Soumission des données de télémétrie de
Symantec Endpoint Protection
en vue de l'amélioration de la sécurité

Introduction
La télémétrie, également connue sous le nom de transmissions ou de collecte de données, collecte des informations pour améliorer la stratégie de sécurité de votre réseau et pour améliorer l'expérience produit. La télémétrie collecte les types d'informations suivants :
  • Environnement système, y compris les détails matériels et logiciels
  • Erreurs et événements connexes du produit
  • Efficacité de la configuration du produit
Les données collectées sont envoyées à Symantec.
Les données que collecte la télémétrie de Symantec peuvent inclure des éléments pseudonymes qui ne sont pas directement identifiables. Symantec n'a pas besoin d'utiliser les données de télémétrie pour identifier des utilisateurs individuels et ne cherche d'ailleurs pas à le faire.
Objectif
Symantec utilise ces informations pour analyser et améliorer l'expérience produit de ses clients.
  • Le support de Symantec utilise la télémétrie.
  • Symantec utilise la télémétrie pour obtenir des renseignements sur le paysage des menaces et en tant qu'élément du programme Risk Insight.
Activation de la collecte des données de télémétrie
Symantec collecte des données de télémétrie à partir du serveur de gestion et du client
Symantec Endpoint Protection
.
Vous pouvez cependant avoir à désactiver des transmissions de télémétrie, du fait de problèmes de bande passante réseau ou de restrictions sur les données partant du client. Vous pouvez consulter le journal Activité client pour visualiser les activités de transmission et surveiller votre utilisation de la bande passante.
  1. Pour activer ou désactiver la collecte des donnéees de télémétrie de serveur de gestion
  2. Activez ou désactivez l'option
    Envoyer des données pseudonymes à Symantec pour recevoir davantage de renseignements sur la protection contre les menaces
    pour la collecte de données de serveur.
    • Dans la console de gestion, accédez à
      Administration > Serveurs > Site local > Propriétés de site > Collecte de données
      et modifiez l'option.
    Lors de l'installation de
     instance de Symantec Endpoint Protection Manager
    , vous pouvez également modifier l'option de collecte de données de serveur.
  3. Pour activer ou désactiver les transmissions de télémétrie client
  4. Activez ou désactivez l'option
    Envoyer des données pseudonymes à Symantec pour recevoir davantage de renseignements sur la protection contre les menaces
    pour les transmissions client. Vous pouvez modifier l'option au niveau du groupe dans la console de gestion ou pour un seul client dans l'interface utilisateur du client.
    • Dans la console de gestion, accédez à l'onglet
      Clients > Policies
      (Clients > Politiques). Dans le volet
      Settings
      (Paramètres), sélectionnez
      External Communications Settings > Submissions
      (Paramètres des communications externes > Transmissions).
    • Dans l'interface utilisateur du client, accédez à
      Modifier les paramètres > Gestion des clients > Configurer les paramètres > Transmissions
      .
Chaque client de l'entreprise appartient à un groupe. Un groupe a sa propre politique. Dans certains cas, un groupe est configuré pour hériter de la politique de son groupe parent. Puisque les transmissions client sont un paramètre appliqué à tout le groupe, assurez-vous que vous appliquez le paramètre approprié à tous les groupes.
Si vous désactivez les transmissions et verrouillez le paramètre, l'utilisateur ne peut pas configurer des clients dans le groupe pour envoyer des transmissions. Si vous activez l'option, sélectionnez les types de transmissions et verrouillez le paramètre, l'utilisateur ne peut pas désactiver les transmissions. Si vous ne verrouillez pas le paramètre, l'utilisateur peut modifier la configuration, y compris les types de transmissions dans
Plus d'options
.
Symantec vous recommande d'envoyer des informations sur les menaces pour aider Symantec à fournir une protection optimale contre les menaces.
Foire aux questions (FAQ)
Quels types d'informations collecte
Symantec Endpoint Protection
 ?
Le tableau suivant décrit le type d'informations collecté par
Symantec Endpoint Protection
.
Plus de détails au sujet des types d'informations collectées par
Symantec Endpoint Protection
Type
Infos supplémentaires
Configuration logicielle, détails de produit et état d'installation
Inclut des informations sur les politiques de protection antivirus et antispywares :
  • Paramètres Bloodhound
    Si l'analyse Bloodhound est activée ou désactivée et si le niveau est "automatique" ou "agressif". (
    Virus and Spyware Protection policy > Global Scan Options
    (Politique de protection antivirus et antispywares > Options d'analyse générales))
  • Paramètres de Diagnostic des téléchargements
    Si l'option Diagnostic des téléchargements est activée ou désactivée et présentation des paramètres de Diagnostic des téléchargements, y compris le niveau de sensibilité et le seuil de prévalence. (
    Virus and Spyware Protection policy > Download Protection
    (Politique de protection antivirus et antispywares > Protection contre le téléchargement))
  • Paramètres Auto-Protect
    Liste des substitutions configurées pour les malwares ou risques de sécurité. (
    Virus and Spyware Protection policy > Auto-Protect
    ) (Politique de protection antivirus et antispywares > Auto-Protect)
Inclut des informations sur les 20 groupes principaux en termes de nombre de clients. Pour chaque groupe, le premier emplacement (généralement l'emplacement par défaut) est sélectionné pour envoyer les informations.
En général, les informations suivantes sont incluses :
  • Mode client : si le client utilise le contrôle serveur, le contrôle client, le mode mixte ou aucune données trouvée
  • Mode Push/Pull : si le client obtient ou demande des politiques du serveur
  • Apprentissage des applications activé ou désactivé
  • Intervalle de pulsation en minutes
  • Téléchargement des événements critiques activé ou désactivé
  • Téléchargement aléatoire activé ou désactivé ; fenêtre d'exécution en minutes
  • Si le client utilise le dernier paramètre ou mode de groupe utilisé
  • Si le client envoie des transmissions de détection et quel type (détections antivirus, réputation de fichier ou SONAR).
  • Si la fonction Intégrité de l'hôte est activée sur le client
  • Nombre de domaines.
  • Nombre approximatif total de groupes dans tous les domaines, par exemple
    <1500
    . Une valeur supérieure à 3 000 est transmise sous la forme
    >/= 3000
    .
  • Profondeur maximale du groupe parmi tous les domaines
  • Nombre total de clients
  • Nombre de clients utilisant le mode ordinateur
  • Nombre de clients utilisant le mode utilisateur
  • Nombre de clients dans les groupes d'unité organisationnelle (UO)
État de la licence, informations sur les autorisations accordées par la licence, ID de licence et utilisation de la licence
N/A
Nom et type de l'appareil, version du système d'exploitation, langue, emplacement, type et version de navigateur, adresse IP et ID
N/A
Inventaire du matériel, des logiciels et des applications de l'appareil
La base de données serveur envoie des informations globales sur le matériel client. Informations concernent l'UC, la RAM et l'espace disque disponible sur le disque d'installation
Symantec Endpoint Protection
.
Configurations de l'accès à la base de données et aux applications, conditions des politiques et état de conformité aux politiques et journaux d'échec du workflow et exceptions des applications
Inclut le nombre de règles pour les entrées de journal d'administration du système. Envoie également le nombre d'entrées de journal et le nombre de jours jusqu'à ce que les entrées de journal expirent pour les journaux de base de données suivants :
  • Journal d'administration du système
  • Journal d'activité client/serveur
  • Journal d'audit
  • Journal d'activité serveur du système
Inclut tous les événements de défaillance de la réplication de serveur (par exemple, échec de réplication ou versions de base de données non identiques).
Informations associées à des menaces potentielles, notamment : informations sur les événements de sécurité client, adresse IP, ID de l'utilisateur, chemin, informations relatives à l'appareil comme le nom et l'état de l'appareil, fichiers téléchargés, actions de fichier
N/A
Informations de réputation de fichier et d'application, notamment les téléchargements de fichiers, les informations sur les applications en cours d'exécution et les actions et les envois de malwares
Les données de réputation de fichier sont des informations concernant les fichiers qui sont détectés en fonction de leur réputation.
  • Ces envois contribuent à la base de données de réputation de Symantec Insight et aident à protéger vos ordinateurs contre les risques récents et émergents.
    Les informations incluent le hachage de fichier, le hachage d'IP client, l'adresse IP à partir de laquelle le fichier a été téléchargé, la taille du fichier et le score de réputation du fichier.
Journaux d'échec du workflow et exceptions des applications
N/A
Informations personnelles fournies lors de la configuration du service ou de tout autre appel au support ultérieur
N/A
Informations sur les licences (nom, version, langue et informations sur les droits des licences)
N/A
Utilisation de technologies de protection incluses dans SEP
Inclut des informations sur les 20 groupes principaux en termes de nombre de clients. Pour chaque groupe, le premier emplacement (généralement l'emplacement par défaut) est sélectionné pour envoyer les informations.
Les informations suivantes sont incluses :
  • Nombre de clients avec une technologie de protection particulière activée ou désactivée.
  • Nombre et type (par exemple,
    Quarantaine
    ,
    Consigner seulement
    ,
    Nettoyer
    , etc.) des première et deuxième actions des détections par les technologies de protection activées.
 instance de Symantec Endpoint Protection Manager
envoie le nombre de politiques partagées de chaque type dans sa base de données, qui équivaut au nombre de politiques par défaut associé au nombre de politiques personnalisées. Les informations suivantes sont incluses :
  • Nombre de domaines
  • Nombre de chacune des politiques partagées suivantes :
    • Politiques de protection antivirus et antispywares
    • Politiques de pare-feu
    • Politiques de prévention d'intrusion
    • Politiques de contrôle des applications et des périphériques
    • Politiques LiveUpdate
    • Politiques d'intégrité de l'hôte
  • Nombre de signatures de prévention d'intrusion personnalisées
Informations qui décrivent la configuration de SEP, telles que les informations du système d'exploitation, les caractéristiques de la configuration matérielle et logicielle du serveur, le nom du processeur, la taille de la mémoire, la version logicielle et les fonctions des packages installés
Inclut des informations serveur comme :
  • Nombre de partenaires de réplication
  • Si les données de journal sont répliquées
  • Si les données de contenu sont répliquées
Inclut le type de système d'exploitation Linux et les versions de noyau, ainsi que le nombre de clients avec cette configuration.
Inclut les informations d'agrégation dans la base de données
 instance de Symantec Endpoint Protection Manager
au sujet de l'état opérationnel du client
Symantec Endpoint Protection
, y compris des comptes suivants :
  • Total de clients
  • Clients de taille réduite
  • Clients de taille standard
  • Clients compatibles EWF
  • Clients compatibles FBWF
  • Clients compatibles UWF
  • Clients de l'hyperviseur Microsoft
  • Clients de l'hyperviseur VMware
  • Clients de l'hyperviseur Citrix
  • Clients d'hyperviseur inconnu
Envoie le nombre approximatif de révisions de LiveUpdate, par exemple
<30
.
Informations sur les risques de sécurité potentiels, fichiers exécutables portables et fichiers avec contenu exécutable identifiés comme malwares et susceptibles de contenir des informations personnelles, y compris des informations sur les actions effectuées par ces fichiers lors de l'installation
  • Détections d'antivirus (Windows et Mac seulement)
    Informations à propos des détections d'analyse antivirus et antispywares. Les types d'informations que les clients envoient incluent le hachage de fichier, le hachage d'IP client, les signatures antivirus, l'URL de l'attaquant, etc.
  • Détections heuristiques avancées d'antivirus (Windows uniquement)
    Informations à propos des menaces potentielles que Bloodhound et d'autres technologies heuristiques d'analyse antivirus et antispywares détectent. Ces détections sont silencieuses et n'apparaissent pas dans le journal des risques. Les informations à propos de ces détections sont utilisées pour l'analyse statistique.
  • Détections SONAR (Windows seulement)
    Les informations relatives aux menaces détectées par SONAR, notamment des détections élevées ou peu risquées, des événements de modification du système et de comportement suspect des applications approuvées.
Inclut également des données de processus :
  • Les détections heuristiques SONAR (Windows uniquement) sont silencieuses et n'apparaissent pas dans le journal des risques. Ces informations sont utilisées pour une analyse statistique. Les types d'informations que les clients envoient généralement incluent les attributs de la détection, par exemple :
    • Processus masqués
    • Processus légers
    • Comportement de consignation de frappe ou de capture d'écran
    • Désactivation du comportement du produit de sécurité
    • Date et horodatages de détection
Informations liées à l'activité réseau, y compris URL auxquelles l'utilisateur a accédé et informations regroupées sur les connexions réseau (par exemple, nom d'hôte, adresses IP et informations statistiques sur une connexion réseau)
Les informations incluses sont les suivantes :
  • Événements de détection de réseau (Windows et Mac uniquement)
    Informations sur les détections par le moteur IPS (prévention d'intrusion). Les informations que les clients envoient incluent le hachage d'IP client, l'URL de l'attaquant, l'horodatage de la détection, l'adresse IP de l'attaquant, la signature IPS, etc.
  • Événements de détection de navigateur (Windows uniquement)
    Toutes les URL saisies dans la barre d'adresses du navigateur, sur lesquelles un utilisateur a cliqué ou s'est connecté à des fins de téléchargement.
    Les clients envoient également des métadonnées concernant les éléments suivants :
    • Chaque connexion réseau, y compris les adresses IP, numéros de port, noms d'hôte, applications lançant des connexions, protocoles, heure de connexion, nombre d'octets par connexion.
    • Toutes les activités de transfert de fichiers entre les appareils, y compris l'identification de l'appareil, l'heure du transfert, le protocole, les attributs de fichier (type, nom, chemin d'accès, taille) et la fonction SHA-256 du contenu.
Informations d'état concernant l'installation et le fonctionnement de SEP, qui peuvent contenir des informations personnelles (uniquement si ces informations sont incluses dans le nom du fichier ou du dossier utilisé par SEP au moment de l'installation ou d'une erreur) et qui indiquent à Symantec si l'installation de SEP a réussi et si SEP a rencontré une erreur
N/A
Informations pseudonymes générales, statistiques et d'état
N/A
Comment savoir que mes clients
Symantec Endpoint Protection
envoient des transmissions de télémétrie ?
Consultez le journal Activité client pour afficher les événements de transmissions. Si le journal ne contient pas d'événements actuels de transmission, faites les vérifications suivantes :
  • Assurez-vous que les transmissions client sont activées.
  • Si vous utilisez un serveur proxy, vérifiez les exceptions de proxy. Voir Puis-je spécifier un serveur proxy pour les transmissions client ?.
  • Vérifiez la connectivité aux serveurs Symantec. Consultez l'article de la base de connaissances article.TECH163042.html.
  • Assurez-vous que les clients ont accès au contenu LiveUpdate à jour.
    Symantec Endpoint Protection utilise un fichier de données de contrôle d'envoi (SCD). Symantec publie le fichier SCD et l'inclut au sein d'un package LiveUpdate. Chaque produit Symantec comporte son propre fichier SCD. Le fichier SCD contrôle les paramètres suivants :
    • Le nombre de fichiers qu'un client peut envoyer en un jour
    • La durée d'attente avant que le logiciel client ne renvoie des fichiers
    • Le nombre de nouvelles tentatives d'envois ayant échoué
    • Quelle adresse IP du serveur Symantec Security Response reçoit les données envoyées
Si le fichier SCD est obsolète, les clients arrêtent les transmissions. Symantec considère le fichier SCD comme périmé quand les ordinateurs client n'ont pas récupéré de contenu LiveUpdate depuis 7 jours. Le client arrête d'envoyer des fichiers après 14 jours.
Si les clients cessent d'envoyer des fichiers, le logiciel client cesse de collecter les informations et de les envoyer ultérieurement. Quand les clients reprennent la transmission de fichiers, ils n'envoient que les informations relatives aux événements se produisant après le redémarrage des envois.
Est-ce que je peux renoncer à la transmission télémétrique ?
Oui, vous pouvez y renoncer. Vous pouvez modifier les options de collecte de données serveur ou les transmissions client par le biais des interfaces utilisateur client et serveur. Cependant, Symantec recommande d'autoriser autant de télémétrie que possible pour améliorer la sécurité de votre réseau.
Performances, dimensionnement et déploiement
Combien de bande passante la télémétrie utilise-t-elle ?
Symantec Endpoint Protection régule les transmissions des ordinateurs client pour minimiser tout impact sur votre réseau. Symantec Endpoint Protection régule les transmissions des façons suivantes :
  • Les ordinateurs client n'envoient des échantillons que lorsque l'ordinateur est inactif. Les envois en mode inactif contribuent à répartir le trafic au sein du réseau.
  • Les ordinateurs client n'envoient d'échantillons que pour des fichiers uniques. Si Symantec a déjà eu connaissance d'un fichier, l'ordinateur client n'envoie pas l'information.
La taille de données de ces transmissions est minime. Par exemple, les transmissions d'antivirus ne dépassent en général pas 4 Ko. De même, les transmissions d'IPS ont une taille d'environ 32 Ko.
Puis-je spécifier un serveur proxy pour les transmissions client ?
Vous pouvez configurer
 instance de Symantec Endpoint Protection Manager
pour qu'il utilise un serveur proxy pour les transmissions et autres communications externes que vos clients Windows utilisent. Si vos ordinateurs client utilisent un proxy avec authentification, vous pourriez avoir à spécifier des exceptions pour les URL de Symantec dans votre configuration de serveur proxy. Les exceptions permettent à vos ordinateurs client de communiquer avec Symantec Insight et d'autres sites importants de Symantec.
Pour plus d'informations sur le proxy, consultez :
Pour en savoir plus au sujet des exceptions pour les URL Symantec, voir :