Какие средства включены в Symantec Endpoint Protection?

В этой статье описываются средства, включенные в пакет
Symantec Endpoint Protection
, и их назначение.
Средства, которые находятся в файле установки
Следующие средства и документация находятся в папке \Tools файла установки
Symantec Endpoint Protection
, загруженного со страницы Broadcom Download Management.
ApacheReverseProxy (12.1.4 и выше)
Это средство настраивает веб-сервер Apache в Symantec Endpoint Protection Manager таким образом, чтобы клиентам Mac и Linux разрешалось загружать содержимое LiveUpdate через веб-сервер. Всякий раз при публикации нового содержимого LiveUpdate для клиентов Mac и Linux веб-сервер Apache загружает и кэширует его локально с помощью
Symantec Endpoint Protection Manager
.
Это средство подходит для сетей с меньшим числом клиентов.
CentralQ (12.1.6 и более ранние)
Symantec Endpoint Protection
может автоматически отправлять пакеты, содержащие зараженные файлы и связанные с ними побочные эффекты, из локального карантина в центральный. Центральный карантин облегчает сбор данных, необходимых для судебных целей. Это средство позволяет получить образец с зараженного компьютера без непосредственного доступа к нему.
Сервер карантина следует использовать в среде
Symantec Endpoint Protection
в следующих случаях:
  • Для получения образцов предполагаемых угроз от клиентов
    Symantec Endpoint Protection
    .
  • Для автоматической отправки этих образцов в Отдел обеспечения защиты.
  • Для загрузки описаний Rapid Release, относящихся к предполагаемым угрозам и отправляемых только на сервер карантина. Эти описания не отправляются на клиенты
    Symantec Endpoint Protection
    , от которых получена угроза.
CleanWipe
CleanWipe удаляет продукт
Symantec Endpoint Protection
. Средство CleanWipe следует использовать в качестве крайней меры только после неудачного использования других способов удаления, например с помощью панели управления Windows.
Это средство также можно найти в следующем расположении (64-разрядные системы): C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
ContentDistributionMonitor (SEPMMonitor)
Средство ContentDistributionMonitor помогает осуществлять управление и мониторинг для нескольких поставщиков обновлений группы (GUP) в среде. Это средство отображает графическое представление состояния поставщиков обновлений группы и распространения содержимого.
В 12.1.6 и более ранних версиях средство
ContentDistributionMonitor
называлось
SEPMMonitor
. В 12.1.5 и более ранних версиях средство
ContentDistributionMonitor
находилось в папке
NoSupport
.
Мошенничество (14.0.1)
Deception используется для обнаружения действий злоумышленников в конечных точках с помощью поддельных данных. Данный подход основан на предположении, что злоумышленник уже обошел первичную оборону сети и начал исследование среды. Злоумышленник пытается найти важные активы, такие как учетные данные контроллера домена или базы данных.
DeviceInfo (14), DevViewer
DeviceInfo (для Mac начиная с версии 14) и DevViewer (для Windows) получает сведения о производителе, модели и серийном номере конкретного устройства. Эта информация добавляется в список
Устройства
. После этого можно добавить ID устройства в политику управления устройствами, чтобы разрешить или запретить доступ к этому устройству на клиентских компьютерах.
Integration (WebServicesDocumentation)
Начиная с версии 14 папка Integration переименована в
WebServicesDocumentation
.
ITAnalytics
Программное обеспечение IT Analytics — это расширение встроенных в
Symantec Endpoint Protection
отчетов, позволяющее создавать пользовательские отчеты и запросы. Программа добавляет функции многомерного анализа и графического представления отчетов на основе данных, содержащихся в базах данных
Symantec Endpoint Protection Manager
. С помощью этих функций пользователи могут самостоятельно анализировать данные, не обладая расширенными познаниями в области баз данных или сторонних средств создания отчетов.
JAWS
Программа чтения с экрана JAWS и набор сценариев упрощает чтение меню и диалоговых окон
Symantec Endpoint Protection
. JAWS — это вспомогательная технология, обеспечивающая соответствие требованиям Поправки 508, касающейся специальных возможностей продукта.
LiveUpdate Administrator (12.1.4 и более ранние)
Symantec LiveUpdate Administrator — это автономное веб-приложение, отдельное от
Symantec Endpoint Protection
. LiveUpdate Administrator отражает содержимое общедоступных серверов LiveUpdate и передает его в продукты Symantec внутренними средствами через встроенный веб-сервер.
LiveUpdate Administrator — это дополнительный компонент
Symantec Endpoint Protection
, который не требуется для обновления клиентов
Symantec Endpoint Protection
. По умолчанию в
Symantec Endpoint Protection Manager
для загрузки содержимого непосредственно с общедоступных серверов LiveUpdate Symantec используется не LiveUpdate Administrator, а технология LiveUpdate.
Но в некоторых случаях может потребоваться LiveUpdate Administrator. Например, необходимо загрузить содержимое сразу на много клиентов, отличных от Windows, или же невозможна загрузка с помощью
Symantec Endpoint Protection Manager
. Таким образом можно установить сервер LiveUpdate Administrator и настроить в
Symantec Endpoint Protection Manager
загрузку с этого сервера.
Для загрузки LiveUpdate Administrator и документации см. раздел Загрузка LiveUpdate Administrator (LUA)
Без поддержки > MoveClient
MoveClient
— это сценарий Visual Basic, который переносит клиенты из одной группы
Symantec Endpoint Protection Manager
в другую на основе имени хоста клиента, имени пользователя, IP-адреса или операционной системы. Кроме того, с его помощью можно переключать клиенты между режимами пользователя и компьютера.
Без поддержки > Qextract
Qextract
извлекает и восстанавливает файлы из локального карантина клиента. Это средство может потребоваться, если файл, занесенный в карантин на клиенте, оказался ложным срабатыванием.
Без поддержки > SEPprep (версии 12.1.6 и более ранние)
SEPprep — это неподдерживаемое программное средство, которое автоматически удаляет антивирусные продукты сторонних разработчиков. Если выполняется переход с Norton на
Symantec Endpoint Protection
, SEPprep также удаляет продукты Symantec Norton 
.
Можно вставить вызов SEPprep в сценарий, который удаляет продукты сторонних разработчиков и затем автоматически запускает программу установки
Symantec Endpoint Protection
в фоновом режиме.
Для удаления продуктов сторонних разработчиков используйте Мастер развертывания клиентов вместо SEPprep. На вкладке
Параметры установки клиента
мастера выберите пункт
Автоматически удалить существующее программное обеспечение безопасности сторонних разработчиков
.
Список продуктов, удаляемых с помощью мастера развертывания клиентов, см. в следующем документе:
SEPprep не удаляет никакие продукты Symantec. Начиная с версии 14 средство CleanWipe встроено в Мастер развертывания клиентов для удаления других продуктов Symantec, в том числе клиента
Symantec Endpoint Protection
.
OfflineImageScanner (12.1.6 и более ранние)
Это средство сканирует угрозы на отключенных от сети виртуальных дисках VMware (файлы VMDK).
PushDeploymentWizard
Мастер принудительного развертывания служит для развертывания пакета установки клиента
Symantec Endpoint Protection
на целевых компьютерах. Мастер принудительного развертывания — это то же самое, что и Мастер развертывания клиента в
Symantec Endpoint Protection Manager
. Обычно он используется для развертывания в меньших компьютеров или на удаленных компьютерах.
SEPIntegrationComponent (12.1.5 и более ранние)
Symantec Endpoint Integration Component (SEPIC) сочетает
Symantec Endpoint Protection
с другими решениями Symantec Management Platform с помощью единой веб-консоли Symantec Management Console. SEPIC позволяет выполнять инвентаризацию, обновление исправлений, доставку ПО и развертывание новых компьютеров. Можно также выполнять резервное копирование и восстановление систем и данных, управлять агентами DLP и клиентами
Symantec Endpoint Protection
.
SylinkDrop
В файле Sylink.xml содержатся параметры связи между клиентом Windows или Mac и Symantec Endpoint Protection Manager. В случае потери связи с
Symantec Endpoint Protection Manager
средство SylinkDrop автоматически заменяет имеющийся файл Sylink.xml на клиентском компьютере на новый.
Замена файла Sylink.xml решает следующие задачи:
  • Преобразование неуправляемого клиента в управляемый.
  • Миграция или перемещение клиентов в новый домен или сервер управленияю
  • восстановление нарушения связи с клиентом, которое не может быть исправлено на сервере управления;
  • перемещение клиента между серверами, которые не являются партнерами по репликации;
  • перемещение клиента из одного домена в другой;
Это средство можно использовать только для клиентов Windows; оно находится в следующем расположении (64-разрядные системы):
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SymDiag (SymHelp)
Начиная с версии 14 средство SymHelp переименовано в Symantec Diagnostic (SymDiag).
SymDiag
— это универсальное средство диагностики, которое определяет распространенные проблемы, собирает данные для устранения неполадок с помощью службы поддержки, а также предоставляет ссылки на другие ресурсы поддержки и самостоятельного устранения неполадок. Кроме этого,
SymDiag
показывает состояние лицензии и обслуживания некоторых продуктов Symantec, а также продукта Threat Analysis Scan, который помогает обнаружить потенциально вредоносные программы.
Виртуализация
Средства виртуализации повышают быстродействие сканирования для клиентов, установленных в средах инфраструктуры виртуальных рабочих столов (VDI).
  • SecurityVirtualAppliance (12.1.6 и более ранние)
    Виртуальное устройство безопасности Symantec содержит Shared Insight Cache с поддержкой vShield для инфраструктур VMware vShield.
  • SharedInsightCache
    Утилита Shared Insight Cache повышает быстродействие сканирования виртуализированных сред благодаря исключению из сканирования файлов, которые были определены клиентом
    Symantec Endpoint Protection
    как чистые. Когда клиент сканирует файлы на наличие угроз и определяет, что они чистые, он отправляет информацию о файле в Shared Insight Cache.
    Когда другой клиент пытается сканировать тот же самый файл, он может отправить запрос в Shared Insight Cache, чтобы определить, чист файл или нет. Если файл чист, клиент не выполняет его сканирование. Если файл заражен, клиент выполнит сканирование файла на наличие вирусов и передаст информацию в Shared Insight Cache.
    Shared Insight Cache — это веб-служба, которая независимо выполняется на клиенте. Но в
    Symantec Endpoint Protection
    следует указать расположение Shared Insight Cache, чтобы клиенты могли с ним взаимодействовать. Shared Insight Cache взаимодействует с клиентами по протоколу HTTP или HTTPS. Подключение клиентов по протоколу HTTP поддерживается, пока не закончится сканирование.
  • Virtual Image Exception
    Для повышения быстродействия и безопасности среды VDI сеансы виртуальных машин обычно создают на основе базовых образов. Утилита Symantec Virtual Image Exception позволяет клиентам
    Symantec Endpoint Protection
    пропускать сканирование файлов базового образа на наличие угроз, что уменьшает нагрузку на ресурсы дискового ввода-вывода. Это также повышает быстродействие центрального процессора в процессе сканирования в среде VDI.
WebServicesDocumentation (Integration)
В 12.1.6 и более ранних версиях это средство находилось в папке \Tools\Integration.
Для поддержки приложений удаленного мониторинга и управления (RMM) в
Symantec Endpoint Protection
входит ряд общедоступных API в формате веб-служб. Эти веб-службы предоставляют функции на клиенте и на сервере управления. Все вызовы
Symantec Endpoint Protection
веб-служб аутентифицируются с помощью
OAuth
, при этом доступ разрешается только авторизованным
Symantec Endpoint Protection
администраторам . Разработчики используют эти API для интеграции решений для обеспечения безопасности сети, применяемых в их компании, с сервером управления и клиентом
Symantec Endpoint Protection
.
Обеспечивает поддержку удаленного управления и мониторинга. Удаленное управление обеспечивается с помощью публичных API в виде веб-служб, которые позволяют интегрировать сторонние решения или пользовательскую консоль с базовой функциональностью клиента и сервера управления. Удаленный мониторинг осуществляется с помощью публично поддерживаемых ключей реестра и ведения журнала событий Windows.
Веб-службы для удаленного управления могут выполнять следующие задачи:
  • Показывает состояние лицензии и содержимого на сервере управления путем вызова веб-службы, а также заносит сведения о состоянии лицензии в журнал событий Windows.
  • Направляет команды, такие как Обновить, Обновить и сканировать и Перезапустить, на клиент.
  • Управляет политиками, которые доставляются на клиент. Политики можно импортировать с другого сервера управления, а также присваивать группам или расположениям на другом сервере управления.
Средства, которые устанавливаются вместе с Symantec Endpoint Protection Manager
Перечисленные ниже программные средства устанавливаются с
Symantec Endpoint Protection Manager
в следующее расположение по умолчанию:
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
.
CollectLog
CollectLog.cmd помещает журналы
Symantec Endpoint Protection Manager
в сжатый файл ZIP. Файл ZIP можно отправить в службу поддержки Symantec или другому администратору в целях устранения неполадок.
Это средство находится в следующем расположении (64-разрядные системы): C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Средство проверки базы данных
Средство dbvalidator.bat помогает службе поддержки диагностировать проблему с базой данных
Symantec Endpoint Protection Manager
.
Это средство находится в следующем расположении (64-разрядные системы): C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption (14)
По умолчанию
Symantec Endpoint Protection Manager
взаимодействует с сервером Microsoft SQL Server по зашифрованному каналу. Это средство позволяет отключить или включить шифрование TLS между сервером управления и линией связи с Microsoft SQL Server. В версии 14 его можно использовать с установленными копиями сервера управления, в которых настроено использование базы данных Microsoft SQL Server.
Это средство устанавливается вместе с Symantec Endpoint Protection Manager в следующем расположении (64-разрядные системы): C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Справочник по API
Symantec Endpoint Protection Manager
(14)
Symantec Endpoint Protection Manager
включает в себя несколько REST API, которые подключаются к
Symantec Endpoint Protection Manager
и выполняют операции из Endpoint Detection and Response (EDR). API используются, когда нет доступа к
Symantec Endpoint Protection Manager
. Документация находится в следующих местоположениях:
  • На сервере
    Symantec Endpoint Protection Manager
    по следующему адресу, в котором
    SEPM-IP
    означает IP-адрес сервера
    Symantec Endpoint Protection Manager
    .
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    В поле IP-адреса допустимы форматы IPv4 и IPv6. Адреса IPv6 необходимо заключать в квадратные скобки:
    http://[
    SEPMServer
    ]:
    номер порта