Quali sono gli strumenti inclusi in Symantec Endpoint Protection?

Questo articolo descrive gli strumenti inclusi in
Symantec Endpoint Protection
e la funzione degli stessi.
Strumenti che si trovano nel file di installazione
Gli strumenti e la documentazione seguenti sono situati nella cartella \Tools del file di installazione di
Symantec Endpoint Protection
, scaricabile dalla pagina Gestione download di Broadcom.
ApacheReverseProxy (12.1.4 e versioni successive)
Questo strumento configura il server Web Apache in Symantec Endpoint Protection Manager per consentire ai client Mac e Linux di scaricare il contenuto di LiveUpdate mediante il server Web. Il server Web Apache interagisce con
Symantec Endpoint Protection Manager
per scaricare e memorizzare localmente nella cache il contenuto di LiveUpdate per client Mac e Linux ogni volta che vengono pubblicati nuovi contenuti.
Questo strumento è appropriato per le reti con un numero ridotto di client.
CentralQ (12.1.6 e versioni precedenti)
Symantec Endpoint Protection
può trasmettere automaticamente i pacchetti che contengono i file infetti e i relativi effetti secondari da una quarantena locale alla quarantena centrale. Quarantena centrale facilita la raccolta di informazioni. Questo strumento consente di acquisire un campione da un computer infetto senza accedere direttamente a quel computer.
Utilizzare Server di quarantena in un ambiente
Symantec Endpoint Protection
nei seguenti casi:
  • Per ricevere campioni di minacce sospette da client
    Symantec Endpoint Protection
    .
  • Per inviare automaticamente questi campioni a Security Response.
  • Per scaricare le definizioni per Rapid Release specifiche alle minacce sospette che sono state inviate solo a Server di quarantena. Queste definizioni non sono inviate ai client
    Symantec Endpoint Protection
    da cui la minaccia proviene.
CleanWipe
CleanWipe disinstalla il prodotto
Symantec Endpoint Protection
. Utilizzare CleanWipe solo come ultima risorsa dopo aver provato senza successo altri metodi di disinstallazione, come il Pannello di controllo di Windows.
È possibile trovare questo strumento anche nella seguente posizione (64 bit): C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager \Tools
ContentDistributionMonitor (SEPMMonitor)
Lo strumento ContentDistributionMonitor consente di gestire e monitorare più fornitori di aggiornamenti di gruppo (GUP) nell’ambiente in uso. Lo strumento visualizza una rappresentazione grafica dello stato di distribuzione dei contenuti e dell’integrità dei GUP.
In 12.1.6 e versioni precedenti,
ContentDistributionMonitor
era nominato
SEPMMonitor
. In 12.1.5 e versioni precedenti,
ContentDistributionMonitor
si trovava nella cartella di
NoSupport
.
Deception (14.0.1)
Deception è utilizzato per rilevare le attività nocive nell'endpoint tramite "raggiri". Il ragionamento di fondo di questo approccio è che l'aggressore è già penetrato oltre le prime difese della rete ed esegue una ricognizione dell'ambiente. L'aggressore cerca le risorse cruciali, come un controller di dominio o le credenziali del database.
DeviceInfo (14), DevViewer
DeviceInfo (per Mac, a partire dalla versione 14) e DevViewer (per Windows) consentono di acquisire il fornitore, il modello o il numero di serie di uno specifico dispositivo. Aggiungere queste informazioni all’elenco
Periferiche hardware
. È possibile quindi aggiungere l’ID del dispositivo a una politica di controllo delle periferiche per autorizzare o bloccare un dispositivo sui computer client.
Integrazione (WebServicesDocumentation)
A partire dalla versione 14, la cartella di integrazione è stata rinominata in
WebServicesDocumentation
.
ITAnalytics
Il software IT Analytics espande i report integrati in
Symantec Endpoint Protection
consentendo di creare report e query personalizzati. Questo strumento fornisce funzionalità di analisi multidimensionale e di reporting grafico dei dati contenuti nei database
Symantec Endpoint Protection Manager
. Questa funzionalità consente di analizzare i dati in autonomia, senza avere una conoscenza avanzata dei database o di strumenti di reporting di terzi.
JAWS
Il lettore dello schermo JAWS e un set di script rendono più agevole la lettura dei menu e delle finestre di dialogo di
Symantec Endpoint Protection
. JAWS è una tecnologia di supporto che garantisce la conformità con i requisiti di accessibilità al prodotto contenuti nella Sezione 508.
LiveUpdate Administrator (12.1.4 e versioni precedenti)
Symantec LiveUpdate Administrator è un'applicazione Web stand-alone indipendente da
Symantec Endpoint Protection
. LiveUpdate Administrator esegue il mirroring del contenuto dei server LiveUpdate pubblici e fornisce tale contenuto ai prodotti Symantec internamente mediante un server Web integrato.
LiveUpdate Administrator è un componente facoltativo per
Symantec Endpoint Protection
e non è richiesto per aggiornare i client
Symantec Endpoint Protection
. Per impostazione predefinita,
Symantec Endpoint Protection Manager
utilizza la tecnologia LiveUpdate anziché LiveUpdate Administrator per scaricare i contenuti direttamente dai server di LiveUpdate Symantec public.
È possibile che si preferisca utilizzare LiveUpdate Administrator in alcune circostanze. Ad esempio, nel caso si abbia bisogno di scaricare il contenuto in tantissimi client non Windows o in client in cui
Symantec Endpoint Protection Manager
non può scaricare il contenuto. Pertanto, è possibile installare un server di LiveUpdate Administrator e configurare
Symantec Endpoint Protection Manager
per scaricare dallo stesso.
Per scaricare LiveUpdate Administrator e la documentazione, consultare: Scarica LiveUpdate Administrator (LUA)
Nessun supporto > MoveClient
MoveClient
è uno script di Visual Basic che sposta i client da un gruppo di
Symantec Endpoint Protection Manager
a un altro gruppo in base a nome host, nome utente, indirizzo IP o sistema operativo del client. Consente inoltre di passare dalla modalità utente alla modalità computer o viceversa.
Nessun supporto > Qextract
Qextract
estrae e ripristina i file dalla quarantena locale del client. È possibile aver bisogno di questo strumento se il client mette in quarantena un file che in realtà è un falso positivo.
Nessun supporto > SEPprep (12.1.6 e versioni precedenti)
SEPprep è uno strumento non supportato che disinstalla automaticamente i prodotti antivirus dei concorrenti. SEPprep disinstalla inoltre i prodotti Symantec Norton
se si desidera effettuare la migrazione da Norton a
Symantec Endpoint Protection
.
È anche possibile integrare SEPprep in uno script che disinstalla il prodotto di terze parti e quindi avvia il programma di installazione di
Symantec Endpoint Protection
automaticamente e in modo invisibile.
Anziché SEPprep, utilizzare la Distribuzione guidata client per disinstallare i prodotti dei concorrenti. Nella scheda
Impostazioni di installazione client
della procedura guidata, fare clic su
Disinstalla automaticamente il software per la sicurezza di terze parti esistente
.
Per un elenco di prodotti disinstallati da Distribuzione guidata client, vedere:
SEPprep non disinstalla nessun prodotto Symantec. Tuttavia, a partire dalla versione 14, CleanWipe è integrato in Distribuzione guidata client per rimuovere altri prodotti Symantec, compreso il client
Symantec Endpoint Protection
.
OfflineImageScanner (12.1.6 e versioni precedenti)
Questo strumento cerca e rileva le minacce in dischi virtuali VMware non in linea (file .vmdk).
PushDeploymentWizard
Utilizzare Distribuzione remota guidata per distribuire il pacchetto di installazione dei client
Symantec Endpoint Protection
ai computer di destinazione. Distribuzione remota guidata ha la stessa funzione di Distribuzione guidata client in
Symantec Endpoint Protection Manager
. In genere lo si utilizza per la distribuzione a gruppi di computer o computer remoti più piccoli.
SEPIntegrationComponent (12.1.5 e versioni precedenti)
Il componente di integrazione di Symantec Endpoint (SEPIC) combina
Symantec Endpoint Protection
con altre soluzioni di Symantec Management Platform utilizzando una singola Symantec Management Console basata su Web. È possibile eseguire l’inventario dei computer, l’aggiornamento delle patch, la consegna del software e la distribuzione dei nuovi computer tramite SEPIC. È inoltre possibile eseguire il backup e il ripristino di sistemi e dati, gestire gli agenti DLP e i client
Symantec Endpoint Protection
.
SylinkDrop
Il file Sylink.xml include impostazioni di comunicazione tra il client Windows o Mac e un Symantec Endpoint Protection Manager. Se i client perdono la comunicazione con
Symantec Endpoint Protection Manager
, utilizzare lo strumento SylinkDrop per sostituire automaticamente il file Sylink.xml precedente con un nuovo file Sylink.xml nel computer client.
La sostituzione del file Sylink.xml comporta le seguenti attività:
  • Converte un client non gestito in un client gestito.
  • Migrazione o spostamento di client in un nuovo dominio o server di gestione.
  • Ripristino delle interruzioni di comunicazione con il client che non è possibile correggere sul server di gestione.
  • Spostamento di un client da un server a un altro server che non è un partner di replica.
  • Spostamento di un client da un dominio a un altro.
È possibile utilizzare questo strumento solo per i client Windows; lo strumento si trova nella seguente posizione (64 bit):
C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager \Tools
SymDiag (SymHelp)
A partire dalla versione 14, lo strumento di SymHelp è stato rinominato come Symantec Diagnostic (SymDiag).
SymDiag
è uno strumento diagnostico per vari prodotti che identifica i problemi comuni, raccoglie dati per la risoluzione dei problemi con l’assistenza del supporto e fornisce collegamenti ad altre risorse di supporto e di assistenza autonoma.
SymDiag
fornisce inoltre lo stato di gestione delle licenze e di manutenzione per alcuni prodotti Symantec nonché Threat Analysis Scan, che consente di trovare malware potenziale.
Virtualizzazione
Gli strumenti di virtualizzazione migliorano le prestazioni di scansione per i client installati in ambienti VDI.
  • SecurityVirtualAppliance (12.1.6 e versioni precedenti)
    Un dispositivo virtuale di protezione Symantec contiene Cache analisi condivisa con compatibilità vShield per le infrastrutture vShield VMware.
  • SharedInsightCache
    Lo strumento Shared Insight Cache consente di migliorare le prestazioni di scansione in ambienti virtualizzati ma non la scansione di file che un client
    Symantec Endpoint Protection
    ritiene puliti. Quando il client esegue la scansione di un file alla ricerca di minacce e determina che è pulito, il client invia le informazioni sul file a Shared Insight Cache.
    Quando un altro client successivamente esegue la scansione dello stesso file, quel client può interrogare Shared Insight Cache per determinare se il file è pulito. Se il file è pulito, il client non esegue la scansione di quel file. Se il file non è pulito, il client esegue la scansione del file alla ricerca di virus e invia i risultati a Shared Insight Cache.
    Shared Insight Cache è un servizio Web che viene eseguito indipendentemente dal client. È tuttavia necessario configurare
    Symantec Endpoint Protection
    per specificare la posizione di Shared Insight Cache e consentire ai client di comunicare con lo stesso. Shared Insight Cache comunica con i clienti mediante HTTP o HTTPS. La connessione HTTP del client viene mantenuta fino al termine della scansione.
  • Eccezione immagine virtuale
    Una soluzione tipica per aumentare le prestazioni e la sicurezza in un ambiente VDI consiste nel creare sessioni di computer virtuali utilizzando immagini base. Lo strumento Eccezione immagine virtuale di Symantec consente ai client
    Symantec Endpoint Protection
    di ignorare la scansione dei file di immagine base alla ricerca di minacce, riducendo il carico delle risorse sull'I/O del disco. Migliora inoltre le prestazioni del processo di scansione CPU nell'ambiente VDI.
WebServicesDocumentation (integrazione)
Nella versione 12.1.6 e precedenti, questo strumento si trova nella cartella di integrazione.
Symantec Endpoint Protection
include un set di API pubbliche sotto forma di servizi Web per fornire supporto per le applicazioni RMM (Remote Monitoring and Management). I servizi Web forniscono funzioni sul client e sul server di gestione. Tutte le chiamate ai servizi Web di
Symantec Endpoint Protection
sono autenticate utilizzando
OAuth
e consentono l'accesso solo ad amministratori di
Symantec Endpoint Protection
autorizzati. Gli sviluppatori utilizzano queste API per integrare la soluzione di sicurezza di rete di terze parti dell'azienda con il server di gestione e il client
Symantec Endpoint Protection
.
Fornisce supporto per la gestione e il monitoraggio remoti. La gestione remota è fornita per mezzo di API pubbliche sotto forma di servizi Web, che consentono di integrare la soluzione di terzi o la console personalizzata con funzionalità di base del server di gestione e del client. Il monitoraggio remoto è fornito per mezzo di chiavi di registrazione pubblicamente supportate e registrazione eventi di Windows.
I servizi Web per la gestione remota possono svolgere le seguenti attività:
  • Segnalare lo stato delle licenze e dei contenuti sul server di gestione mediante chiamate ai servizi Web, oltre a segnalare lo stato delle licenze al registro eventi di Windows.
  • Inviare comandi quali aggiornamento, aggiornamento e scansione e riavvio.
  • Gestire le politiche consegnate al client. Le politiche possono essere importate da un altro server di gestione ed essere assegnate a gruppi o posizioni in un altro server di gestione.
Strumenti installati con Symantec Endpoint Protection Manager
I seguenti strumenti sono installati con
Symantec Endpoint Protection Manager
nella seguente posizione predefinita:
C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
.
CollectLog
CollectLog.cmd comprime i registri di
Symantec Endpoint Protection Manager
in un file ZIP. È possibile inviare il file .zip al Supporto di Symantec o a un altro amministratore per la risoluzione dei problemi.
Questo strumento si trova nella seguente posizione (64 bit): C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Database Validator
Utilizzare dbvalidator.bat per consentire al Supporto di diagnosticare un problema con il database eseguito da
Symantec Endpoint Protection Manager
.
Questo strumento si trova nella seguente posizione (64 bit): C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption (14)
Per impostazione predefinita,
Symantec Endpoint Protection Manager
comunica con Microsoft SQL Server tramite un canale crittografato. Questo strumento consente di disattivare o attivare la crittografia TLS tra il server di gestione e la comunicazione di Microsoft SQL Server. A partire dalla versione 14, può essere utilizzato con le installazioni del server di gestione configurate per l'utilizzo del database Microsoft SQL Server.
Questo strumento è installato con Symantec Endpoint Protection Manager nella seguente posizione (64 bit): C:\Programmi (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Symantec Endpoint Protection Manager
Riferimento API (14)
Symantec Endpoint Protection Manager
include un insieme di REST API che si collegano ed eseguono operazioni di
Symantec Endpoint Protection Manager
da Endpoint Detection and Response (EDR). Le API vengono utilizzate se non si dispone dell’accesso a
Symantec Endpoint Protection Manager
. La documentazione si trova nelle seguenti posizioni:
  • sul server
    Symantec Endpoint Protection Manager
    al seguente indirizzo, dove
    SEPM-IP
    è l'indirizzo IP del server
    Symantec Endpoint Protection Manager
    :
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    L'indirizzo IP include IPv4 e IPv6. È necessario racchiudere gli indirizzi IPv6 fra parentesi quadre:
    http://[
    ServerSEPM
    ]:
    numero di porta