Отправка телеметрии
Symantec Endpoint Protection
для повышения безопасности

Введение
Телеметрия, также известная как представления или сбор данных, собирает информацию для улучшения состояния безопасности сети и работы с продуктом. Телеметрия собирает следующие виды информации:
  • Сведения о системной среде, аппаратном обеспечении и ПО
  • Ошибки продукта и связанные с ними события
  • Эффективность конфигурации продукта
Собранные данные отправляются в Symantec.
Данные, собираемые телеметрией Symantec, могут содержать псевдонимизированные элементы, которые не являются личными сведениями. Symantec не требует и не использует данные телеметрии для идентификации какого-либо отдельного пользователя.
Назначение
Symantec использует эту информацию для анализа и улучшения продукта для клиентов.
  • Служба поддержки Symantec использует телеметрию.
  • Symantec использует телеметрию для понимания масштаба угроз, а также в рамках программы Risk Insight.
Включение сбора телеметрии
Symantec собирает телеметрические данные как с сервера управления, так и с клиента
Symantec Endpoint Protection
.
Может возникнуть необходимость в отключении представлений телеметрии из-за проблем с пропускной способностью сети или ограничений для данных, выходящих с клиента. Для просмотра активности представлений и контроля использования пропускной способности можно проверить журнал Операции клиента.
  1. Как включить или выключить сбор телеметрии сервера управления
  2. Установите или снимите флажок
    Отправить псевдонимные данные в Symantec, чтобы получить расширенный анализ защиты от угроз для сбора данных сервера
    .
    • В консоли управления перейдите в раздел
      Администрирование > Серверы > Локальный сайт > Свойства сайта > Сбор данных
      и измените параметр.
    Во время установки
    Symantec Endpoint Protection Manager
    также можно изменить параметр сбора данных сервера.
  3. Как включить или выключить сбор телеметрии клиента
  4. Установите или снимите флажок
    Отправить псевдонимные данные в Symantec, чтобы получить расширенный анализ защиты от угроз
    для представлений клиента. Вы можете изменить параметр на уровне группы в консоли управления или для отдельного клиента в пользовательском интерфейсе клиента.
    • В консоли управления перейдите на вкладку
      Клиенты > Политики
      . На панели
      Параметры
      выберите
      Параметры внешних соединений > Представления
      .
    • В пользовательском интерфейсе клиента выберите
      Изменить параметры > Управление клиентом > Настроить параметры > Представления
      .
Каждый клиент корпоративной среды принадлежит к группе. Группа имеет собственную политику. В некоторых случаях группа настроена на наследование политики из родительской группы. Так как клиентские представления являются общим для группы параметром, применяйте настройки по мере необходимости для всех групп.
Если выключить представления и заблокировать параметр, пользователь не сможет настроить клиенты в группе для отправки представлений. Если включить параметр, выбрать типы представления и заблокировать параметр, пользователь не сможет выключить представления. Если не заблокировать этот параметр, пользователь сможет изменить конфигурацию, включая типы представления в разделе
Дополнительные параметры
.
Рекомендуем вам отправлять информацию об угрозах в компанию Symantec, это поможет нам более эффективно бороться с ними.
Часто задаваемые вопросы
Какие типы информации собирает
Symantec Endpoint Protection
?
Подробнее о типах информации, которую собирает
Symantec Endpoint Protection
, см. в таблице ниже.
Подробнее о типах информации, которую собирает
Symantec Endpoint Protection
Тип
Дополнительно
Конфигурация программного обеспечения, сведения о продукте и состояние установки
Включает информацию о политиках защиты от вирусов и программ-шпионов:
  • Параметры Bloodhound
    Определяют, включен ли Bloodhound и является ли уровень автоматическим или агрессивным. (
    Политика защиты от вирусов и программ-шпионов > Глобальные параметры сканирования
    )
  • Параметры Download Insight
    Определяют, включен ли Download Insight и используются ли такие параметры Download Insight, как уровень чувствительности и порог распространенности. (
    Политика защиты от вирусов и программ-шпионов > Защита загрузки
    )
  • Параметры автоматической защиты
    Определяют, какие переопределения настроены на вредоносные программы или угрозы безопасности. (
    Политика защиты от вирусов и программ-шпионов > Автоматическая защита
    )
Включает в себя информацию о 20 основных группах с наибольшим количеством клиентов. Для каждой группы первое расположение (как правило, расположение по умолчанию) выбирается для передачи информации.
Обычно такая информация включает в себя следующие сведения:
  • Режим клиента: сведения о том, использует ли клиент управление сервером, управление клиентом или смешанный режим, а также сведения об отсутствии данных
  • Режим принудительной отправки или режим запроса: сведения о том, получает или запрашивает клиент политику с сервера
  • Включение или отключение обнаружения приложений
  • Период контрольного сигнала в минутах
  • Включение или отключение отправки критических событий
  • Включение или выключение случайного выбора при загрузке; временной интервал случайного выбора в минутах
  • Использует ли клиент последние параметры группы или последний режим группы
  • Отправляет ли клиент представления обнаружения и его тип, например обнаружения с помощью антивирусной программы, файла репутации или SONAR
  • Включена ли целостность хоста в клиенте
  • Количество доменов.
  • Общее количество групп во всех доменах, которое отображается в приблизительном виде, например,
    менее 1 500
    . Количество, превышающее 3 000, отправляется в виде
    более или равно 3 000
  • Максимальная глубина группы среди всех доменов
  • Общее количество клиентов
  • Количество клиентов в режиме компьютера
  • Количество клиентов в режиме пользователя
  • Количество клиентов в группах организационного подразделения
Состояние лицензии, полномочия по лицензии, идентификатор лицензии и сведения об использовании лицензии
Н/Д
Имя и тип устройства, версия и язык операционной системы, данные о расположении, тип и версия браузера, IP-адрес и идентификатор
Н/Д
Данные об инвентаризации аппаратного и программного обеспечения устройства, а также приложения
База данных сервера отправляет совокупную информацию об аппаратном обеспечении клиента. Информация включает в себя сведения о центральном процессоре, объеме ОЗУ и свободном пространстве на диске установки
Symantec Endpoint Protection
.
Данные по конфигурации доступа к приложению и базе данных, требования к политике и соответствие политике, а также исключения приложения и журналы ошибок рабочего процесса
Включает количество правил для записей журнала администрирования системы. Также отправляет количество записей в журнале и количество дней до момента истечения срока действия для следующих журналов базы данных:
  • Журнал администрирования системы
  • Журнал операций клиент-сервер
  • Журнал аудита
  • Журнал операций сервера системы
Включает все события неудачной репликации сервера, например ошибки репликации или несовпадающие версии базы данных.
Информация, связанная с возможными угрозами, в том числе: информация о событиях безопасности клиента, IP-адрес, идентификатор пользователя, путь, информация об устройстве (например, имя и состояние устройства, загруженные файлы, действия с файлами)
Н/Д
Информация о репутации файла и приложения, включая сведения о загруженных файлах, действиях и выполнении приложений, а также о представлении вредоносных программ
Данные о репутации файлов — это информация о файлах, которые обнаружены на основе их репутации.
  • Эти представления пополняют базу данных репутации Symantec Insight и помогают защитить компьютеры от новых и появляющихся угроз.
    Информация включает в себя хэш файла, хэш IP клиента, IP-адрес, с которого был загружен файл, размер файла, а также оценку репутации файла.
Журналы, содержащие данные по исключениям в приложениях и сбоям рабочего процесса
Н/Д
Личные данные, предоставленные в ходе настройки службы или при последующих обращениях в службу поддержки
Н/Д
Лицензионная информация, например данные об имени, версии, языке и предоставлении лицензионных прав
Н/Д
Использование технологий защиты, входящих в состав SEP
Включает в себя информацию о 20 основных группах с наибольшим количеством клиентов. Для каждой группы первое расположение (как правило, расположение по умолчанию) выбирается для передачи информации.
Информация включает в себя следующие данные:
  • Количество клиентов, для которых включена или выключена особая технология защиты.
  • Количество и тип (например,
    Карантин
    ,
    Заносить в журнал
    ,
    Исправить
    и т. д.) первого и второго действий в отношении объектов, обнаруженных технологиями защиты, которые включены.
Symantec Endpoint Protection Manager
отправляет количество совместно используемых политик каждого типа в своей базе данных. Оно состоит из числа политик по умолчанию и пользовательских политик. Информация включает в себя следующие данные:
  • Количество доменов
  • Количество каждых из нижеприведенных совместно используемых политик:
    • Политики защиты от вирусов и программ-шпионов
    • Политики брандмауэра
    • Политики предотвращения вторжений
    • Политики управления приложениями и устройствами
    • Политики LiveUpdate
    • Политики целостности хоста
  • Количество сигнатур пользовательской системы предотвращения вторжений
Информация о конфигурации SEP, например сведения об операционной системе, серверном оборудовании и настройках программного обеспечения, имя ЦП, объем памяти, версия программного обеспечения и компоненты установленных пакетов
Включает следующую информацию сервера:
  • Количество партнеров по репликации
  • Сведения о репликации данных журнала
  • Сведения о репликации данных содержимого
Включает тип операционной системы Linux типа и версии ядра, а также количество клиентов с данной конфигурацией.
Включает сводную информацию в базе данных
Symantec Endpoint Protection Manager
о рабочем состоянии клиента
Symantec Endpoint Protection
, в том числе следующие количественные показатели:
  • Всего клиентов
  • Клиенты уменьшенного размера
  • Клиенты стандартного размера
  • Клиенты с поддержкой EWF
  • Клиенты с поддержкой FBWF
  • Клиенты с поддержкой UWF
  • Клиенты гипервизора Microsoft
  • Клиенты гипервизора VMware
  • Клиенты гипервизора Citrix
  • Клиенты неизвестного гипервизора
Отправляет приблизительное количество редакций LiveUpdate, например,
менее 30
.
Информация о потенциальных угрозах безопасности, переносимых исполняемых файлах и файлах с исполняемым содержимым, которые идентифицируются как вредоносные программы и могут содержать личные данные, включая информацию о действиях таких файлов в ходе установки программ
  • Обнаружения антивирусной программы (только Windows и Mac)
    Информация о вирусах и программах-шпионах, обнаруженных при сканировании. Тип информации, которую отправляют клиенты, включает хэш файла, хэш IP клиента, антивирусные сигнатуры, URL-адрес атакующего и т. д.
  • Расширенные эвристические обнаружения антивирусной программой (только Windows)
    Информация о потенциальных угрозах, обнаруживаемых Bloodhound и другими эвристическими методами поиска вирусов и программ-шпионов. Эти обнаружения не сопровождаются выводом сообщений и не регистрируются в журнале угроз. Сведения о таких обнаружениях используются для статистического анализа.
  • Обнаружения SONAR (только Windows)
    Информация об обнаруженных SONAR угрозах, таких как обнаружение незначительных и серьезных угроз, событий изменения системы и подозрительного поведения надежных приложений.
Также включает следующие данные обработки:
  • Эвристические обнаружения SONAR (только Windows) не сопровождаются выводом сообщений и не регистрируются в журнале угроз. Эта информация используется для статистического анализа. Тип информации, которую отправляют клиенты, обычно включает следующие атрибуты обнаружения:
    • Скрытые процессы
    • Небольшие процессы используемого объема памяти
    • Ведение журнала нажатий клавиатуры или алгоритм захвата экрана
    • Отключение алгоритма продукта по обеспечению безопасности
    • Дата и метки времени обнаружения
Информация, связанная с активностью сети, включая доступ к URL-адресам и объединение информации о сетевых подключениях (например, имена хостов, IP-адреса и статистические данные о сетевом соединении)
Включает в себя следующие сведения:
  • События обнаружений сети (только Windows и Mac)
    Информация об обнаружениях с помощью модуля IPS (системы предотвращения вторжений). Информация, которую отправляют клиенты, включает в себя хэш IP клиента, URL-адрес атакующего, метку времени обнаружения, IP-адрес атакующего, сигнатуру IPS и т. д.
  • События обнаружений браузера (только Windows)
    Все URL-адреса, набранные в адресной строке браузера, по которым был совершен переход или к которым происходило подключение для загрузки.
    Клиенты также отправляют метаданные о следующих событиях:
    • Каждое сетевое соединение, в том числе IP-адреса, номера портов, имена хостов, соединения, инициированные приложениями, протоколы, время соединения, количество байт на соединение.
    • Все операции передачи файлов между устройствами, в том числе идентификация устройства, время передачи, протокол, атрибуты файлов (тип, имя, путь, размер) и SHA-256 содержимого.
Информация о состоянии, относящаяся к установке и эксплуатации SEP, которая может содержать личную информацию только в том случае, если такая информация включена в имя или в папку с файлами, обнаруженную SEP во время установки или ошибки, и по которой Symantec определяет, была ли установка SEP завершена успешно и не столкнулся ли продукт SEP с ошибкой
Н/Д
Псевдонимная общая и статистическая информация, а также информация о состоянии
Н/Д
Как определить, что клиенты
Symantec Endpoint Protection
отправляют представления телеметрии?
Проверьте журнал Операции клиента для просмотра событий представлений. Если журнал не содержит текущих событий представлений, проверьте следующие данные:
  • Убедитесь, что представления клиентов включены.
  • В случае использования прокси-сервера проверьте его исключения. См. раздел Могу ли я указать прокси-сервер для представлений клиентов?
  • Проверьте возможность связи с серверами Symantec. Обратитесь к статье базы знаний, article.TECH163042.html.
  • Убедитесь, что в клиентах есть текущее содержимое LiveUpdate.
    В Symantec Endpoint Protection используется файл Submission Control Data (SCD). Symantec публикует файл SCD и добавляет его в пакет LiveUpdate. Для каждого продукта Symantec предусмотрен отдельный файл SCD. В файле SCD контролирует следующие параметры.
    • Максимальное число операций отправки в день
    • Время ожидания перед повтором отправки
    • Максимальное число попыток
    • Какой IP-адрес сервера Symantec Security Response получает представления
Если файл SCD устарел, клиенты прекращают отправку представлений. Symantec считает файл SCD устаревшим, если клиентские компьютеры не загружали содержимое LiveUpdate в течение 7 дней. Клиент прекращает отправку сведений через 14 дней.
Если клиент прекратил отправку сведений, программа клиента больше не собирает данные. При возобновлении отправки передается информация только о событиях, произошедших после восстановления передачи.
Можно ли отказаться от представления телеметрии?
Да. Параметры сбора данных сервера или представлений клиентов можно изменить в пользовательском интерфейсе сервера или клиента. Однако Symantec рекомендует включить как можно больше телеметрических средств, чтобы повысить безопасность вашей сети.
Производительность, размер и развертывание
Какой объем пропускной способности используется при телеметрии?
Symantec Endpoint Protection управляет полосой пропускания для представлений клиентских компьютеров, чтобы минимизировать любое влияние на сеть. Symantec Endpoint Protection управляет полосой пропускания следующими способами:
  • Отправка образцов с клиентских компьютеров происходит только во время простоя. Отправка при простое позволяет рандомизировать трафик отправки по сети.
  • Клиентские компьютеры отправляют образцы только для уникальных файлов. Если файл уже обнаружен Symantec, информации с клиентского компьютера не отправляется.
Размер данных представлений крайне незначителен. Например, представления антивирусной программы обычно не превышают 4 КБ, а размер аналогичных представлений IPS составляют около 32 КБ.
Могу ли я указать прокси-сервер для представлений клиентов?
В
Symantec Endpoint Protection Manager
можно настроить прокси-сервер для представлений данных и других внешних соединений, используемых клиентами Windows. Если клиентские компьютеры используют прокси-сервер с аутентификацией, то в конфигурации прокси-сервера может потребоваться указать исключения для URL-адресов Symantec. Исключения позволяют клиентским компьютерам обмениваться данными с Symantec Insight и другими важными сайтами Symantec.
Для получения подробной информации о прокси-серверах см.:
Чтобы узнать больше об исключениях для URL-адресов Symantec, см: