提交
Symantec Endpoint Protection
遙測資料以提高安全性

簡介
遙測亦稱為傳送或資料收集,會收集資訊以改善網路的安全狀況及產品體驗。遙測會廣泛收集下列類型的資訊:
  • 系統環境,包括硬體和軟體詳細資料
  • 產品錯誤與相關事件
  • 產品組態的有效性
收集的資料會傳送至賽門鐵克。
Symantec 遙測收集的資料可能包括不可直接識別的匿名元素。Symantec 既不需要也不會設法使用遙測資料來識別任何個別使用者。
用途
賽門鐵克會使用這些資訊分析並改善客戶的產品體驗。
  • Symantec 支援會使用遙測。
  • 賽門鐵克會使用遙測洞察威脅環境,並將其用作 Risk Insight 程式的一部分。
啟用遙測收集
賽門鐵克同時從管理伺服器和
Symantec Endpoint Protection
用戶端收集遙測資料。
然而,為因應網路頻寬問題或用戶端傳出資料的相關限制,您可能需要停用遙測傳送。您可以檢查用戶端活動日誌,來檢視傳送活動及監控頻寬使用量。
  1. 啟用或停用管理伺服器遙測收集
  2. 針對伺服器資料收集啟用或停用「
    將匿名資料傳送給賽門鐵克,以獲得增強的威脅防護情報
    」選項。
    • 在管理主控台中,前往
      「管理」>「伺服器」>「本機網站」>「網站屬性」>「資料收集」
      並變更選項。
    Symantec Endpoint Protection Manager
    安裝期間,您也可以變更伺服器資料收集選項。
  3. 啟用或停用用戶端遙測傳送
  4. 針對用戶端提交啟用或停用「
    將匿名資料傳送給賽門鐵克,以獲得增強的威脅防護情報
    」選項。您可以在管理主控台中的群組層級變更選項,或針對用戶端使用者介面中的單一用戶端變更選項。
    • 在管理主控台中,前往
      「用戶端」>「政策」
      標籤。在「
      設定
      」窗格中,選取
      「外部通訊設定」>「傳送」
    • 在用戶端使用者介面中,前往
      「變更設定」>「用戶端管理」>「架構設定」>「傳送」
企業中的每個用戶端都屬於某個群組。每個群組有其自己的政策。在某些情況下,群組會架構為繼承其父群組的政策。由於用戶端傳送為群組範圍的設定,因此請確保根據需要將設定套用到所有群組。
如果停用傳送並鎖定設定,使用者將無法架構群組中的用戶端傳送資訊。如果啟用該選項,請選取傳送類型並鎖定設定,使用者將無法停用傳送。如果不鎖定設定,則使用者可以變更組態,包括「
更多選項
」中的傳送類型。
賽門鐵克建議您傳送威脅資訊,以協助賽門鐵克提供最佳威脅防護。
常見問題
Symantec Endpoint Protection
會收集何種類型的資訊?
下表說明了
Symantec Endpoint Protection
收集的資訊類型。
有關
Symantec Endpoint Protection
收集之資訊類型的更多詳細資料
類型
更多詳細資料
軟體組態、產品詳細資料和安裝狀態
包括有關病毒和間諜軟體防護政策的資訊:
  • Bloodhound 設定
    Bloodhound 為啟用還是停用,以及層級為自動還是主動。(
    「病毒和間諜軟體防護」政策 >「全域掃描選項」
    )
  • 下載鑑識設定
    下載鑑識為啟用還是停用,以及何謂下載鑑識設定,包括靈敏度等級和感染狀況臨界值。(
    「病毒和間諜軟體防護」政策 >「下載防護」
    )
  • 自動防護設定
    為惡意軟體或安全風險架構何種覆寫。(
    「病毒和間諜軟體防護」政策 >「自動防護」
    )
包括具有最大用戶端數目的前 20 個群組的相關資訊。對於每個群組,會選取第一個位置 (通常為預設位置) 來傳送資訊。
通常,資訊包括:
  • 用戶端模式:用戶端是使用伺服器控制、用戶端控制、混合模式,還是找不到任何資料
  • 推送/提取模式:用戶端是從伺服器取得還是要求政策
  • 應用程式探索開啟或關閉
  • 活動訊號間隔 (以分鐘為單位)
  • 重大事件上傳開啟或關閉
  • 下載隨機化開啟或關閉;隨機化時段 (以分鐘為單位)
  • 用戶端是使用上次使用的群組設定還是上次使用的群組模式
  • 用戶端是否傳送偵測傳送以及偵測類型為何,例如防毒偵測、檔案信譽或 SONAR
  • 是否已在用戶端上啟用主機完整性
  • 網域數目。
  • 所有網域中的群組總數,會以近似值的形式顯示,例如
    <1500
    。超過 3,000 會以
    >/= 3000
    的形式傳送
  • 所有網域之間群組的最大深度
  • 用戶端總數的計數
  • 電腦模式下的用戶端數目
  • 使用者模式下的用戶端數目
  • 組織單位 (OU) 群組中的用戶端數目
授權狀態、授權權利資訊、授權 ID 與授權使用量
不適用
裝置名稱、類型、作業系統版本、語言、位置、瀏覽器類型與版本、IP 位址和 ID
不適用
裝置硬體、軟體和應用程式清查
伺服器資料庫會傳送有關用戶端硬體的彙整資訊。資訊包括
Symantec Endpoint Protection
安裝磁碟上的 CPU、RAM 和可用磁碟空間。
應用程式與資料庫存取組態、政策需求和政策遵循狀態,以及應用程式例外和工作流程失敗日誌
包括系統管理日誌項目的規則數目。還會傳送下列資料庫日誌的日誌項目數目以及距離日誌項目到期所剩餘的天數:
  • 系統管理日誌
  • 用戶端伺服器活動日誌
  • 稽核日誌
  • 系統伺服器活動日誌
包括任何伺服器遠端複製失敗事件,例如遠端複製失敗或資料庫版本不相符。
與可能的威脅相關聯的資訊包括:用戶端安全事件資訊、IP 位址、使用者 ID、路徑、裝置資訊 (例如裝置名稱和狀態)、下載的檔案、檔案動作
不適用
檔案與應用程式信譽包括檔案下載、動作與執行應用程式資訊及惡意軟體傳送
檔案信譽資料是依據檔案信譽偵測到的檔案相關資訊。
  • 這些傳送將匯入 Symantec Insight 信譽資料庫,並協助保護您的電腦防範新興風險。
    資訊包括檔案雜湊、用戶端 IP 雜湊、用於下載檔案的 IP 位址、檔案大小和檔案的信譽分數。
應用程式例外和工作流程失敗日誌
不適用
架構服務或任何其他後續服務呼叫期間所提供的個人資訊
不適用
授權資訊,例如名稱、版本、語言和授權權利資料
不適用
SEP 中包含的防護技術使用狀況
包括具有最大用戶端數目的前 20 個群組的相關資訊。對於每個群組,會選取第一個位置 (通常為預設位置) 來傳送資訊。
資訊包括:
  • 已啟用或停用特定防護技術的用戶端數目。
  • 由已啟用防護技術進行的第一個和第二個偵測動作的數量和類型 (如
    隔離
    僅記錄
    清除
    等)。
Symantec Endpoint Protection Manager
會傳送其資料庫中每種類型的共用政策的數目,該數目等於預設政策數目與自訂政策數目之和。資訊包括:
  • 網域數目
  • 下列每個共用政策的數目:
    • 病毒和間諜軟體防護政策
    • 防火牆政策
    • 入侵預防政策
    • 應用程式與裝置控制政策
    • LiveUpdate 政策
    • 主機完整性政策
  • 自訂入侵預防特徵的數目
說明 SEP 組態的資訊,例如作業系統資訊、伺服器硬體和軟體組態細節、CPU 名稱、記憶體大小、軟體版本及已安裝套件的功能
包括伺服器資訊,例如:
  • 複寫夥伴數目
  • 是否已複寫日誌資料
  • 是否已複寫內容資料
包括 Linux 作業系統類型與核心版本,以及使用此組態的用戶端數目的計數。
包括
Symantec Endpoint Protection Manager
資料庫中有關
Symantec Endpoint Protection
用戶端運作狀態的彙整資訊,包含下列計數:
  • 用戶端總數
  • 縮減大小用戶端
  • 標準大小用戶端
  • 啟用 EWF 的用戶端
  • 啟用 FBWF 的用戶端
  • 啟用 UWF 的用戶端
  • Microsoft Hypervisor 用戶端
  • VMware Hypervisor 用戶端
  • Citrix Hypervisor 用戶端
  • 不明 Hypervisor 用戶端
傳送 LiveUpdate 修訂版的大概數目,例如
<30
潛在安全風險、被識別為惡意軟體 (可能包含個人資訊) 的可攜式可執行檔和包含可執行內容的檔案的相關資訊,包括此類檔案在安裝時所執行之動作的相關資訊
  • 防毒偵測 (僅限 Windows 和 Mac)
    有關病毒和間諜軟體掃描偵測的資訊。用戶端傳送的資訊類型包括檔案雜湊、用戶端 IP 雜湊、防毒特徵、攻擊者 URL 等。
  • 防毒進階啟發式偵測 (僅限 Windows)
    由 Bloodhound 及其他病毒和間諜軟體掃描啟發式技術偵測到的潛在威脅的相關資訊。這些偵測為無訊息偵測,不會顯示在風險日誌中。有關這些偵測的資訊用於進行統計分析。
  • SONAR 偵測 (僅限 Windows)
    SONAR 偵測到的威脅的相關資訊,包括高/低風險偵測、系統變更事件和受信任應用程式出現的可疑行為。
還包括程序資料,例如:
  • SONAR 啟發式偵測 (僅限 Windows) 為無訊息偵測,不會顯示在「風險日誌」中。此資訊用於進行統計分析。用戶端傳送的資訊類型通常包括如下所示的偵測屬性:
    • 隱藏的程序
    • 小型印記程序
    • 按鍵輸入記錄或螢幕擷取行為
    • 停用安全性產品行為
    • 偵測日期和時間戳記
網路活動的相關資訊,包括存取的 URL 和網路連線的相關彙整資訊 (例如,有關網路連線的主機名稱、IP 位址和統計資訊)
包括下列資訊:
  • 網路偵測事件 (僅限 Windows 和 Mac)
    由 IPS 引擎 (入侵預防) 執行之偵測的相關資訊。用戶端傳送的資訊包括用戶端 IP 雜湊、攻擊者 URL、偵測時間戳記、攻擊者 IP 位址、IPS 特徵等。
  • 瀏覽器偵測事件 (僅限 Windows)
    所有在瀏覽器網址列中輸入、按下或連線以進行下載的 URL。
    用戶端也會傳送有關下列內容的中繼資料:
    • 每個網路連線,包括 IP 位址、通訊埠號、主機名稱、應用程式起始連線、通訊協定、連線時間、每個連線的位元組數目。
    • 裝置之間的所有檔案傳輸活動,包括裝置識別、傳輸時間、通訊協定、檔案屬性 (類型、名稱、路徑、大小) 及內容的 SHA-256。
SEP 安裝和運作的相關狀態資訊,只有在 SEP 於安裝或發生錯誤時所使用的檔案或資料夾名稱包含個人資訊時,狀態資訊才可能包含此類資訊,此資訊使賽門鐵克得以確認是否成功安裝 SEP,以及 SEP 是否發生錯誤
不適用
匿名的一般、統計與狀態資訊
不適用
我如何知道
Symantec Endpoint Protection
用戶端正在進行遙測傳送?
檢查用戶端活動日誌來檢視傳送事件。如果該日誌不包含目前的傳送事件,請檢查下列項目:
  • 確保用戶端傳送已啟用。
  • 如果您使用代理伺服器,請檢查代理例外。請參閱我可否為用戶端傳送指定代理伺服器?
  • 檢查賽門鐵克伺服器的連線。請參閱知識庫文章 article.TECH163042.html
  • 檢查以確保用戶端具有目前的 LiveUpdate 內容。
    Symantec Endpoint Protection 會使用傳送控制資料 (SCD) 檔案。賽門鐵克會發布 SCD 檔案,並將其包含在 LiveUpdate 套件中。每項賽門鐵克產品都有各自的 SCD 檔案。SCD 檔案會控制下列設定:
    • 一天之中用戶端可傳送的次數
    • 用戶端軟體重試傳送時等候的時間長度
    • 傳送失敗後重試的次數
    • 賽門鐵克安全機制應變中心接收傳送內容的 IP 位址
如果 SCD 檔案過時,則用戶端會停止傳送。如果用戶端電腦已有 7 天未擷取 LiveUpdate 內容,則賽門鐵克會認為該 SCD 檔案過時。用戶端會在 14 天後停止傳送。
如果用戶端停止傳送,則用戶端軟體不會收集傳送資訊,也不會在稍後傳送它。用戶端再次開始傳送時,只會傳送在傳送重新開始之後發生的事件資訊。
我可否退出遙測傳送?
您可以退出。您可以在用戶端和伺服器使用者介面中修改伺服器資料收集或用戶端傳送選項。但是,賽門鐵克建議您啟用盡可能多的遙測,以改善網路安全性。
效能、大小和部署
遙測會耗用多少頻寬?
Symantec Endpoint Protection 會調節用戶端電腦傳送,將對您網路的影響降至最低。Symantec Endpoint Protection 會以下列方式調節傳送:
  • 用戶端電腦只會在電腦閒置時傳送範例。閒置傳送有助於在整個網路中隨機設定傳送流量。
  • 用戶端電腦只會傳送唯一檔案的範例。如果賽門鐵克已經看見此檔案,用戶端電腦就不會傳送資訊。
這些傳送的資料大小是非常微不足道的。例如,防毒傳送一般不會超過 4 KB,且類似的 IPS 傳送大小約為 32 KB。
我可否為用戶端傳送指定代理伺服器?
您可以架構
Symantec Endpoint Protection Manager
使用代理伺服器傳送資訊,以及進行 Windows 用戶端使用的其他外部通訊。如果用戶端電腦使用需驗證的 Proxy,您可能需要在 Proxy 伺服器組態中為 Symantec URL 指定例外。這些例外可讓您的用戶端電腦與「賽門鐵克智慧型掃描」和其他重要的賽門鐵克網站進行通訊。
如需有關代理的更多詳細資料,請參閱:
如需瞭解更多有關 Symantec URL 例外的資訊,請參閱: