Quels sont les outils inclus dans Symantec Endpoint Protection ?

Cet article décrit les outils qui sont inclus dans
Symantec Endpoint Protection
et leur utilisation.

Outils situés dans le fichier d'installation

Les outils et la documentation ci-dessous se trouvent dans le dossier \Tools du fichier d'installation de
Symantec Endpoint Protection
que vous pouvez télécharger à partir de la page de téléchargement de Broadcom.
ApacheReverseProxy (12.1.4 et versions ultérieures)
Cet outil installe le serveur Web Apache dans Symantec Endpoint Protection Manager pour permettre aux clients Mac et Linux de télécharger le contenu LiveUpdate via le serveur Web. Le serveur Web Apache fonctionne avec
 instance de Symantec Endpoint Protection Manager
pour télécharger et mettre en cache le contenu LiveUpdate pour les clients Mac et Linux en local dès que du nouveau contenu est publié.
Cet outil est approprié pour des réseaux avec un petit nombre de clients.
CentralQ (12.1.6 et versions antérieures)
Symantec Endpoint Protection
peut automatiquement transférer les packages en quarantaine qui contiennent les fichiers infectés et leurs effets secondaires associés d'une quarantaine locale à la quarantaine centralisée. Vous pouvez collecter plus facilement des informations approfondies à l'aide de la quarantaine centralisée. Cet outil vous permet de récupérer un échantillon à partir d'un ordinateur infecté sans avoir à accéder directement à cet ordinateur.
Utilisez le serveur de quarantaine dans un environnement
Symantec Endpoint Protection
dans les cas suivants :
  • pour recevoir les échantillons des menaces suspectées à partir des clients
    Symantec Endpoint Protection
     ;
  • pour envoyer ces échantillons à Security Response automatiquement ;
  • pour télécharger les définitions Rapid Release spécifiques aux menaces suspectées qui ont été envoyées uniquement au serveur de quarantaine. Ces définitions ne sont pas transférées aux clients
    Symantec Endpoint Protection
    d'où provient la menace.Voir :
Pour plus d'informations, consultez l'article :
Best Practices for using Quarantine Server in a Symantec Endpoint Protection environment (Pratiques d'excellence concernant l'utilisation d'un serveur de quarantaine dans un environnement Symantec Endpoint Protection)
CleanWipe
CleanWipe désinstalle le produit
Symantec Endpoint Protection
. Ne l'utilisez qu'en dernier recours après avoir testé sans succès d'autres méthodes de désinstallation, telles que le panneau de configuration de Windows.Voir :
Vous pouvez également trouver cet outil à l'emplacement suivant (64 bits) : C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
ContentDistributionMonitor (SEPMMonitor)
L'outil SepmMonitor vous aide à gérer et surveiller plusieurs fournisseurs de mises à jour groupées dans votre environnement. Il présente un affichage graphique de l'état de la distribution du contenu et de l'état d'intégrité des fournisseurs de mises à jour groupées.Voir :
Deception (14.0.1)
Deception est utilisé pour détecter une activité ennemie sur un terminal client à l'aide de « leurres ». L'hypothèse de cette approche est que l'attaquant a déjà percé les défenses principales du réseau et effectue de la reconnaissance dans l'environnement. L'attaquant recherche les ressources critiques, tels qu'un contrôleur de domaine ou les informations d'authentification de la base de données.
DeviceInfo (14), DevViewer
DeviceInfo (pour Mac, à partir de la version 14) et DevViewer (pour Windows) permettent d'obtenir le fournisseur, le modèle ou le numéro de série d'un périphérique spécifique. Vous ajoutez ces informations à la liste
Périphériques matériels
. Vous pouvez ensuite ajouter l'ID du périphérique à une politique de contrôle des périphériques pour autoriser ou bloquer un périphérique sur des ordinateurs client.
Téléchargez DevViewer à partir de la section Attachments (Pièces jointes) dans l'article suivant :
Use DevViewer to find hardware device IDs for Device Blocking in Endpoint Protection (Utilisation de DevViewer pour rechercher des ID de périphérique matériel pour le blocage des périphériques dans Endpoint Protection)
Pour plus d'informations, consultez l'article :
Intégration (WebServicesDocumentation)
A partir de la version 14, le dossier Integration a été renommé
WebServicesDocumentation
.Voir :
ITAnalytics
L'outil IT Analytics est une extension de la fonctionnalité de rapports intégrés dans
Symantec Endpoint Protection
et vous permet de créer des rapports et des requêtes personnalisés. Il apporte des fonctionnalités d'analyse multidimensionnelle et de création de rapports graphiques à partir des données contenues dans les bases de données
 instance de Symantec Endpoint Protection Manager
. Cette fonctionnalité permet aux utilisateurs d'analyser eux-mêmes les données, même s'ils n'ont pas une connaissance avancée des bases de données ou des outils de création de rapports tiers.
JAWS
Le lecteur d'écran JAWS et un ensemble de scripts facilitent la lecture des menus et boîtes de dialogue de
Symantec Endpoint Protection
. JAWS correspond à une technologie d'assistance qui respecte la section 508 sur l'accessibilité des produits.
Utilitaire d'administration de LiveUpdate
LiveUpdate Symantec Administrator est une application Web autonome distincte de
Symantec Endpoint Protection
. Il crée un miroir du contenu des serveurs LiveUpdate publics, puis distribue ce contenu aux produits Symantec en interne via un serveur Web intégré.
L'administrateur LiveUpdate est un composant facultatif pour
Symantec Endpoint Protection
et n'est pas requis pour mettre à jour les clients
Symantec Endpoint Protection
. Par défaut,
 instance de Symantec Endpoint Protection Manager
utilise la technologie LiveUpdate plutôt que l'administrateur LiveUpdate pour télécharger le contenu directement à partir des serveurs LiveUpdate publics de Symantec.
Il peut être préférable d'utiliser l'administrateur LiveUpdate dans certains cas. Par exemple, vous pouvez avoir besoin de télécharger du contenu sur un grand nombre de clients autres que Windows ou sur des clients si
 instance de Symantec Endpoint Protection Manager
ne parvient pas à télécharger le contenu. Vous pouvez installer un serveur d'administrateur LiveUpdate, puis configurer
 instance de Symantec Endpoint Protection Manager
pour télécharger le contenu à partir de ce dernierVoir :
Pour télécharger LiveUpdate Administrator et la documentation, voir :
Aucune prise en charge > MoveClient
MoveClient
est un script Visual Basic qui déplace des clients d'un groupe
 instance de Symantec Endpoint Protection Manager
vers un autre en fonction du nom de l'hôte, du nom d'utilisateur, de l'adresse IP ou du système d'exploitation du client. Il peut également faire passer les clients du mode utilisateur au mode ordinateur, et inversement. Voir :
Aucune prise en charge > Qextract
Qextract
extrait et restaure des fichiers à partir de la quarantaine locale du client. Vous pouvez avoir besoin de cet outil si le client met en quarantaine un fichier que vous considérez comme un faux positif.
Aucune prise en charge > SEPprep (12.1.6 et versions antérieures)
SEPprep est un outil non pris en charge qui désinstalle les solutions antivirus des concurrents automatiquement. L'outil SEPprep désinstalle également les produits Norton
de Symantec si vous voulez migrer de Norton vers
Symantec Endpoint Protection
.
Vous pouvez également intégrer SEPprep dans un script qui désinstalle le produit concurrent, puis lance le programme d'installation de
Symantec Endpoint Protection
automatiquement et en mode silencieux.
Au lieu de SEPprep, utilisez l'assistant de déploiement client pour désinstaller les produits concurrents. Dans l'onglet des
paramètres d'installation client
, cliquez sur
Désinstaller automatiquement le logiciel de sécurité tiers existant
.
Pour plus d'informations, consultez l'article :
Pour obtenir la liste des produits que l'Assistant de déploiement client désinstalle, consultez :
SEPprep ne désinstalle aucun produit Symantec. Cependant, à partir de la version 14, CleanWipe est intégré à l'assistant de déploiement client pour supprimer d'autres produits Symantec, y compris le client
Symantec Endpoint Protection
.
OfflineImageScanner (12.1.6 et versions antérieures)
Cet outil analyse et détecte les menaces sur les disques virtuels hors ligne de VMware (fichiers .vmdk). Voir :
PushDeploymentWizard
L'assistant de déploiement permet de déployer le package d'installation du client
Symantec Endpoint Protection
sur des ordinateurs cibles. L'assistant de déploiement est identique à l'assistant de déploiement client dans
 instance de Symantec Endpoint Protection Manager
. Il est généralement utilisé pour un déploiement sur de petits groupes d'ordinateurs ou sur des ordinateurs distants.Voir :
SylinkDrop
Le fichier Sylink.xml inclut des paramètres de communication entre le client Windows ou Mac et un serveur Symantec Endpoint Protection Manager. Si les clients ont perdu la communication avec
 instance de Symantec Endpoint Protection Manager
, utilisez l'outil SylinkDrop pour remplacer automatiquement le fichier Sylink.xml existant par un nouveau fichier Sylink.xml sur l'ordinateur client.
Le remplacement du fichier Sylink.xml permet les tâches suivantes :
  • Convertir un client autonome en client géré.
  • Migrer ou déplacer les clients vers un nouveau domaine ou serveur de gestion.
  • Restauration des ruptures de communication sur le client ne pouvant pas être corrigées sur le serveur de gestion
  • Déplacement d'un client d'un serveur à un autre serveur qui n'est pas un partenaire de réplication
  • Déplacer un client d'un domaine à un autre.
Vous pouvez également utiliser cet outil pour des clients Windows seulement ; l'outil se trouve dans l'emplacement suivant (64 bits) :
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Pour plus d'informations, consultez l'article :
SymDiag (SymHelp)
À partir de la version 14, l'outil SymHelp a été renommé Symantec Diagnostic (SymDiag).
SymDiag
est un outil de diagnostic diversifié conçu pour identifier les problèmes courants, collecter des données pour le dépannage avec assistance du support et fournir des liens vers d'autres ressources d'aide et d'auto-assistance créées par d'autres clients.
SymDiag
fournit également l'état de gestion des licences et de maintenance pour quelques produits Symantec, ainsi que l'outil Analyse des menaces, qui aide à détecter des malwares potentiels.
Virtualisation
Les outils de virtualisation améliorent les performances d'analyse pour les clients qui sont installés dans des environnements VDI (virtual desktop infrastructure).
  • SecurityVirtualAppliance (12.1.6 et versions antérieures)
    L'appliance de sécurité virtuelle Symantec contient le Shared Insight Cache compatible vShield pour les infrastructures VMware vShield. Voir :
  • SharedInsightCache
    L'outil Shared Insight Cache améliore les performances d'analyse dans les environnements virtualisés en n'analysant pas les fichiers qu'un client
    Symantec Endpoint Protection
    a déterminés comme non infectés. Lorsque le client analyse un fichier pour rechercher des menaces et détermine qu'il n'est pas infecté, le client transmet les informations relatives à ce fichier à Shared Insight Cache.
    Quand un autre client essaie ultérieurement d'analyser le même fichier, le client peut interroger Shared Insight Cache pour déterminer si le fichier contient des virus. Si le fichier est propre, le client n'analyse pas ce fichier particulier. Dans le cas contraire, le client analyse le fichier pour rechercher des virus et soumet ces résultats à Shared Insight Cache.
    Shared Insight Cache est un service Web qui s'exécute indépendamment du client. Cependant, vous devez configurer
    Symantec Endpoint Protection
    pour spécifier l'emplacement de Shared Insight Cache de sorte que les clients puissent communiquer avec lui. Shared Insight Cache communique avec les clients via HTTP ou HTTPS. La connexion HTTP du client est mise à jour jusqu'à ce que l'analyse soit terminée.Voir :
  • Exception d'images virtuelles
    Pour augmenter les performances et la sécurité dans un environnement VDI, une pratique courante consiste à exploiter des images de base pour créer des sessions de machines virtuelles selon les besoins. L'outil Exception d'images virtuelles permet aux clients
    Symantec Endpoint Protection
    de contourner la recherche de menaces dans des fichiers image de base, ce qui réduit la charge des ressources sur l'E/S de disque. Cela améliore également la performance du processus d'analyse d'UC dans votre environnement VDI.Voir :
WebServicesDocumentation (Integration)
Dans la version 12.1.6 et les version antérieures, cet outil se trouve dans le dossier d'intégration.
Symantec Endpoint Protection
inclut un ensemble d'API publiques sous la forme de services Web pour permettre la prise en charge d'applications de surveillance et de gestion à distance. Les services Web fournissent des fonctions de base sur le client et sur le serveur de gestion. Tous les appels vers les services Web
Symantec Endpoint Protection
sont authentifiés à l'aide du protocole
OAuth
et permettent l'accès seulement par des administrateurs
Symantec Endpoint Protection
autorisés. Les développeurs utilisent ces API pour intégrer la solution de sécurité réseau tierce de leur entreprise au client et au serveur de gestion
Symantec Endpoint Protection
.
Fournit la prise en charge de la gestion et du contrôle à distance. La gestion à distance est fournie au moyen d'API publiques sous forme de services Web vous permettant d'intégrer votre solution tierce ou votre console personnalisée avec la fonctionnalité de serveur de gestion et client de base. Le contrôle à distance est fourni au moyen de clés de registre publiquement prises en charge et via la consignation d'événements Windows.
Les services Web pour la gestion à distance peuvent réaliser les tâches suivantes :
  • Signaler l'état de la licence et l'état du contenu sur le serveur de gestion par des appels de services Web, et signaler l'état de la licence au journal des événements Windows.
  • Émettre des commandes vers le client, telles que la mise à jour, la mise à jour et l'analyse et le redémarrage.
  • Gérer les politiques qui sont envoyées au client. Les politiques peuvent être importées à partir d'un autre serveur de gestion et elles peuvent être affectées à des groupes ou des emplacements sur un autre serveur de gestion.

Outils qui sont installés avec Symantec Endpoint Protection Manager

Les outils suivants sont installés avec
 instance de Symantec Endpoint Protection Manager
dans l'emplacement par défaut suivant :
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools.
CollectLog
CollectLog.cmd place les journaux de
 instance de Symantec Endpoint Protection Manager
dans un fichier compressé au format .zip. Vous pouvez envoyer le fichier .zip au support technique de Symantec ou à un autre administrateur à des fins de dépannage.
Vous pouvez trouver cet outil à l'emplacement suivant (64 bits) : C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Database Validator
Utilisez dbvalidator.bat pour aider le service de support à diagnostiquer un problème avec la base de données qui exécute
 instance de Symantec Endpoint Protection Manager
.
Vous pouvez trouver cet outil à l'emplacement suivant (64 bits) : C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption (14)
Par défaut,
 instance de Symantec Endpoint Protection Manager
communique avec Microsoft SQL Server par un canal chiffré. Cet outil vous permet de désactiver ou d'activer le chiffrement TLS pour la communication entre le serveur de gestion et Microsoft SQL Server. À partir de la version 14, il peut être utilisé avec les installations de serveur de gestion qui sont configurées pour utiliser la base de données Microsoft SQL Server.
Cet outil est installé avec Symantec Endpoint Protection Manager à l'emplacement suivant (64 bits) : C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
 instance de Symantec Endpoint Protection Manager
Référence d'API (14)
 instance de Symantec Endpoint Protection Manager
inclut un ensemble d'API REST qui se connectent à
 instance de Symantec Endpoint Protection Manager
et exécutent des opérations depuis Endpoint Detection and Response (EDR). Vous utilisez les API si vous n'avez pas accès à
 instance de Symantec Endpoint Protection Manager
. La documentation se trouve aux emplacements suivants :
  • Sur le serveur
     instance de Symantec Endpoint Protection Manager
    à l’adresse suivante, où
    SEPM-IP
    correspond à l'adresse IP du serveur
     instance de Symantec Endpoint Protection Manager
    .
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    L'adresse IP inclut IPv4 et IPv6. Vous devez placer l'adresse IPv6 entre crochets :
    http://[
    SEPMServer
    ]:
    numéro de port
    .
  • Documentation de l'API. Voir :
    Documentation de l'API REST Endpoint Security