보안 향상을 위해
Symantec Endpoint Protection
원격 측정 정보 제출

소개
제출 또는 데이터 수집이라고도 하는 원격 측정은 네트워크 보안 상태를 개선하고 제품 환경을 향상시키기 위해 정보를 수집하는 프로세스입니다. 원격 측정은 다음 유형의 정보를 폭넓게 수집합니다.
  • 시스템 환경(하드웨어 및 소프트웨어 상세 내역 포함)
  • 제품 오류 및 관련 이벤트
  • 제품 구성의 효과
수집된 데이터는 시만텍으로 전송됩니다.
시만텍 원격 측정에서 수집하는 데이터에는 직접적으로 식별할 수 없는 익명 요소가 포함될 수 있습니다. 시만텍은 개별 사용자를 식별하기 위해 원격 측정 데이터를 사용할 필요성도 의도도 없습니다.
용도
시만텍은 수집된 정보를 사용하여 고객의 제품 환경을 분석하고 개선합니다.
  • 시만텍 지원 서비스는 원격 측정을 사용합니다.
  • 시만텍은 Risk Insight 프로그램의 일부로 원격 측정을 사용하여 위협 요소 환경에 대한 정보를 얻습니다.
원격 측정 수집 실행
시만텍은 관리 서버와
Symantec Endpoint Protection
클라이언트 모두로부터 원격 측정 데이터를 수집합니다.
그러나 네트워크 대역폭 문제를 방지하거나 클라이언트 데이터 유출을 제한하기 위해 이 원격 측정 제출 기능을 실행 중지할 수 있습니다. 클라이언트 작업 로그에서 제출 작업을 보고 대역폭 사용량을 모니터링할 수 있습니다.
  1. 관리 서버 원격 측정 수집을 실행하거나 실행 중지하려면 다음과 같이 하십시오.
  2. 서버 데이터 수집을 위한
    개선된 위협 요소 차단 인텔리전스를 수신할 수 있도록 익명 데이터를 시만텍에 보내기
    옵션을 실행 또는 실행 중지하십시오.
    • 관리 콘솔에서
      관리자 > 서버 > 로컬 사이트 > 사이트 속성 > 데이터 수집
      으로 이동하고 옵션을 변경하십시오.
    Symantec Endpoint Protection Manager
    의 설치 중 서버 데이터 수집 옵션을 변경할 수도 있습니다.
  3. 클라이언트 원격 측정 제출을 실행하거나 실행 중지하려면 다음과 같이 하십시오.
  4. 클라이언트 제출을 위한
    개선된 위협 요소 차단 인텔리전스를 수신할 수 있도록 익명 데이터를 시만텍에 보내기
    옵션을 실행 또는 실행 중지하십시오. 관리 콘솔에서 그룹 수준으로 또는 클라이언트 사용자 인터페이스에서 단일 클라이언트에 대해 옵션을 변경할 수 있습니다.
    • 관리 콘솔에서
      클라이언트 > 정책
      탭으로 이동하십시오.
      설정
      창에서
      외부 통신 설정 > 제출
      을 선택하십시오.
    • 클라이언트 사용자 인터페이스에서
      설정 변경 > 클리이언트 관리 > 구성 설정 > 제출
      로 이동하십시오.
기업의 모든 클라이언트는 그룹에 속합니다. 그룹에는 자체 정책이 있습니다. 상위 그룹의 정책을 상속하도록 그룹이 구성되는 경우도 있습니다. 클라이언트 제출은 그룹 전체 설정이므로 필요한 경우 이 설정이 모든 그룹에 적용되는지 확인하십시오.
제출을 실행 중지하고 설정을 잠그면 사용자가 정보를 전송하도록 그룹의 클라이언트를 구성할 수 없습니다. 이 옵션을 실행하고, 제출 유형을 선택하고 설정을 잠그면 사용자가 제출을 실행 중지할 수 없습니다. 설정을 잠그지 않으면 사용자가
추가 옵션
에서 제출 유형을 변경하는 것을 포함하여 구성을 원하는 대로 변경할 수 있습니다.
시만텍이 최적의 위협 요소 차단을 제공하는 데 도움이 되도록 위협 요소 정보를 제출하는 것이 좋습니다.
FAQ
Symantec Endpoint Protection
에서는 어떤 유형의 정보를 수집합니까?
다음 테이블에서는
Symantec Endpoint Protection
이(가) 수집하는 정보의 유형에 대해 설명합니다.
Symantec Endpoint Protection
이(가) 수집하는 정보 유형에 대한 상세 내역
유형
상세 내역
소프트웨어 구성, 제품 상세 내역 및 설치 상태
바이러스 및 스파이웨어 차단 정책에 대한 정보가 포함됩니다.
  • Bloodhound 설정
    Bloodhound의 실행 상태(실행 또는 실행 중지)와 수준(자동 또는 통합). (
    바이러스 및 스파이웨어 차단 정책 > 글로벌 검사 옵션
    )
  • 다운로드 인사이트 설정
    다운로드 인사이트의 실행 상태(실행 또는 실행 중지)와 다운로드 인사이트의 설정(탐지 수준 및 사용 정도 한계값 포함). (
    바이러스 및 스파이웨어 차단 정책 > 다운로드 보호
    )
  • 자동 보호 설정
    멀웨어 또는 보안 위험 요소에 구성된 재정의 작업. (
    바이러스 및 스파이웨어 차단 정책 > 자동 보호
    )
클라이언트 수가 가장 많은 상위 20개 그룹에 대한 정보가 포함됩니다. 각 그룹의 첫 번째 위치(일반적으로 기본 위치)에서 정보를 보내도록 선택됩니다.
일반적으로 다음과 같은 정보가 포함됩니다.
  • 클라이언트 모드: 클라이언트가 서버 제어, 클라이언트 제어, 혼합 모드를 사용하는지, 데이터를 찾을 수 없는지 여부
  • 푸시/풀 모드: 클라이언트가 서버에서 정책을 가져오는지, 요청하는지 여부
  • 응용 프로그램 학습 실행 또는 실행 중지
  • 하트비트 간격(분)
  • 중요 이벤트 업로드 실행 또는 실행 중지
  • 다운로드 무작위 수행 실행 또는 실행 중지, 무작위 수행 기간(분)
  • 클라이언트가 최근에 사용된 그룹 설정을 사용하는지, 최근에 사용된 그룹 모드를 사용하는지 여부
  • 클라이언트가 탐지 제출을 전송하는지 여부와 전송하는 유형(바이러스 차단 탐지, 파일 평판 또는 SONAR)
  • 클라이언트에서 호스트 무결성이 실행되는지 여부
  • 도메인 수
  • 모든 도메인의 총 그룹 수(
    <1500
    과 같이 근사치로 표시됨. 3,000을 초과하는 경우
    >/= 3000
    으로 전송됨)
  • 모든 도메인에 있는 그룹의 최대 수준
  • 전체 클라이언트 수
  • 시스템 모드에 있는 클라이언트 수
  • 사용자 모드에 있는 클라이언트 수
  • OU(조직 단위) 그룹에 있는 클라이언트 수
라이센스 상태, 라이센스 자격 정보, 라이센스 ID 및 라이센스 사용량
해당 없음
장치 이름, 유형, OS 버전, 언어, 위치, 브라우저 유형 및 버전, IP 주소 및 ID
해당 없음
장치 하드웨어, 소프트웨어 및 응용 프로그램 인벤토리
서버 데이터베이스가 클라이언트 하드웨어에 대한 집계 정보를 전송합니다. 정보에는
Symantec Endpoint Protection
설치 디스크의 CPU, RAM 및 여유 디스크 공간이 포함됩니다.
응용 프로그램 및 데이터베이스 액세스 구성, 정책 요구 사항 및 정책 컴플라이언스 상태 및 응용 프로그램 예외 및 워크플로 실패 로그
시스템 관리 로그 항목에 대한 규칙 수가 포함됩니다. 또한 다음 데이터베이스 로그에 대한 로그 항목 수와 로그 항목이 만료되기까지 남은 일 수도 전송됩니다.
  • 시스템 관리 로그
  • 클라이언트-서버 작업 로그
  • 감사 로그
  • 시스템 서버 작업 로그
일치하지 않는 데이터베이스 버전 또는 복제 실패와 같은 서버 복제 실패 이벤트가 포함됩니다.
클라이언트 보안 이벤트 정보, IP 주소, 사용자 ID, 경로, 장치 정보(장치 이름 및 상태), 다운로드된 파일, 파일 작업 등 가능한 위협 요소에 연결된 정보
해당 없음
파일 다운로드, 작업 및 실행 중인 응용 프로그램 정보 및 멀웨어 제출과 같은 파일 및 응용 프로그램 평판 정보
파일 평판 데이터는 평판에 따라 탐지되는 파일에 대한 정보입니다.
  • 이러한 제출은 Symantec Insight 평판 데이터베이스에 기여하며 새로운 위험 요소와 최근 위험 요소로부터 사용자 시스템을 보호하는 데 도움이 됩니다.
    정보에는 파일 해시, 클라이언트 IP 해시, 파일을 다운로드한 IP 주소, 파일 크기 및 파일의 평판 점수가 포함됩니다.
응용 프로그램 예외 및 워크플로 실패 로그
해당 없음
서비스 구성 중 또는 이후의 서비스 호출 중에 제공된 개인 정보
해당 없음
이름, 버전, 언어 및 라이센싱 자격 데이터를 포함하는 라이센싱 정보
해당 없음
SEP에 포함된 보호 기술의 사용
클라이언트 수가 가장 많은 상위 20개 그룹에 대한 정보가 포함됩니다. 각 그룹의 첫 번째 위치(일반적으로 기본 위치)에서 정보를 보내도록 선택됩니다.
다음과 같은 정보가 포함됩니다.
  • 특정 보호 기술이 실행되거나 실행 중지된 클라이언트의 수.
  • 탐지를 위한 첫 번째 작업과 두 번째 작업의 수 및 유형(예:
    검역소에 보관
    ,
    로그만
    ,
    제거
    등). 실행된 보호 기술별로 전송됨.
Symantec Endpoint Protection Manager
은(는) 데이터베이스에 있는 각 유형에 대한 공유 정책의 수를 전송합니다. 이는 기본 정책 수에 사용자 정의 정책 수를 더한 수와 같습니다. 다음과 같은 정보가 포함됩니다.
  • 도메인 수
  • 다음과 같은 각 공유 정책의 수:
    • 바이러스 및 스파이웨어 차단 정책
    • 방화벽 정책
    • 침입 차단 정책
    • 응용 프로그램 및 장치 제어 정책
    • LiveUpdate 정책
    • 호스트 무결성 정책
  • 사용자 정의 침입 차단 시그니처 수
SEP의 구성을 설명하는 정보(예: 운영 체제 정보, 구체적인 서버 하드웨어 및 소프트웨어 구성 정보, CPU 이름, 메모리 크기, 소프트웨어 버전, 설치된 패키지의 기능)
다음과 같은 서버 정보:
  • 복제 파트너 수
  • 로그 데이터의 복제 여부
  • 컨텐츠 데이터의 복제 여부
Linux 운영 체제 유형 및 커널 버전과 이 구성이 포함된 클라이언트 수가 포함됩니다.
Symantec Endpoint Protection Manager
클라이언트 작동 상태에 대한
Symantec Endpoint Protection
데이터베이스의 집계 정보가 포함되며 다음에 대한 개수 정보도 포함됩니다.
  • 전체 클라이언트
  • 축소 크기 클라이언트
  • 표준 크기 클라이언트
  • EWF 실행 클라이언트
  • FBWF 실행 클라이언트
  • UWF 실행 클라이언트
  • Microsoft 하이퍼바이저 클라이언트
  • VMware 하이퍼바이저 클라이언트
  • Citrix 하이퍼바이저 클라이언트
  • 알 수 없는 하이퍼바이저 클라이언트
LiveUpdate 리비전의 대략적인 수(예:
<30
)를 전송합니다.
잠재적 보안 위험 요소, 이식 가능한 실행 파일 및 멀웨어로 식별된 실행 가능 컨텐츠가 있는 파일(개인 정보가 포함될 수 있음)에 대한 정보(설치 시 이러한 파일에 의해 수행된 작업에 대한 정보 포함)
  • 바이러스 차단 탐지(Windows 및 Mac만 해당)
    바이러스 및 스파이웨어 검사 탐지에 대한 정보. 클라이언트가 제출하는 정보 유형에는 파일 해시, 클라이언트 IP 해시, 바이러스 차단 시그니처, 공격자 URL 등이 포함됩니다.
  • 바이러스 차단 고급 지능형 탐지(Windows만 해당)
    Bloodhound와 다른 바이러스 및 스파이웨어 검사 지능형 기능이 탐지하는 잠재적인 위협 요소에 대한 정보. 이러한 탐지 항목은 위험 요소 로그에 나타나지 않는 자동 탐지 항목입니다. 이러한 탐지 관련 정보는 통계 분석에 사용됩니다.
  • SONAR 탐지(Windows만 해당)
    SONAR에서 탐지한 높은 또는 낮은 위험 요소 탐지 항목, 시스템 변경 이벤트 및 신뢰할 수 있는 응용 프로그램의 의심스러운 동작과 같은 위협 요소 관련 정보.
다음과 같은 프로세스 데이터도 포함됩니다.
  • SONAR 휴리스틱 탐지(Windows만 해당)는 자동 탐지이며 위험 요소 로그에 나타나지 않습니다. 이 정보는 통계 분석에 사용됩니다. 클라이언트가 제출하는 정보 유형에는 일반적으로 다음과 같은 탐지 속성이 포함됩니다.
    • 숨겨진 프로세스
    • 리소스 사용량이 적은 프로세스
    • 키스트로크 기록 또는 화면 캡처 동작
    • 보안 제품의 실행 중지 동작
    • 탐지 날짜 및 타임스탬프
액세스한 URL 및 네트워크 연결에 대한 집계 정보(예: 호스트 이름, IP 주소 및 네트워크 연결에 대한 통계 정보) 등 네트워크 활동과 관련된 정보
다음이 포함됩니다.
  • 네트워크 탐지 이벤트(Windows 및 Mac만 해당)
    IPS 엔진별 탐지 정보(침입 차단). 클라이언트가 제출하는 정보에는 클라이언트 IP 해시, 공격자 URL, 탐지 타임스탬프, 공격자 IP 주소, IPS 시그니처 등이 포함됩니다.
  • 브라우저 탐지 이벤트(Windows만 해당)
    다운로드를 위해 브라우저 주소 표시줄에 입력하거나 누르거나 연결한 모든 URL.
    다음에 대한 메타데이터도 전송됩니다.
    • 각 네트워크 연결(IP 주소, 포트 번호, 호스트 이름, 연결을 시작한 응용 프로그램, 프로토콜, 연결 이름, 연결당 바이트 수 포함)
    • 장치 간 모든 파일 전송 작업(장치 ID, 전송 시간, 프로토콜, 파일 속성(유형, 이름, 경로, 크기) 및 컨텐츠의 SHA-256 포함)
설치 또는 오류 발생 시 SEP에서 발견된 이름 또는 파일 폴더에 개인 정보가 포함된 경우에만 그와 같은 정보를 포함할 수 있고 시만텍에 SEP의 설치가 성공적으로 완료되었는지 여부와 SEP에서 오류가 발생했는지 여부를 알려 주는 SEP의 설치 및 작동 관련 상태 정보
해당 없음
익명 사용자에 대한 일반, 통계 및 상태 정보
해당 없음
Symantec Endpoint Protection
클라이언트에서 원격 측정 정보가 전송되는지 여부를 어떻게 알 수 있습니까?
클라이언트 작업 로그에서 제출 이벤트를 보십시오. 로그에 현재 제출 이벤트가 포함되어 있지 않다면 다음을 확인하십시오.
  • 클라이언트 제출이 실행되고 있는지 확인합니다.
  • 프록시 서버를 사용하는 경우 프록시 예외를 확인합니다. 클라이언트 제출에 대한 프록시 서버를 지정할 수 있습니까?를 참조하십시오.
  • 시만텍 서버에 대한 연결을 확인합니다. 기술 자료 문서(article.TECH163042.html영문)를 참조하십시오.
  • 클라이언트에 최신 LiveUpdate 컨텐츠가 있는지 확인합니다.
    Symantec Endpoint Protection은 SCD(제출 제어 데이터) 파일을 사용합니다. 시만텍은 SCD 파일을 게시하고 이 파일을 LiveUpdate 패키지에 포함합니다. 모든 시만텍 제품에는 고유의 SCD 파일이 있습니다. SCD 파일은 다음과 같은 설정을 제어합니다.
    • 클라이언트가 하루에 제출할 수 있는 제출 횟수
    • 클라이언트 소프트웨어가 제출을 재시도하기 전에 대기할 시간
    • 실패한 제출을 재시도하는 횟수
    • 제출을 수신하는 시만텍 보안 연구소 서버의 IP 주소
SCD 파일이 만료된 경우에는 클라이언트에서 제출 전송을 중지합니다. 시만텍은 클라이언트 시스템이 LiveUpdate 컨텐츠를 7일 동안 검색하지 않으면 SCD 파일이 만료된 것으로 간주합니다. 클라이언트가 14일 후 제출 전송을 중지합니다.
클라이언트가 제출 전송을 중지하면 클라이언트 소프트웨어에서 제출 정보를 수집하여 나중에 전송하지 않습니다. 클라이언트가 제출을 다시 전송하기 시작한 경우에는 전송을 다시 시작한 후에 발생한 이벤트 정보만 전송합니다.
원격 측정 제출을 옵트아웃할 수 있습니까?
예. 옵트아웃할 수 있습니다. 클라이언트 및 서버 사용자 인터페이스에서 서버 데이터 수집 또는 클라이언트 제출 옵션을 수정할 수 있습니다. 그러나 네트워크 보안 향상을 위해 가능한 많은 원격 측정을 실행하는 것이 좋습니다.
성능, 크기 조정 및 배포
원격 측정에 소모되는 대역폭은 얼마입니까?
Symantec Endpoint Protection은 네트워크에 미치는 영향을 최소화하기 위해 클라이언트 시스템 제출을 조절합니다. Symantec Endpoint Protection은 다음과 같은 방법으로 제출을 조절합니다.
  • 클라이언트 시스템이 시스템이 유휴 상태일 때만 샘플을 전송합니다. 이러한 유휴 제출은 네트워크에서 제출 트래픽이 무작위로 수행되도록 하는 데 도움이 됩니다.
  • 클라이언트 시스템이 고유 파일에 대한 샘플만 전송합니다. 시만텍에서 이미 알고 있는 파일인 경우, 클라이언트 시스템이 정보를 전송하지 않습니다.
이러한 제출의 데이터 크기는 무시할 수 있을 정도입니다. 예를 들어 바이러스 차단 제출은 일반적으로 4KB를 초과하지 않으며 마찬가지로 IPS 제출의 크기는 약 32KB입니다.
클라이언트 제출에 대한 프록시 서버를 지정할 수 있습니까?
Windows 클라이언트가 사용하는 제출 및 기타 외부 통신용 프록시 서버를 사용하도록
Symantec Endpoint Protection Manager
을(를) 구성할 수 있습니다. 클라이언트 시스템이 프록시를 인증에 사용하는 경우 프록시 서버 구성에서 시만텍 URL에 대한 예외를 지정해야 할 수 있습니다. 예외는 클라이언트 시스템이 Symantec Insight 및 기타 중요한 시만텍 사이트와 통신하도록 허용합니다.
프록시에 대한 자세한 내용은 다음을 참조하십시오.
시만텍 URL의 예외에 대한 자세한 내용은 다음을 참조하십시오.