Pour que Symantec Endpoint Detection and Response communique avec vos terminaux, vous devez configurer une connexion pour le serveur de gestion SEPM. Voici des informations importantes à connaître sur la configuration de cette connexion.
Les rubriques de cette section sont les suivantes :
Protocoles, ports et certificats de communication
Considérations importantes concernant les connexions à plusieurs instances de SEPM
Remarques importantes si votre serveur de gestion SEP comporte plusieurs domaines
Emplacement de terminaux SEPM et SEP
Protocoles, ports et certificats de communication
Symantec recommande l'utilisation de HTTPS et du port 443 dans tous les paramètres de configuration de terminal SEP pour la communication avec Symantec EDR version 3.0 et versions ultérieure. Pour que les terminaux SEP communiquent avec Symantec EDR via ce protocole sécurisé, un certificat SSL valide doit être installé sur les terminaux, ce qui permet de sécuriser les communications avec Symantec EDR. La boîte de dialogue de configuration de la communication SEP sur Symantec EDR fournit un mécanisme pour configurer les paramètres de communication de port et de protocole SEP sur SEPM via les API privées de SEP. En outre, lorsque les paramètres de communication SEP sont enregistrés sur Symantec EDR, le certificat SSL d'Symantec EDR est également transféré aux terminaux pour qu'ils puissent communiquer en toute sécurité avec Symantec EDR via HTTPS. Le certificat qui est appliqué aux terminaux via ce mécanisme utilise un certificat qui est configuré sur Symantec EDR lorsque les paramètres sont enregistrés. Ce certificat est le certificat Symantec EDR auto-signé et intégré par défaut ou un autre certificat approuvé qui a été chargé via la EDR appliance console. Seuls les terminaux SEP qui exécutent qui exécutent 14.0 RU1 ou versions ultérieures peuvent profiter des API privées d'Symantec EDR pour recevoir automatiquement le certificat SSL d'Symantec EDR via ce mécanisme. Si votre environnement comporte des terminaux qui exécutent une version antérieure de SEP, vous devez installer le certificat SSL d'Symantec EDR séparément afin que les terminaux communiquent en toute sécurité avec Symantec EDR.
Considérations importantes concernant les connexions à plusieurs instances de SEPM
Jusqu'à 10 connexions à SEPM ont été testées et sont prises en charge, mais vous pouvez avoir le nombre de connexions que vous souhaitez dans votre configuration.
Si plusieurs instances de SEPM sont connectées sur un site (par exemple, si ces instances de SEPM partagent une base de données), créez une connexion à une seule instance SEPM par site dans la EDR appliance console. Si plusieurs instances de SEPM du même site tentent de se connecter à la même plate-forme de gestion Symantec EDR, elles se concurrenceront pour échanger les informations d'authentification et peuvent ne pas fonctionner correctement.
Lorsque plusieurs instances de SEPM sont connectées sur un même site, les commandes d'Symantec EDR sont envoyées à la base de données partagée par l'instance SEPM qui est connectée à Symantec EDR. Par conséquent, toutes les instances SEPM partagées exécutent la commande correctement. Mais seule l'instance SEPM qui a exécuté la commande peut consigner la commande dans la console SEPM.
Cliquez sur le lien suivant pour en savoir plus sur l'utilisation de la réplication entre les instances SEPM.
Se reporter à Configuration de Symantec EDR pour prendre en charge la réplication des sites SEPM.
Pour plus d'informations sur l'installation des sites et la configuration de la réplication dans SEPM, consultez les sections suivantes dans le guide d'installation et d'administration de Symantec™ Endpoint 14.0.1.x/14.1 : Configuration du serveur d'administration et gestion des sites et de la réplication. Vous trouverez le guide ici.
Préparez soigneusement votre stratégie de déploiement de Symantec EDR si vous utilisez un environnement SEP complexe. Vous pouvez réduire le délai de propagation des commandes en évitant d'utiliser la réplication dans SEP et en faisant se connecter Symantec EDR individuellement à chaque instance de SEPM. Cependant, cette méthode peut ne pas être compatible avec votre stratégie SEP actuelle.
Remarques importantes si votre serveur de gestion SEP comporte plusieurs domaines
Vous devez créer une connexion SEPM distincte pour chaque domaine configuré. Consultez la documentation Symantec Endpoint Protection pour une description complète des domaines définis par SEP.
Si vous ne créez pas une connexion SEPM pour un domaine défini dans votre environnement, les commandes envoyées à SEPM ne sont pas transférées aux ressources dans le domaine.
Vous pouvez recevoir un message d'erreur quand une commande est envoyée aux ressources de domaines sans connexions configurées. Consultez la page Logging > Actions (Consignation > Actions) afin de déterminer les ressources qui n'ont pas exécuté la commande. Définissez une connexion SEPM pour le domaine qui est associé à ces ressources pour résoudre le problème.
Emplacement de terminaux SEPM et SEP
Les terminaux SEPM et SEP doivent se trouver sur des ordinateurs distincts pour que les commandes ECC fonctionnent correctement. Si ce n'est pas le cas, une fois un terminal isolé (mis en quarantaine), il est impossible de le réintégrer (c'est-à-dire de le sortir de la quarantaine). Cela vient du fait qu'isoler le terminal isole également l'instance SEPM, donc la connexion entre Symantec EDR et SEPM est bloquée.
Cliquez sur le lien suivant pour lancer le processus d'intégration de Symantec EDR / SEPM
Se reporter à Workflow d'intégration Symantec EDR / SEP.
Se reporter à Intégration de Symantec EDR à SEP
Se reporter à Configuration requise pour l'intégration de Symantec EDR aux interfaces de gestion et aux bases de données intégrées de SEP
Se reporter à Versions de client SEP et fonctions Symantec EDR prises en charge
Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)