Przesyłanie
Symantec Endpoint Protection
danych telemetrycznych w celu poprawy bezpieczeństwa

Wprowadzenie
Telemetria, znana również jako wysyłanie lub gromadzenie danych, polega na gromadzeniu informacji, które pozwalają ulepszyć mechanizm ochrony sieci i sposób obsługi produktu. W szerokim ujęciu telemetria gromadzi następujące rodzaje informacji:
  • Środowisko systemowe, w tym dane sprzętu i oprogramowania
  • Błędy produktów i powiązane zdarzenia
  • Skuteczność konfiguracji produktu
Zgromadzone dane są wysyłane do firmy Symantec.
Dane telemetryczne firmy Symantec mogą zawierać zamaskowane elementy, które nie są bezpośrednio identyfikowalne. Firma Symantec nie potrzebuje wykorzystywać danych telemetrycznych do identyfikacji poszczególnych użytkowników i nie podejmuje takich prób.
Zastosowanie
Firma Symantec wykorzystuje te informacje do analizowania i ulepszania produktów dla klientów.
  • Dział pomocy technicznej firmy Symantec wykorzystuje telemetrię.
  • Firma Symantec wykorzystuje telemetrię do analizowania rodzajów istniejących zagrożeń oraz w ramach programu Risk Insight.
Włączanie zbierania danych telemetrycznych
Firma Symantec gromadzi dane telemetryczne zarówno z serwera zarządzania, jak i klienta
Symantec Endpoint Protection
.
Wyłączenie tej funkcji może być jednak konieczne w odpowiedzi na problemy z przepustowością sieci lub ograniczenia wysyłki danych z klientów. Aby monitorować obciążenia sieci i wyświetlić operacje wysyłek, można użyć dziennika operacji klienta.
  1. Włączanie lub wyłączanie zbierania danych telemetrycznych serwera
  2. Włącz lub wyłącz opcję zbierania danych serwera
    Przesyłaj dane zamaskowane do firmy Symantec, aby otrzymać udoskonalony mechanizm ochrony przed zagrożeniami
    .
    • W konsoli zarządzania wybierz kolejno
      Administrator > Serwery > Lokacja lokalna > Właściwości strony > Zbieranie danych
      i zmień opcję.
    Opcję zbierania danych serwera można również zmienić podczas instalacji programu
    program Symantec Endpoint Protection Manager
    .
  3. Włączanie lub wyłączanie wysyłki danych telemetrycznych klientów
  4. Włącz lub wyłącz opcję wysyłki danych telemetrycznych klientów
    Przesyłaj dane zamaskowane do firmy Symantec, aby otrzymać udoskonalony mechanizm ochrony przed zagrożeniami
    . Na poziomie grupy opcję można zmienić w konsoli zarządzania, natomiast w przypadku pojedynczego klienta można to zrobić z poziomu interfejsu użytkownika.
    • W konsoli zarządzania wybierz kolejno zakładki
      Klienty > Zasady
      . W okienku
      Ustawienia
      kliknij kolejno
      Ustawienia komunikacji zewnętrznej > Wysyłki
      .
    • W interfejsie użytkownika klienta przejdź do
      Zmień ustawienia > Zarządzanie klientami > Skonfiguruj ustawienia > Wysyłki
      .
Każdy klient w przedsiębiorstwie należy do pewnej grupy. Grupa ma własne zasady. W niektórych przypadkach grupa jest skonfigurowana tak, aby dziedziczyć zasady od grupy nadrzędnej. Jako że wysyłki klienta są zależne od ustawień dla całej grupy, należy zastosować odpowiednie ustawienia dla wszystkich grup.
W przypadku wyłączenia wysyłek i zablokowania ustawień użytkownik nie może skonfigurować klientów w grupie do wysyłek. Jeśli opcja zostanie włączona, wybrany zostanie rodzaj wysyłek, a ustawienia zostaną zablokowane, użytkownik nie będzie mógł wyłączyć wysyłek. W przypadku niezablokowania ustawień użytkownik może zmienić konfigurację, w tym rodzaje wysyłek w obszarze
Więcej opcji
.
Firma Symantec zaleca przesyłanie informacji dotyczących zagrożeń, aby umożliwić zapewnienie jak najlepszej ochrony przed zagrożeniami.
Często zadawane pytania
Jakiego rodzaju informacje gromadzi program
Symantec Endpoint Protection
?
Poniższa tabela informuje o rodzajach informacji gromadzonych przez program
Symantec Endpoint Protection
.
Więcej szczegółów o rodzajach informacji gromadzonych przez program
Symantec Endpoint Protection
Typ
Więcej szczegółów
Konfiguracja oprogramowania, szczegóły dotyczące produktu, stan instalacji
W tym zasady ochrony przed wirusami i programami typu spyware:
  • Ustawienia wykrywania Bloodhound
    Czy wykrywanie Bloodhound jest włączone oraz czy jego poziom jest agresywny, czy ustawiany automatycznie. (
    Zasada ochrony przed wirusami i programami typu spyware > Opcje globalne skanowania
    )
  • Ustawienia funkcji Download Insight
    Czy funkcja Download Insight jest włączona oraz jakie są ustawienia funkcji Download Insight, w tym poziom czułości i próg rozpowszechniania. (
    Ochrona przed wirusami i programami typu spyware > Ochrona pobierania
    )
  • Ustawienia funkcji Automatyczna ochrona
    Jakie zastąpienia skonfigurowano dla zagrożeń bezpieczeństwa lub oprogramowania destrukcyjnego.
    Zasada ochrony przed wirusami i programami typu spyware > Automatyczna ochrona
Obejmuje informacje o 20 najważniejszych grupach z największą liczbą klientów. W przypadku każdej grupy pierwsza lokalizacja, na ogół ta domyślna, jest wybierana do wysyłania informacji.
Na ogół są to następujące informacje:
  • Tryb klienta: czy klient wykorzystuje kontrolę serwera, kontrolę klienta, tryb mieszany lub nie odnaleziono danych
  • Tryb wypychania/pociągania: czy klient pobiera zasady lub żąda ich od serwera
  • Włączenie lub wyłączenie zapamiętywania aplikacji
  • Interwał pulsu w minutach
  • Włączenie lub wyłączenie przesyłania informacji o kluczowych zdarzeniach
  • Włączenie lub wyłączenie randomizacji pobierania; okno randomizacji w minutach
  • Czy klient wykorzystuje ostatnio używane ustawienia grupy lub tryb grupy
  • Czy klient wysyła informacje o wykryciu i jakiego rodzaju są to wysyłki, np. wykrywanie antywirusowe, reputacja plików czy technologia SONAR
  • Czy funkcja Integralność hosta jest włączona na kliencie
  • Liczba domen.
  • Łączna liczba grup we wszystkich domenach, podawana w przybliżeniu, np.
    <1500
    . Powyżej 3000 jest wysyłanych jako
    >/= 3000
  • Maksymalna głębokość grupy pośród wszystkich domen
  • Łączna liczba klientów
  • Liczba klientów w trybie komputera
  • Liczba klientów w trybie użytkownika
  • Liczba klientów w grupach jednostki organizacyjnej
Stan licencji, informacje na temat uprawnień do licencji, identyfikator licencji i użycie licencji
n/d
Nazwa i typ urządzenia, wersja systemu operacyjnego, język, lokalizacja, typ i wersję przeglądarki, adres IP oraz identyfikator urządzenia
n/d
Sprzęt komputerowy, oprogramowanie oraz spis aplikacji
Baza danych serwera wysyła zagregowane informacje o sprzęcie klienta. Informacje te obejmują nazwę procesora, pamięć RAM oraz wolne miejsce na dysku z instalacją programu
Symantec Endpoint Protection
.
Aplikacja oraz baza danych mają dostęp do konfiguracji, wymagań polityki oraz stanu zgodności polityki, a także wyjątków aplikacji i dzienników awarii przepływu pracy
Obejmuje liczbę reguł dla wpisów administracyjnego dziennika systemu. Wysyła również liczbę wpisów dziennika i liczbę dni do chwili wygaśnięcia tych wpisów dla następujących dzienników bazy danych:
  • Administracyjny dziennik systemu
  • Dziennik operacji klient-serwer
  • Dziennik inspekcji
  • Systemowy dziennik operacji serwera
Obejmuje awarie replikacji serwera, takie jak błąd replikacji lub niezgodność wersji baz danych.
Informacje powiązane z potencjalnymi zagrożeniami w tym: informacje o zdarzeniach bezpieczeństwa klienta, adres IP, identyfikator użytkownika, ścieżka, informacje o urządzeniu, takie jak nazwa i stan urządzenia, pobrane pliki, działania plików
n/d
Informacje dotyczące reputacji aplikacji i pliku, w tym pobierania, informacje na temat działania i wykonywania aplikacji oraz wysyłki dotyczące oprogramowania destrukcyjnego
Informacje o reputacji plików to informacje o plikach wykrytych na podstawie ich reputacji.
  • Wysyłki te tworzą bazę danych dotyczących reputacji Symantec Insight, używaną w celu ochrony komputerów przed nowymi i zmieniającymi się zagrożeniami.
    Informacje te obejmują skrót pliku, skrót IP klienta, adres IP pochodzenia pliku, rozmiar pliku oraz ocenę reputacji pliku.
Wyjątki aplikacji i dzienniki awarii przebiegu pracy
n/d
Informacje osobiste dostarczone podczas konfiguracji Usługi lub wszelkich późniejszych zgłoszeń
n/d
Informacje dotyczące licencjonowania, takie jak nazwa, wersja, język oraz dane dotyczące prawa do korzystania z licencji
n/d
Używanie technologii ochrony zawartych w oprogramowaniu SEP
Obejmuje informacje o 20 najważniejszych grupach z największą liczbą klientów. W przypadku każdej grupy pierwsza lokalizacja, na ogół ta domyślna, jest wybierana do wysyłania informacji.
Są to następujące informacje:
  • Liczba klientów, których określona technologia ochrony została włączona lub wyłączona.
  • Liczba i typ (np.
    Poddaj kwarantannie
    ,
    Tylko rejestruj
    ,
    Wyczyść
    , itp.) pierwszej i drugiej akcji dla wykrywania przez włączone technologie ochrony.
Program
program Symantec Endpoint Protection Manager
wysyła liczbę współdzielonych zasad każdego rodzaju istniejących w bazie danych, która jest równa liczbie domyślnych zasad zwiększonej o liczbę zasad niestandardowych. Są to następujące informacje:
  • Liczba domen
  • Liczba każdej z następujących współdzielonych zasad:
    • Zasady ochrony przed wirusami i programami typu spyware
    • Zasady zapory
    • Zasady systemu zapobiegania włamaniom
    • Zasady kontroli aplikacji i urządzeń
    • Zasady usługi LiveUpdate
    • Zasady integralności hosta
  • Liczba sygnatur niestandardowego systemu zapobiegania włamaniom
Informacje o konfiguracji oprogramowania SEP, takie jak: informacje o systemie operacyjnym, szczegóły konfiguracji sprzętu i oprogramowania, nazwę procesora, rozmiar pamięci, wersję oprogramowania i funkcje zainstalowanych pakietów;
Obejmuje informacje o serwerze, takie jak:
  • Liczba partnerów replikacji
  • Czy dane dzienników są duplikowane
  • Czy dane składników oprogramowania są replikowane
Obejmuje typ systemu operacyjnego Linux i wersje jądra, a także liczbę klientów z taką konfiguracją.
Obejmuje zagregowane informacje z bazy danych programu
program Symantec Endpoint Protection Manager
o stanie operacyjnym klienta
Symantec Endpoint Protection
, w tym następujące liczby:
  • Łączna liczba klientów
  • Klienty w rozmiarze zmniejszonym
  • Klienty standardowe
  • Klienty z obsługą rozszerzonego filtru zapisu (EWF)
  • Klienty z obsługą filtru zapisu opartego na plikach (FBWF)
  • Klienty z obsługą ujednoliconego filtru zapisu (EWF)
  • Klienty warstwy hypervisor firmy Microsoft
  • Klienty warstwy hypervisor firmy VMware
  • Klienty warstwy hypervisor firmy Citrix
  • Nieznane klienty warstwy hypervisor
Wysyła przybliżoną liczbę wersji usługi LiveUpdate, np.
<30
.
Informacje o potencjalnych zagrożeniach bezpieczeństwa oraz przenośne pliki wykonywalne i pliki z wykonywalną zawartością, zidentyfikowane jako złośliwe oprogramowanie, a które mogą zawierać informacje osobiste, takie jak informacje o działaniach podjętych przez takie pliki w czasie instalacji
  • Zagrożenia wykryte przez program antywirusowy (tylko w systemach Windows i Mac)
    Informacje dotyczące wykryć wirusów i programów typu spyware. Rodzaje informacji, jakie wysyłają klienty, to m.in. skrót pliku, skrót IP klienta, sygnatury oprogramowania antywirusowego i adres URL atakującego.
  • Zagrożenia wykryte przez zaawansowany mechanizm heurystyczny ochrony przed wirusami (dotyczy tylko systemu Windows)
    Informacje o potencjalnych zagrożeniach wykrytych przez funkcję Bloodhound i inne skanowania heurystyczne w poszukiwaniu wirusów i programów typu spyware. Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje o tych wykryciach są stosowane w analizach statystycznych.
  • Zagrożenia wykryte przez funkcję SONAR (dotyczy tylko systemu Windows)
    Informacje o zagrożeniach wykrytych przez funkcję SONAR, takich jak wykryte zagrożenia wysokiego lub niskiego stopnia, zdarzenia zmiany w systemie i podejrzany sposób działania zaufanych aplikacji.
Obejmuje również dane procesów, takie jak:
  • Wykrycia heurystyczne funkcji SONAR (dotyczy tylko systemu Windows) są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje te są stosowane w analizach statystycznych. Przesyłane przez klienty informacje na ogół obejmują także atrybuty wykrycia, takie jak:
    • Ukryte procesy
    • Procesy o pomniejszym znaczeniu
    • Rejestrowanie naciśnięć klawiszy lub zrzutów ekranu
    • Wyłączanie produktów zabezpieczających
    • Data i godzina wykrycia
Informacje powiązane z aktywnością sieci w tym odwiedzanych adresach URL oraz zbiorcze informacje dotyczące połączeń sieciowych (np. nazwa hosta, adres IP i statystyczne informacje o połączeniu sieciowym)
Obejmuje następujące elementy:
  • Wykrycia w sieci (dotyczy tylko systemów Windows i Mac)
    Informacje o wykryciach mechanizmu systemu zapobiegania włamaniom. Przesyłane przez klienty informacje obejmują skrót IP klienta, adres URL atakującego, godzinę wykrycia, adres IP atakującego, sygnaturę systemu zapobiegania włamaniom i nie tylko.
  • Wykrycia w przeglądarce (dotyczy tylko systemu Windows)
    Wszystkie adresy URL wpisane w pasku adresu przeglądarki, kliknięte lub otwarte w celu pobrania plików.
    Klienty przesyłają również następujące metadane:
    • Każde połączenie sieciowe, w tym adresy IP, numery portów, nazwy hosta, aplikacje inicjujące połączenia, protokoły, czas połączenia, liczba bajtów przesłanych na połączenie.
    • Wszystkie transfery plików między urządzeniami, w tym identyfikator urządzenia, godzina transferu, protokół, atrybuty plików (typ, nazwa, ścieżka, rozmiar) oraz klucz SHA-256 składników oprogramowania.
Informacje o stanie dotyczące instalacji i działania oprogramowania SEP, które mogą zawierać informacje osobiste tylko w przypadku, gdy takie informacje znajdują się w nazwie pliku lub folderu napotkanego przez oprogramowanie SEP w czasie instalacji lub błędu i wskazują firmie Symantec, czy instalacja oprogramowania SEP została prawidłowo ukończona, jak również czy oprogramowanie SEP napotkało błąd
n/d
Ogólne informacje zamaskowane, informacje statystyczne i informacje o stanie
n/d
Skąd wiadomo, czy klienty programu
Symantec Endpoint Protection
wysyłają dane telemetryczne?
Aby wyświetlić operacje wysyłek, można użyć dziennika operacji klienta. Jeśli dziennik nie zawiera bieżących operacji wysyłek, należy:
  • Upewnić się, że włączono wysyłki klienta.
  • Sprawdzić wykluczenia dla serwera proxy (o ile jest używany). Zobacz Czy można określić serwer proxy używany do wysyłek klienta?.
  • Sprawdzić łączność z serwerami firmy Symantec. Szczegóły zawiera artykuł bazy wiedzy: article.TECH163042.html.
  • Należy zaznaczyć, aby zapewnić klientom aktualne składniki oprogramowania z usługi LiveUpdate.
    Program Symantec Endpoint Protection wykorzystuje plik danych kontrolnych wysyłki (SCD, Submission Control Data). Firma Symantec publikuje własny plik SCD i uwzględnia go w pakiecie usługi LiveUpdate. Każdy produkt firmy Symantec ma własny plik SCD. Plik SCD kontroluje następujące ustawienia:
    • Maksymalną dzienną liczbę wysyłek od klienta
    • Czas oczekiwania przed ponowieniem próby wysyłki przez oprogramowanie klienckie
    • Liczbę ponowień w przypadku nieudanej próby wysyłki
    • Który adres IP serwera Symantec Security Response odbiera wysyłki
Jeżeli plik SCD stanie się nieaktualny, wysyłki klientów zostaną zatrzymane. Plik SCD jest uznawany za nieaktualny, jeżeli komputer kliencki nie odebrał składników pobieranych za pomocą usługi LiveUpdate w ciągu ostatnich 7 dni. Klient zaprzestaje wysyłek po 14 dniach.
Klienty, na których zatrzymano wysyłki, nie zbierają informacji o wysyłkach i nie przesyłają ich w późniejszym czasie. Po wznowieniu wysyłek z klienta przesyłane są tylko informacje o zdarzeniach, które wystąpiły po tym wznowieniu.
Czy można zrezygnować z wysyłek danych telemetrycznych?
Tak, można z tego zrezygnować. Można zmodyfikować opcje zbierania danych serwera lub wysyłki klienta, korzystając z interfejsu serwera i klienta. Firma Symantec zaleca jednak pozostawienie wysyłek telemetrycznych na wysokim poziomie w celu ulepszenia ochrony sieci.
Wydajność, wymiarowanie i wdrażanie
Jaką część przepustowości wykorzystuje telemetria?
Program Symantec Endpoint Protection ogranicza przepustowość wysyłek z komputerów klienckich, aby zminimalizować ich wpływ na sieć. Program Symantec Endpoint Protection ogranicza przepustowość wysyłek na następujące sposoby:
  • Komputery klienckie wysyłają próbki tylko podczas bezczynności komputera. Wysyłka podczas bezczynności zapewnia dodatkową losowość ruchu wysyłek w sieci.
  • Komputery klienckie wysyłają tylko próbki niepowtarzalnych plików. Jeśli firma Symantec zna już plik, komputer kliencki nie wysyła informacji.
Rozmiar danych zawartych w wysyłkach jest bardzo mały. Na przykład wysyłki oprogramowania antywirusowego na ogół nie przekraczają 4 kB, zaś wysyłane dane systemu zapobiegania włamaniom mają wielkość około 32 kB.
Czy można określić serwer proxy używany do wysyłek klienta?
Możliwe jest skonfigurowanie programu
program Symantec Endpoint Protection Manager
do używania serwera proxy w celu wysyłek i innej komunikacji zewnętrznej klientów z systemem Windows. Jeśli komputery klienckie używają serwera proxy z uwierzytelnianiem, konieczne może być określenie wyjątków dla adresów URL firmy Symantec w konfiguracji serwera proxy. Wyjątki umożliwiają komputerom klienckim komunikację z usługą Symantec Insight i innymi ważnymi stronami firmy Symantec.
Więcej informacji na temat serwera proxy:
Więcej informacji o wykluczeniach adresów URL firmy Symantec można znaleźć tutaj: