Direcciones URL que permiten que SEP y SES se conecten a los servidores de Symantec

(SEP) y
(SES) se comunican con direcciones URL específicas que Symantec posee para realizar varias funciones, como la validación de licencias, el envío de muestras de archivos sospechosos y el uso de las funciones de seguridad de la reputación de los archivos.
Se deben permitir las siguientes direcciones URL si se utilizan uno o más proxies en el entorno para redirigir el tráfico necesario a los servidores de Symantec.Se agregan las direcciones URL enumeradas al proxy o firewall perimetral.Utilice los puertos remotos 80 y 443.La dirección es saliente.
Si se está utilizando un proxy y un firewall en la red, se deberá permitir el tráfico para estas URL en ambos sistemas.
Nota:
Si el proxy está configurado para realizar la inspección de SSL, se debe omitir la inspección de SSL para estas direcciones URL; de lo contrario, algunos servicios, como Insight, no funcionan debido a certificados anclados.
AGENTE DE SYMANTEC/CLIENTE DE SYMANTEC ENDPOINT PROTECTION
En la tabla siguiente se enumeran las direcciones URL necesarias para el cliente de Symantec Endpoint Protection (también denominado Agente de Symantec), independientemente de si se administra el cliente desde Symantec Endpoint Protection Manager o desde la consola en la nube de ICDm.
Direcciones URL para el cliente de Symantec Endpoint Protection/Agente de Symantec
Propósito
URL
Port (Puerto)
Paquete de instalación de agentes
Paquete de instalación para el agente de la nube y definiciones.
https://liveupdate.symantec.com
https://liveupdate.symantecliveupdate.com
443
Servidores de reputación de Symantec
Lo utiliza el cliente para recuperar la reputación de un archivo de los servidores de Symantec.
https://ent-shasta-rrs.symantec.com
443
Información sobre la telemetría de puntos finales de Symantec (SETI)
Envía datos a Symantec sobre los eventos relacionados con la instalación, lo cual incluye información sobre el uso del producto por parte de la base de clientes.
https://tses.broadcom.com
https://telemetry.broadcom.com
443
Envíos de telemetría de muestra
Se utiliza para que el cliente cargue datos de telemetría, si se opta.
Estas direcciones URL aceptan muestras de cualquier detección que realicen los clientes.Si un cliente detecta una amenaza, el cliente consulta a Symantec para ver si se necesita una muestra. En este momento, no se ha creado ninguna definición formal para este elemento. Si no se necesita una muestra porque ya se ha creado una definición formal, el cliente no enviará la muestra. Este sistema de respuesta a las consultas reduce eficazmente el tráfico de red que crea SEP y hace que SEP responda mejor a las amenazas nuevas y emergentes.
https://ent-shasta-mr-clean.symantec.com
https://central.ss.crsi.symantec.com
https://central.nrsi.symantec.com
https://central.avsi.symantec.com
https://central.b6.crsi.symantec.com
https://central.crsi.symantec.com
443
Envíos de ping
Se utiliza para que Symantec pueda evaluar la eficacia de un conjunto de definiciones que todavía no están realizando ninguna acción, como las detecciones beta. Esta eficacia se basa en el número de "pings" que crea cada detección o definición.Por ejemplo, si una detección crea varias respuestas de ping a Symantec, esta detección puede ser una detección falso positivo y se investiga su eficacia. Este sistema y las direcciones URL relacionadas forman parte del sistema de omisión de falsos positivos de Symantec.
Los envíos de ping se basan en el tipo de definición (como, por ejemplo, antivirus).
https://stnd-avpg.crsi.symantec.com
https://avs-avpg.crsi.symantec.com
https://stnd-ipsg.crsi.symantec.com
https://bash-avpg.crsi.symantec.com
443
Servidor de reputación de pulse web
Las solicitudes a direcciones URL se comprueban en primer lugar en la base de datos local de Intelligence Services en el proxy, o en la memoria caché de categorización local en otros productos de Symantec.También se usa para reputación de URL, que identifica amenazas de dominios y URL.
Para la versión 14.3 MP1 o posteriores.
https://sp.cwfservice.net
443
Envíos de tokens de autenticación del cliente (CAT)
Se utiliza para que el cliente se autentique a sí mismo en Symantec y utilice, por ejemplo, los servidores de reputación para descargar Insight.
https://tus1gwynwapex01.symantec.com
443
SymQual
Se utiliza para enviar información sobre los datos y los volcados de memoria para los procesos a Symantec a fin de ayudar a mejorar el producto.
https://faults.qalabs.symantec.com (14.3 MP1 y versiones anteriores)
https://faults.symantec.com (a partir de la versión 14.3 RU1)
443
Agente de Linux
https://linux-repo.us.securitycloud.symantec.com (a partir de la versión 14.3 RU1)
443
Para permitir certificados públicos SSL/TLS de las raíces públicas de DigiCert existentes, consulte: SSL/TLS OCSP y CRL en nuevos certificados de jerarquía de PKI web de DigiCert
Direcciones URL adicionales que se deben permitir para el Agente de Symantec administrado de forma híbrida o administrado en la nube
Propósito
URL
Port (Puerto)
Puerta de enlace de Symantec Cloud API
Si esta dirección URL está bloqueada, el cliente no puede invocar las API de la nube.
https://usea1.r3.securitycloud.symantec.com
443
Servicio de notificación en la nube (SPOC)
Se utiliza para notificar al cliente que debe comprobar los servicios en la nube.
https://us.spoc.securitycloud.symantec.com
443
Servicios de almacenamiento en la nube
Se utiliza para la carga segura de archivos de datos de gran tamaño en la nube.
https://us-east-1-s3-symc-prod-ses-shared-content.s3.amazonaws.com
https://us-east-1-s3-symc-prod-saep-cis.s3.amazonaws.com
* https://storage.googleapis.com
Live Shell
Permite que PowerShell se ejecute de forma remota en los agentes.
https://ws.securitycloud.symantec.com
https://bds.securitycloud.symantec.com
https://us-east-1-s3-symc-prod-cdm-websocket.s3.amazonaws.com
* https://storage.googleapis.com
443
CONSOLA DE ADMINISTRACIÓN
Direcciones URL para permitir
(in situ)
Propósito
URL
Port (Puerto)
Telemetría
https://tses.broadcom.com
https://telemetry.broadcom.com
443
Licencias
Se utiliza para activar la licencia.
Se utiliza para verificar si la licencia que se está utilizando es actual y está activa.
https://services-prod.symantec.com/service/IPLService.serviceagent/IPLendpoint1
443
Servidores de Symantec LiveUpdate
Se utiliza para la conexión con SEP, para el motor de definición y para las actualizaciones de contenido.
https://liveupdate.symantec.com
https://liveupdate.symantecliveupdate.com
Si se utiliza un servidor proxy y los servidores de LiveUpdate predeterminados en SEPM, se deben permitir las siguientes direcciones URL con el puerto 80 (ya no se requiere en 14.3 RU1):
http://liveupdate.symantec.com
http://liveupdate.symantecliveupdate.com
443
Definiciones de Windows de Endpoint Protection Manager "Novedades de Symantec"
Se utiliza para la recuperación de información acerca de las definiciones más recientes de Symantec.
https://www.broadcom.com/support/security-center
https://www.symantec.com/es/mx
https://www.symantec.com/avcenter/venc/auto/defstats.xml
443
Direcciones URL adicionales para permitir si Symantec Endpoint Protection Manager está inscrito en la consola de la nube
Propósito
URL
Port (Puerto)
Puerta de enlace de Symantec Cloud API
https://usea1.r3.securitycloud.symantec.com
443
Servicios de almacenamiento en la nube
Se utiliza para la carga segura de archivos de datos de gran tamaño en la nube. Si esta dirección URL está bloqueada,
no puede cargar información de eventos, grupos de dispositivos y dispositivos en la nube.
https://global-s3-cpe-prod-saep-hub.s3.amazonaws.com/
* https://storage.googleapis.com
443
Servicio de notificación en la nube (SPOC)
https://us.spoc.securitycloud.symantec.com
443
Direcciones URL para permitir el acceso a la consola en la nube de Integrated Cyber Defense Manager (ICDm)
Propósito
URL
Port (Puerto)
Consola en la nube de ICDm
https://sep.securitycloud.symantec.com
https://avagoext.okta.com/
443
Área temporal para que la consola recupere los archivos descargados
Ubicación en la que la consola recupera un archivo que se había cargado de un agente.
https://us-east-1-s3-symc-prod-saep-edr-samples.s3.amazonaws.com
* https://storage.googleapis.com
443
Live Shell
https://ws.securitycloud.symantec.com
https://bds.securitycloud.symantec.com
https://us-east-1-s3-symc-prod-cdm-websocket.s3.amazonaws.com
* https://storage.googleapis.com
443
* En noviembre de 2020, SEP y SES están cambiando su proveedor de centro de datos de Amazon Web Services (AWS) a Google Cloud Platform (GCP). Para la fecha específica de la migración, consulte la sección Preguntas frecuentes: Migración de Symantec Endpoint Protection a Google Cloud Platform: preguntas frecuentes. Para prepararse para esta migración, debe permitir la dirección URL de GCP ahora.
Si un firewall corporativo o proxy bloquea el acceso a estas direcciones URL si no están permitidas, se pueden producir estas incidencias:
  • El tráfico para descargar los servidores de Insight se bloquea cuando se utilizan servidores proxy con la autenticación definida por las direcciones URL o los valores de configuración proxy de PAC. Como resultado, Endpoint Protection no puede utilizar los datos de reputación en los servidores de Download Insight para evaluar posibles amenazas.
  • No se pueden activar las licencias.
  • Symantec Endpoint Protection Manager (SEPM) no se puede inscribir en los servicios en la nube.
  • Symantec Endpoint Protection Manager tiene problemas para comunicarse con los servicios en la nube tras la inscripción.
Para obtener información sobre los pasos de la solución de problemas, consulte: Cómo probar la conectividad con los servidores de licencias de Symantec e Insight