecciones heurísticas avanzadas antivirus (Windows solamente)
    Información sobre las amenazas potenciales detectadas por Bloodhound y otra heurística de análisis antivirus y antispyware. Estas detecciones son silenciosas y no aparecen en el registro de riesgos. La información sobre estas detecciones se usa para el análisis estadístico.
  • Detecciones de SONAR (Windows solamente)
    Información sobre las amenazas que SONAR detecta, que incluyen las detecciones de riesgo alto o bajo, eventos de cambios del sistema y comportamiento sospechoso de aplicaciones de confianza.
Además incluye datos del proceso, por ejemplo:
  • Las detecciones heurísticas de SONAR (Windows solamente) son silenciosas y no aparecen en el registro de riesgos. Esta información se usa para el análisis estadístico. El tipo de información que los clientes presentan generalmente incluye atributos de la detección, tales como los siguientes:
    • Procesos ocultos
    • Pequeños procesos de espacio utilizado
    • Comportamiento de la captura de pantalla o el registro de pulsaciones del teclado
    • Deshabilitación del comportamiento del producto de seguridad
    • Fecha y marcas de fecha de detección
Información relacionada a la actividad de red, incluidas direcciones URL a las que se accedió, información recopilada sobre las conexiones de red (por ejemplo, nombre de host, direcciones IP e información estadística sobre una conexión de red)
Incluye lo siguiente:
  • Eventos de detección de red (Windows y Mac solamente)
    Información sobre las detecciones realizadas por el motor IPS (prevención de intrusiones). La información que los clientes envían incluye el hash de la dirección IP del cliente, la dirección URL del atacante, la marca de fecha de la detección, la dirección IP del atacante, la firma IPS, etc.
  • Eventos de detección del navegador (Windows solamente)
    Todas las direcciones URL escritas en la barra de direcciones del navegador, en las que se hizo clic o con las que se estableció conexión para descargas.
    Los clientes además envían metadatos sobre lo siguiente:
    • Cada conexión de red, incluidas las direcciones IP, los números de puerto, los nombres del host, las aplicaciones que inician las conexiones, los protocolos, la hora de conexión, la cantidad de bytes por conexión.
    • Todas las actividades de transferencia de archivos entre los dispositivos, incluida la identificación del dispositivo, la hora de la transferencia, el protocolo, los atributos de archivo (tipo, nombre, ruta, tamaño) y SHA-256 del contenido.
Información de estado con respecto a la instalación y a la operación de SEP, que puede contener información personal solamente si tal información se incluye en el nombre o la carpeta de archivos encontrada en SEP en el momento de la instalación o del error, e indica a Symantec si la instalación de SEP se completó correctamente, así como si SEP ha encontrado un error
N/A (no aplicable)
Información seudónima general, estadística y de estado
N/A (no aplicable)
¿Cómo sé que mis clientes de
Symantec Endpoint Protection
están realizando los envíos de la telemetría?
Compruebe el registro de actividades del cliente para ver los eventos de envíos. Si el registro no contiene eventos actuales de envío, compruebe lo siguiente:
  • Asegúrese de que los envíos del cliente estén habilitados.
  • Si usa un servidor proxy, compruebe las excepciones del proxy. Consulte ¿Puedo especificar un servidor proxy para los envíos del cliente?.
  • Compruebe la conectividad a los servidores de Symantec. Consulte el artículo de la base de conocimientos article.TECH163042.html.
  • Asegúrese de que los clientes tengan contenido actual de LiveUpdate.
    Symantec Endpoint Protection usa un archivo de datos de control de envíos (SCD). Symantec publica el archivo de SCD y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio archivo de SCD. El archivo controla la siguiente configuración:
    • Cuántos envíos un cliente puede realizar en un día
    • Cuánto tiempo se debe esperar para que el software de cliente vuelva a intentar envíos
    • Cuántas veces se debe volver a intentar un envío con errores
    • Qué dirección IP del servidor de Symantec Security Response recibe los envíos
Si el archivo de SCD queda desactualizado, los clientes detienen los envíos. Symantec considera el archivo de SCD desactualizado cuando los equipos cliente no han extraído el contenido de LiveUpdate en 7 días. El cliente deja de realizar envíos después de 14 días.
Si los clientes detienen la transmisión de envíos, el software de cliente no recopila la información de envíos y la envía más tarde. Cuando los clientes se inician para realizar envíos de nuevo, envían solamente la información sobre los eventos que ocurren después del reinicio de la transmisión.
¿Puedo optar por no realizar envíos de telemetría?
Sí, puede optar por no hacerlo. Es posible modificar las opciones de envíos del cliente y de la recopilación de datos del servidor en las interfaces de usuario del cliente y del servidor. Sin embargo, Symantec recomienda que se habilite tanta telemetría como sea posible para mejorar la seguridad de su red.
Rendimiento, tamaño e implementación
¿Cuánto ancho de banda la telemetría consume?
Symantec Endpoint Protection regula los envíos del equipo cliente para reducir al mínimo cualquier efecto en su red. Symantec Endpoint Protection regula los envíos de las siguientes maneras:
  • Los equipos cliente envían solamente las muestras cuando el equipo está inactivo. El envío inactivo ayuda a ordenar aleatoriamente el tráfico de envíos a través de la red.
  • Los equipos cliente envían muestras para los archivos únicos solamente. Si Symantec ya ha visto el archivo, el equipo cliente no envía la información.
El tamaño de los datos de estos envíos es muy insignificante. Por ejemplo, los envíos del antivirus generalmente no exceden los 4 KB y del mismo modo los envíos de IPS tienen cerca de 32 KB de tamaño.
¿Puedo especificar un servidor proxy para los envíos del cliente?
Es posible configurar
Symantec Endpoint Protection Manager
para usar un servidor proxy para los envíos y otras comunicaciones externas que sus clientes Windows usan. Si sus equipos cliente usan un proxy con la autenticación, puede ser recomendable especificar excepciones para las direcciones URL de Symantec en su configuración del servidor proxy. Las excepciones permiten que los equipos cliente se comuniquen con Symantec Insight y otros sitios importantes de Symantec.
Para obtener más información sobre el servidor proxy, consulte:
Para obtener más información sobre las excepciones para las direcciones URL de Symantec, consulte: