Invio della telemetria di
Symantec Endpoint Protection
per migliorare la sicurezza

Introduzione
La telemetria, nota anche come invii o raccolta di dati, raccoglie informazioni per migliorare le condizioni di sicurezza della rete e l'esperienza prodotto. La telemetria raccoglie su larga scala i seguenti tipi di informazioni:
  • Ambiente del sistema, inclusi dettagli di hardware e software
  • Errori di prodotto ed eventi correlati
  • Efficacia della configurazione del prodotto
I dati raccolti vengono inviati a Symantec.
I dati di telemetria raccolti da Symantec possono includere elementi pseudonimizzati che non sono identificabili direttamente. Symantec non ha bisogno né desidera utilizzare i dati di telemetria per identificare i singoli utenti.
Scopo
Symantec utilizza le informazioni per analizzare e migliorare l'esperienza prodotto per i clienti.
  • Il supporto Symantec utilizza la telemetria.
  • Symantec utilizza la telemetria per analisi del panorama delle minacce e nell’ambito del programma di analisi dei rischi.
Attivazione della raccolta telemetrica
Symantec raccoglie dati di telemetria dal server di gestione e dal client
Symantec Endpoint Protection
.
Potrebbe essere necessario, tuttavia, disattivare l'invio dei dati di telemetria in seguito a problemi di larghezza di banda della rete o a restrizioni sui dati inviati dal client. È possibile controllare il registro Attività client per visualizzare attività di invio e monitorare l'utilizzo della larghezza di banda.
  1. Per attivare o disattivare la raccolta dei dati di telemetria dal server di gestione
  2. Attivare o disattivare l’opzione
    Invia dati pseudonimizzati a Symantec per ricevere nuove funzionalità di protezione dalle minacce
    per la raccolta dei dati dal server.
    • Nella console di gestione, accedere a
      Amministratore > Server > Sito locale > Proprietà del sito > Raccolta dati
      e modificare l’opzione.
    Durante l'installazione di
    Symantec Endpoint Protection Manager
    , è inoltre possibile modificare l'opzione di raccolta dei dati del server.
  3. Per attivare o disattivare l'invio dei dati di telemetria del client
  4. Attivare o disattivare l'opzione
    Invia dati pseudonimizzati a Symantec per ricevere nuove funzionalità di protezione dalle minacce
    per l'invio dei dati del client. È possibile modificare l'opzione a livello di gruppo nella console di gestione, o per un singolo client nell'interfaccia utente del client.
    • Nella console di gestione, accedere alla scheda
      Client > Politiche
      . Nel riquadro
      Impostazioni
      , selezionare
      Impostazioni di comunicazione esterne > Invii
      .
    • Nell’interfaccia utente del client, accedere a
      Cambia impostazioni > Gestione dei client > Configura impostazioni > Invii
      .
Ogni cliente aziendale appartiene a un gruppo. Ogni gruppo ha la sua politica. In alcuni casi, un gruppo è configurato per ereditare la politica dal suo gruppo di appartenenza. Poiché gli invii di client sono un’impostazione a livello di gruppo, assicurarsi di applicare l’impostazione in base alle proprie esigenze a tutti i gruppi.
Se si disattivano gli invii e si blocca l’impostazione, l’utente non può configurare client nel gruppo per gli invii. Se si attiva l'opzione, si selezionano i tipi di invio e si blocca l’impostazione, l’utente non può disattivare gli invii. Se non si blocca l’impostazione, l'utente può modificare la configurazione, inclusi i tipi di invio in
Altre opzioni
.
Symantec consiglia di inviare le informazioni sulle minacce per aiutare a fornire la migliore protezione dalle minacce.
Domande frequenti (FAQ)
Che tipo di informazioni vengono raccolte da
Symantec Endpoint Protection
?
Nella tabella seguente è descritto il tipo di informazioni raccolte da
Symantec Endpoint Protection
.
Ulteriori dettagli sui tipi di informazioni raccolti da
Symantec Endpoint Protection
Tipo
Ulteriori dettagli
Configurazione del software, dettagli del prodotto e stato dell'installazione
Include informazioni sulle politiche di protezione antivirus e antispyware:
  • Impostazioni Bloodhound
    Se Bloodhound è attivato o disattivato e se il livello è automatico o aggressivo. (
    Politica Protezione antivirus e antispyware > Opzioni di scansione globali
    )
  • Impostazioni di Analisi download
    Se Analisi download è attivato o disattivato e quali sono le impostazioni di Analisi download, inclusi il livello di sensibilità e la soglia prevalenza. (
    Politica Protezione antivirus e antispyware > Protezione download
    )
  • Impostazioni di Auto-Protect
    Quali sovrascritture sono configurate per il malware o i rischi per la sicurezza. (
    Politica Protezione antivirus e antispyware > Auto-Protect
    )
Include informazioni sui primi 20 gruppi con il maggior numero di client. Per ogni gruppo viene selezionata per l’invio di informazioni la prima posizione, solitamente la posizione predefinita.
Solitamente le informazioni includono:
  • Modalità client: se il client utilizza il controllo server, il controllo client, la modalità mista o nessun dato trovato
  • Modalità push/pull: se il cliente ottiene o richiede politiche dal server
  • Rilevamento applicazione attivato o disattivato
  • Intervallo di heartbeat in minuti
  • Carichi di eventi critici attivati o disattivati
  • Sequenza casuale di download attivata o disattivata; intervallo di sequenza casuale in minuti
  • Se il client utilizza le impostazioni di gruppo utilizzate per ultime o la modalità di gruppo utilizzata per ultima
  • Se il client invia invii di rilevazione e di che tipo, come le rilevazioni antivirus, la reputazione file o SONAR
  • Specifica se l'integrità dell'host è attivata sul client
  • Il numero di domini.
  • Il numero totale di gruppi in tutti i domini, indicato con approssimazioni come
    <1500
    . Un valore superiore a 3000 viene inviato come
    >/= 3000
  • La profondità massima di gruppo tra tutti i domini
  • Il conteggio del numero totale di client
  • Il numero di client in modalità computer
  • Il numero di client in modalità utente
  • Il numero di client in gruppi di unità organizzative (UO)
Stato della licenza, informazioni sulla titolarità della licenza, ID licenza e utilizzo della licenza
N/D
Nome, tipo, versione del sistema operativo, lingua, posizione, tipo e versione del browser, indirizzo IP e ID del dispositivo
N/D
Hardware, software e inventario delle applicazioni del dispositivo
Il database di server invia informazioni aggregate sull'hardware del client. Le informazioni comprendono CPU, RAM e spazio libero sul disco di installazione di
Symantec Endpoint Protection
.
Configurazioni dell'accesso al database e alle applicazioni, requisiti delle politiche e stato di conformità delle politiche, registri delle eccezioni delle applicazioni e degli errori del flusso di lavoro
Include il numero delle regole per le voci del registro amministrativo di sistema. Invia inoltre il numero delle voci di registro e il numero di giorni prima della scadenza delle voci di registro per i seguenti registri di database:
  • Registro amministrativo di sistema
  • Registro delle attività client/server
  • Registro di controllo
  • Registro attività server di sistema
Include gli eventi degli errori di replica del server, errori di replica o versioni di database non coincidenti.
Informazioni associate a minacce potenziali, tra cui: informazioni sugli eventi relativi alla sicurezza del client, indirizzo IP, ID utente, percorso, informazioni sul dispositivo come nome e stato, file scaricati, azioni dei file
N/D
Informazioni sulla reputazione di file e applicazioni, tra cui informazioni su download di file, azioni e applicazioni in esecuzione, invio di malware
I dati di reputazione dei file sono informazioni sui file rilevati in base alla relativa reputazione.
  • Questi invii contribuiscono al database di reputazione di Symantec Insight utilizzato per migliorare la protezione dei computer da rischi nuovi ed emergenti.
    Le informazioni includono hash del file, hash del client IP, indirizzo IP in cui il file è stato scaricato, dimensione del file e punteggio di reputazione del file.
Registri delle eccezioni delle applicazioni e degli errori del flusso di lavoro
N/D
Informazioni personali fornite durante la configurazione del servizio o qualsiasi altra richiesta di servizio successiva
N/D
Informazioni sulle licenze, quali nome, versione, lingua e dati sul diritto alla licenza
N/D
Utilizzo di tecnologie di protezione incluse in SEP
Include informazioni sui primi 20 gruppi con il maggior numero di client. Per ogni gruppo viene selezionata per l’invio di informazioni la prima posizione, solitamente la posizione predefinita.
Le informazioni includono le seguenti:
  • Il numero di client con una specifica tecnologia di protezione attivata o disattivata.
  • Il numero e il tipo (ad esempio,
    Quarantena
    ,
    Solo registro
    ,
    Pulisci
    , etc.) della prima e della seconda azione per i rilevamenti in base alle tecnologie di protezione abilitate.
Symantec Endpoint Protection Manager
invia il numero di politiche condivise di ogni tipo nel relativo database, corrispondente al numero di politiche predefinite più il numero di politiche personalizzate. Le informazioni includono le seguenti:
  • Il numero di domini
  • Il numero di ognuna delle seguenti politiche condivise:
    • Politiche di protezione antivirus e antispyware
    • Politiche firewall
    • Politiche di prevenzione delle intrusioni
    • Politiche di controllo delle applicazioni e delle periferiche
    • Politiche di LiveUpdate
    • Politiche di integrità dell'host
  • Il numero di firme di prevenzione delle intrusioni personalizzate
Informazioni che descrivono la configurazione di SEP, quali informazioni sul sistema operativo, specifiche di configurazione hardware e software del server, nome della CPU, dimensioni della memoria, versione del software e funzionalità per pacchetti installati
Include informazioni del server come:
  • Numero dei partner di replica
  • Se i dati di registro vengono replicati
  • Se i dati dei contenuto vengono replicati
Include il tipo di sistema operativo Linux e le versioni del kernel, oltre al conteggio del numero di client con questa configurazione.
Comprende le informazioni di aggregazione nel database di
Symantec Endpoint Protection Manager
sullo stato operativo del client
Symantec Endpoint Protection
, inclusi i conteggi dei seguenti elementi:
  • Client totali
  • Client di dimensioni ridotte
  • Client di dimensioni standard
  • Client con EWF attivato
  • Client con FBWF attivato
  • Client con UWF attivato
  • Client hypervisor Microsoft
  • Clienti hypervisor VMware
  • Client hypervisor Citrix
  • Clienti hypervisor sconosciuti
Invia il numero approssimativo delle revisioni di LiveUpdate, ad esempio
<30
.
Informazioni su potenziali rischi per la sicurezza, file eseguibili trasferibili e file con contenuto eseguibile che vengono identificati come malware e che possono contenere informazioni personali, comprese le informazioni sulle azioni intraprese da tali file al momento dell'installazione
  • Rilevamenti antivirus (solo per Windows e Mac)
    Informazioni sulle rilevazioni di scansioni antispyware e antivirus. Il tipo di informazioni che i client inviano include l’hash del file, l’hash dell’IP del client, le firme dell’antivirus, l’URL dell’aggressore, ecc.
  • Rilevamenti euristici avanzati antivirus (solo Windows)
    Informazioni sulle potenziali minacce rilevate da Bloodhound e altra euristica di scansione antispyware e antivirus. Queste rilevazioni sono invisibili e non vengono visualizzate nel registro Rischi. Informazioni su tali rilevazioni sono utilizzate per analisi statistiche.
  • Rilevazioni SONAR (solo Windows)
    Informazioni sulle minacce rilevate da SONAR, che comprendono rilevazioni di rischio elevato e basso, eventi di modifica del sistema e comportamento sospetto da parte di applicazioni attendibili.
Include anche dati di processo come:
  • Le rilevazioni euristiche SONAR (solo Windows) sono invisibili e non vengono visualizzate nel registro Rischi. Queste informazioni sono utilizzate per l'analisi statistica. Il tipo di informazioni che i client inviano solitamente includono attributi della rilevazione come i seguenti:
    • Processi nascosti
    • Processi con uno spazio occupato ridotto
    • Registrazione della pressione dei tasti o comportamento dell’acquisizione schermate
    • Disattivazione del comportamento del prodotto di sicurezza
    • Data e ora di rilevamento
Informazioni relative alle attività di rete, tra cui gli URL a cui si è acceduto e informazioni aggregate sulle connessioni di rete (ad esempio, nome host, indirizzi IP e informazioni statistiche su una connessione di rete)
Sono inclusi i seguenti elementi:
  • Eventi di rilevazione di rete (solo Windows e Mac)
    Informazioni sulle rilevazioni in base al motore IPS (prevenzione delle intrusioni). Le informazioni inviate dai client includono l’hash di IP del client, l’URL dell’aggressore, la data e ora di rilevazione, l'indirizzo IP dell'aggressore, la firma IPS, ecc.
  • Eventi di rilevamento browser (solo Windows)
    Tutti gli URL digitati nella barra degli indirizzi del browser, su cui si è fatto clic o a cui ci si è connessi per il download.
    I client inviano inoltre metadati sui seguenti elementi:
    • Ogni connessione di rete, inclusi indirizzi IP, numeri di porta, nomi host, applicazioni che avviano connessioni, protocolli, tempo di connessione, numero di byte per connessione.
    • Tutte le attività di trasferimento di file tra dispositivi, inclusa l'identificazione dei dispositivi, il tempo del trasferimento, il protocollo, gli attributi di file (tipo, nome, percorso, dimensione) e SHA-256 del contenuto.
Informazioni di stato relative all'installazione e al funzionamento di SEP, che potrebbero contenere informazioni personali solo nel caso in cui tali informazioni siano incluse nel nome del file o della cartella trovato da SEP al momento dell'installazione o dell'errore; tali informazioni consentono a Symantec di capire se l'installazione di SEP è avvenuta correttamente e se SEP ha riscontrato degli errori
N/D
Informazioni pseudonimizzate generiche, statistiche e sullo stato
N/D
Come posso sapere se i client di
Symantec Endpoint Protection
stanno inviando invii di telemetria?
Controllare il registro Attività client per visualizzare attività di invio. Se il registro non contiene eventi di invio correnti, controllare quanto segue:
  • Assicurarsi che gli invii di client siano attivati.
  • Se si utilizza un server proxy, controllare le eccezioni del proxy. Consultare la sezione Posso specificare un server proxy per gli invii del client?
  • Controllare la connettività ai server Symantec. Consultare l'articolo della Knowledge Base article.TECH163042.html.
  • Assicurarsi che i client dispongano di contenuti di LiveUpdate aggiornati.
    Symantec Endpoint Protection utilizza un file di dati di controllo invio (SCD). Symantec pubblica il file SCD e lo include come componente di un pacchetto LiveUpdate. Ciascun prodotto Symantec dispone di un proprio file SCD. Il file SCD controlla le seguenti impostazioni:
    • Quanti invii può effettuare il client al giorno
    • Quanto tempo trascorre prima che il software client ritenti gli invii
    • Quante volte ritentare gli invii non riusciti
    • Quale indirizzo IP del server di Symantec Security Response riceve l'invio
Se il file SCD diventa obsoleto, i client interrompono gli invii. Symantec considera il file SCD obsoleto quando i computer client non hanno recuperato il contenuto LiveUpdate per 7 giorni. Il client arresta gli invii dopo 14 giorni.
Se i client arrestano la trasmissione degli invii, il software client non raccoglie le informazioni di invio per inviarle successivamente. Quando i client tornano a effettuare gli invii, inviano soltanto informazioni sugli eventi avvenuti dopo il riavvio della trasmissione.
Posso non effettuare l’invio di telemetria?
Sì, è possibile scegliere di non effettuarlo. È possibile modificare la raccolta di dati del server o le opzioni degli invii del client nell'interfaccia utente del server e del client. Tuttavia, Symantec consiglia di attivare quanta più telemetria possibile per migliorare la sicurezza della rete.
Prestazioni, dimensionamento e distribuzione
Quanta larghezza di banda viene consumata dalla telemetria?
Symantec Endpoint Protection limita gli invii dei computer client per ridurre al minimo eventuali ripercussioni sulla rete. Symantec Endpoint Protection limita gli invii nei seguenti modi:
  • I computer client inviano campioni solo quando il computer è inattivo. L'invio durante i periodi di inattività consente di distribuire casualmente il traffico degli invii sulla rete.
  • I computer client inviano campioni solo per i file univoci. Se Symantec ha già rilevato il file, il computer client non invia le informazioni.
La dimensione di dati di questi invii è del tutto trascurabile. Ad esempio, gli invii di antivirus solitamente non superano 4 KB e analogamente gli invii IPS hanno una dimensione di circa 32 KB.
Posso specificare un server proxy per gli invii del client?
È possibile configurare
Symantec Endpoint Protection Manager
per l'utilizzo di un server proxy usato dai client Windows per gli invii e altre comunicazioni esterne. Se i computer client utilizzano un proxy con autenticazione, può essere necessario specificare le eccezioni per gli URL Symantec nella configurazione del server proxy. Le eccezioni consentono ai computer client di comunicare con Symantec Insight e altri siti importanti di Symantec.
Per ulteriori informazioni sul proxy vedere:
Per ulteriori informazioni sulle eccezioni per gli URL di Symantec, vedere: