Отслеживание клиентов роуминга
Symantec Endpoint Protection
через облачную консоль

Клиенты роуминга
Symantec Endpoint Protection
— это клиенты, которые время от времени подключаются к серверу управления. Клиенты роуминга получают доступ в Интернет в разных местах, например в аэропортах, гостиницах или других организациях, при этом они подвергаются более высокому риску.
Symantec Endpoint Protection Manager
обеспечивает защиту внутри и вне сети для этих клиентских компьютеров с использованием службы определения расположения.
В версии 14.1 и более ранних версиях клиенты роуминга отправляют критические события на сервер управления только тогда, когда они подключены. Начиная с версии 14.2 клиенты роуминга автоматически отправляют критические события в облачную консоль, когда клиенты не могут подключиться к серверу управления. После повторного подключения клиента роуминга к серверу управления клиенты отправляют любые новые критические события на сервер управления. Кроме того, клиент больше не считается клиентом роуминга.
Используйте список критических событий как способ усиления политик безопасности в
Symantec Endpoint Protection Manager
. Например, предположим, что клиент сотрудника-1 получает большее количество атак типа "отказ в обслуживании", когда он находится в определенном отеле. Таким образом, можно создать местоположение для этой гостиницы и включить обнаружение отказов в обслуживании в политике брандмауэра.
Поиск клиентов роуминга и критических событий
Чтобы узнать, какие клиенты находятся в роуминге, найдите следующие пункты:
  • Подключено ли устройство непосредственно к облачной консоли, а не к серверу управления.
  • Местоположение, определенное в политике службы определения расположения
    Symantec Endpoint Protection Manager
  • Внешний IP-адрес клиента.
  1. Как найти клиенты роуминга и критические события
  2. В облачной консоли выберите
    Предупреждения и события
    .
  3. На вкладке
    События безопасности
    в разделе
    Тип подключения
    нажмите
    Облако
    , чтобы отобразить события, которые клиент отправляет в облачную консоль.
    Для того чтобы отобразить события, отправляемые сервером управления, нажмите
    Symantec Endpoint Protection Manager
    .
  4. В разделе
    Серьезность
    нажмите
    Критическая
    .
    Облачная консоль фильтрует и отображает только критические события безопасности, обнаруженные клиентами роуминга.
  5. Чтобы найти расположение и внешний IP-адрес, выберите устройство и найдите запись Расположение устройства.
Какие критические события отображаются облачной консолью?
Клиент роуминга отправляет следующие события безопасности в облачную консоль:
  • События сканирования портов
  • Имитация MAC-адреса
  • Отказ в обслуживании
  • Canary
  • IPS
  • Deception
  • Предупреждение последствий использования эксплойтов памяти
  • Целостность хоста
Клиент роуминга отправляет следующие события безопасности в облачную консоль:
  • Защита от вирусов
  • SONAR