Sedr Installation Guide S550 4.5

Guide d'installation de Symantec™ Endpoint Detection and
Response 4.5 pour l'appliance S550

Guide d'installation de Symantec™ Endpoint Detection and Response 4.5 pour
l'appliance S550
Table of Contents
Déclaration de copyright.....................................................................................................................4
Configuration requise.......................................................................................................................... 5
Prise en charge des versions de Symantec EDR pour les appliances...................................................................... 5
Configuration requise de navigateur pour le Console de l'appliance EDR;.............................................................. 5
Configuration requise pour l'intégration de Symantec Endpoint Protection............................................................ 5
Planification pour l'installation...........................................................................................................7
Liste de contrôle de pré-installation pour les appliances physiques........................................................................ 7
Fiche d'installation de l'appliance physique................................................................................................................. 8
À propos des rôles opérationnels, modes opérationnels et connexions réseau................................................... 12
À propos de la sélection d'un analyseur de réseau.................................................................................................. 16
À propos des configurations réseau et des connexions de port............................................................................. 16
Meilleur emplacement de l'appliance dans votre réseau.......................................................................................... 18
Ports du pare-feu requis............................................................................................................................................... 22
Recommandations de proxy......................................................................................................................................... 27
Matrice de prise en charge de plate-forme Symantec EDR...................................................................................... 27
Obtention d'un fichier de licence Symantec EDR et installation..............................................................................29
Installation de l'appliance physique................................................................................................ 30
Flux de travaux de l'appliance S550............................................................................................................................ 30
Branchement des câbles sur l'appliance S550........................................................................................................... 31
Mise sous tension de l'appliance S550 et vérification des témoins lumineux........................................................ 33
Configuration d'un terminal série ou d'un logiciel d'émulation de terminal............................................................34
Montage en rack de l'appliance S550.......................................................................................................................... 34
Exécution du bootstrap.....................................................................................................................39
Exécution du bootstrap pour configurer l'appliance................................................................................................. 39
Exécution de l'assistant d'installation............................................................................................. 42
Exécution de l'assistant d'installation......................................................................................................................... 42
Commande status_check.............................................................................................................................................. 43
Tâches post-installation.................................................................................................................... 45
Finalisation des tâches de configuration.................................................................................................................... 45
Test de Symantec EDR pour une surveillance ou un blocage réussi(e)..................................................................47
Test du mode de contournement de l'appliance.......................................................................................................47
Accès à la Console de l'appliance EDR...................................................................................................................... 48
Appendix Materials............................................................................................................................ 50
Appendix A: Ports, connecteurs et indicateurs sur l'appliance....................................................51
À propos des ports, connecteurs et indicateurs des appliances..............................................................................51
2
l'appliance S550
Appendix B: Spécifications matérielles........................................................................................... 53

Spécifications de l'appliance Symantec S550.......................................................................................................... 53
Appendix C: Réinstallation de Symantec EDR sur l'appliance S550............................................ 55
Réinstallation de Symantec EDR sur l'appliance 550 à partir d'une clé USB ou d'un DVD..................................... 55
3
l'appliance S550
Déclaration de copyright
Déclaration de copyright
Broadcom, le logo Pulse, Connecting everything et Symantec font partie des marques commerciales de Broadcom.
Copyright ©2020 Broadcom. Tous droits réservés.
Le terme « Broadcom » se rapporte à Broadcom Inc. et/ou à ses filiales. Pour plus d’informations, consultez le site
www.broadcom.com.
Broadcom se réserve le droit d'apporter des modifications sans préavis à tous les produits ou données fournis ici pour
améliorer la fiabilité, le fonctionnement ou la conception. Les informations fournies par Broadcom sont jugées exactes
et fiables. Toutefois, Broadcom n'assume aucune responsabilité découlant de l'application ou de l'utilisation de ces
informations, ni l'application ou l'utilisation d'un produit ou d'un circuit décrit dans le présent document, et ne transmet
aucune licence dans le cadre de ses droits de brevet ou des droits des autres.
4
l'appliance S550
Configuration requise
Prise en charge des versions de Symantec EDR pour les appliances

L'appliance Symantec S550 prend en charge la version 4.1 de Symantec EDR et les versions ultérieures.
Les modèles d'appliance suivants prennent en charge Advanced Threat Protection 3.0 et version ultérieure, ainsi que
Symantec EDR4.0 et versions ultérieures :
• Dell 8880
• Dell 8840
Les appliances Symantec EDR 8880 et 8840 incluent un contrôleur d'accès distant intégré de Dell (iDRAC). Pour utiliser
la console iDRAC, la dernière version de Java Runtime Environment (JRE) doit être installée sur votre client administratif.
Informations sur la garantie pour les appliances Dell
Configuration requise de navigateur pour le Console de l'appliance

EDR;
La section Configuration du navigateur requise pour la Console de l'appliance EDR répertorie les navigateurs Web
compatibles avec la Console de l'appliance EDR. JavaScript doit être activé sur le navigateur et les cookies doivent être
acceptés. La résolution minimum pour afficher Console de l'appliance EDR est de 1280x1024.
Table 1: Configuration requise de navigateur pour le Console de l'appliance EDR;
Navigateur Version
Microsoft Internet Explorer 11 ou ultérieure

Note: Les filtres rapides ne sont pas pris en charge.
Mozilla Firefox 81.0 ou version ultérieure (64 bits)

Google Chrome 85.0.4183.121 ou version ultérieure (64 bits)
Microsoft Edge Version 85.0.564.63 ou version ultérieure (64 bits)
Safari Non pris en charge
Opera Non pris en charge
Configuration requise pour l'intégration de Symantec Endpoint

Protection
Configuration requise pour la version Symantec Endpoint Protection
Symantec Endpoint Detection and Responsepeut s’intégrer à Symantec™ Endpoint Protection pour améliorer les
informations sur les événements et fournir des fonctionnalités Endpoint Communications Channel (ECC). Symantec EDR
a certaines exigences de version reposant sur divers composants de SEP.
La version minimale de SEPM est la version 12.1 RU6 ou une version ultérieure. Symantec EDR peut se connecter à
plusieurs sites SEP avec une connexion par site SEP, jusqu’à un total de dix connexions aux hôtes SEPM.
5
l'appliance S550
Symantec EDR peut gérer les terminaux qui exécutent SEP 12.1 RU6 MP3 ou une version ultérieure avec la
fonctionnalité ECC complète. Cependant, les clients doivent exécuter SEP 14 ou une version ultérieure pour tirer profit de
la fonctionnalité de ECC 2.0.
Les terminaux client qui exécutent des versions antérieures à SEP 12.1 RU5 ne sont pas pris en charge. Certaines
fonctionnalités sont limitées pour les clients qui exécutent des versions entre 12.1 RU5 et 12.1 RU6 MP3 deSEP. La
documentation Symantec EDR décrit toutes les limites de fonctionnalité selon la version du client SEP.
Versions de client SEP et fonctions Symantec EDR prises en charge
Exigences de la base de données du collecteur de journaux Synapse
SEPM 14.3 RU1 ou ultérieur utilise Microsoft SQL Express comme base de données pour la collecte de
journaux.Symantec EDR peut accéder à la base de données sans configuration système requise pour l’hôte.
SEPM 14.3 MP1 ou une version antérieure prend en charge la base de données MS SQL Server ou une base de
données intégrée.Lorsque SEPM utilise une base de données intégrée, Symantec EDR utilise un collecteur de journaux
sur l’hôte SEPM. Ce collecteur de journaux exige que l'hôte SEPM s'exécute sur l'un des systèmes d'exploitation
suivants :
• Windows 7, (64 bits uniquement)
• Windows 8, (64 bits uniquement)
• Windows Server 2008
• Windows Server 2012
• Windows Server 2012 R2 ou ultérieur (recommandé)
Reportez-vous à la documentation Symantec Endpoint Protection pour connaître la configuration système SEPM requise.
Workflow : intégration de Symantec EDR à Symantec Endpoint Protection
Installation du collecteur de journaux Synapse
6
l'appliance S550
Planification pour l'installation
Liste de contrôle de pré-installation pour les appliances physiques

La section Liste de contrôle de pré-installation répertorie les actions à réaliser, ainsi que les informations nécessaires
avant de pouvoir installer une appliance physique.
Table 2: Liste de contrôle de pré-installation
Action/élément Description
Outils de collecte. Ayez les éléments suivants à disposition :

• Tournevis cruciforme n° 2
• Clé de 8 mm (ou clé à molette)
• Matériel de montage spécifique au rack
d'équipement (reportez-vous au guide de votre
rack d'équipement pour plus d'informations)
• Marqueur (facultatif)
• Ascenseur mécanique (facultatif)
• Kit de glissière
Assurez-vous que votre environnement dispose des ressources requises. Prise en charge des versions de Symantec EDR
pour les appliances
Matrice de prise en charge de plate-forme
Symantec EDR
Pour la configuration initiale, il vous faudra un ordinateur équipé d'un port L'ordinateur utilisé pour configurer l'appliance
Ethernet et ayant accès, via un navigateur web, aux éléments suivants : doit avoir accès au réseau de gestion relié au
• Le réseau de ports de gestion. périphérique Symantec EDR. Par exemple, en se
• L'IDRAC (appliance physique uniquement). connectant à un commutateur ou un routeur. Si
vous installez une appliance physique, l'ordinateur
doit également avoir l'accès réseau à l'iDRAC.
Installez un terminal de série local sur l'appliance. Pour exécuter le bootstrap, vous aurez besoin d'un
terminal de série (ordinateur). Cet ordinateur peut
être un serveur interne spécialisé et autonome ou
un serveur Windows qui exécute PuTTY. Cela peut
être pratique s'il fournit l'accès distant via RDP ou
HTTP. Cet ordinateur doit également être local sur
l'appliance.
Cette étape est uniquement requise si vous
installez une appliance S550.
Configuration d'un terminal série ou d'un logiciel
d'émulation de terminal
7
l'appliance S550
Action/élément Description
Ayez les câbles Ethernet (jusqu'à quatre câbles normaux et deux câbles croisés) Le nombre et les types de câbles dépendent de
à disposition. votre configuration réseau et du nombre de ports
LAN et WAN disponibles sur l'appliance. Par
exemple, pour permettre aux interfaces Ethernet de
négocier 1 000 Mbit/s, des câbles CAT5e ou CAT6
sont requis.
Vous pouvez avoir besoin de câbles croisés pour
un déploiement inline.
Vous n'avez pas besoin de câbles croisés si un
périphérique ou les deux (commutateur, pare-feu)
ont été connectés au port WAN et si le port LAN
dispose de la fonction automatique MDI/MDI-X.
Meilleur emplacement de l'appliance dans votre
réseau
Ouvrez les ports requis sur le pare-feu et les autres périphériques réseau. Assurez-vous que les ports nécessaires
sont ouverts sur votre pare-feu et les autres
périphériques réseau afin d'autoriser l'ensemble du
trafic vers ou à partir de l'appliance Symantec EDR.
Par exemple, HTTP 80 et HTTPS 443.
Ports du pare-feu requis
Décidez du rôle et du mode opérationnels. Les rôles de configuration opérationnelle sont les
suivants :
• All-in-one (Tout-en-un)
• Management platform (Plate-forme de gestion)
• Network scanner (Analyseur de réseau)
À propos des rôles opérationnels, modes
opérationnels et connexions réseau
À propos des configurations réseau et des
connexions de port
Obtenez le fichier de licence et assurez-vous qu'il est accessible. Assurez-vous que vous pouvez accéder au
fichier de licence Symantec et le sélectionner
depuis l'ordinateur que vous utilisez pour exécuter
l'assistant d'installation.
Obtention d'un fichier de licence Symantec EDR et
installation
Complétez la fiche d'installation. Prenez toutes les décisions dont vous aurez besoin
pour l'installation avant de commencer. Avec ces
informations à portée de main, vous êtes sûr que
le processus d'installation s'exécute facilement et
rapidement.
Fiche d'installation de l'appliance physique

Symantec EDR vous recommande de terminer la fiche d'installation complètement avant de commencer l'installation.
Fournissez cette liste de contrôle aux administrateurs qui effectueront les tâches d'installation. Vous devez également en
conserver une copie pour référence à des fins d'archivage et de sauvegarde.
8
l'appliance S550
Table 3: Configuration de l’iDRAC (installation de l’appliance Dell uniquement)
Configuration Description Valeur à saisir
Choisissez l'adresse IP, le Le contrôleur d'accès distant intégré (iDRAC) Adresse IP :

masque de sous-réseau, de l'appliance physique fournit un accès à ________.________.________.________
l'adresse de la passerelle l'appliance via la console. Bien qu'intégré, Masque de sous-réseau :
et le mot de passe pour l'iDRAC est un périphérique distinct qui _________________________________
l'iDRAC. requiert sa propre adresse réseau pour Adresse de la passerelle :
fonctionner. Le mot de passe est requis pour
________.________.________.________
accéder à l'interface basée sur navigateur de
Mot de passe :
l'iDRAC.
Fournissez ces informations à l'administrateur installant
l'appliance à l'aide d'une méthode sécurisée.
Assurez-vous que le mot de passe est conservé dans un
emplacement sécurisé à des fins d'archivage.
Configuration de l'iDRAC (appliance 8880 uniquement)

Configuration de l'iDRAC à l'aide d'un écran, d'un clavier et d'une souris facultative
Table 4: Configuration d'un terminal série ou d'un logiciel d'émulation de terminal (appliance S550 uniquement)
Configurez le logiciel Vous devez configurer le programme de • Débit en bauds : 9 600 bps
d'émulation de terminal. terminal pour pouvoir exécuter le bootstrap. • Parité : aucune
• Contrôle de flux : aucun
• Bits de données : 8
• Bits d'arrêt : 1
Configuration d'un terminal série ou d'un logiciel d'émulation de terminal
Table 5: Configuration de l’amorçage (toutes les appliances physiques)
New password: (Nouveau Nouveau mot de passe sécurisé pour la Fournissez ces informations à l'administrateur installant
mot de passe :) console. Ce mot de passe remplace le mot de l'appliance à l'aide d'une méthode sécurisée.
passe par défaut, symantec. Assurez-vous que le mot de passe est conservé dans un
Weak password (Mot de Note: Un mot de passe qui est semblable
passe faible) à un mot du dictionnaire, trop court ou
pas assez complexe est moins sécurisé. ________ Oui
Try another [y/n]? (En
essayer un autre [o/n] ?) Symantec EDR vous demande de confirmer à ________ Non
l'aide d'un mot de passe faible.
Re-enter new password: Confirmez le nouveau mot de passe. Fournissez ces informations à l'administrateur installant
(Saisissez à nouveau le l'appliance à l'aide d'une méthode sécurisée.
nouveau mot de passe :) Assurez-vous que le mot de passe est conservé dans un
9
l'appliance S550
Select one of the Spécifiez le rôle de l'appliance.

following appliance roles: À propos des rôles opérationnels, modes
1 = Management opérationnels et connexions réseau
platform ..., 2 = Network
scanner ..., 3 = All-in- _______ 1 - Plate-forme de gestion
one ... []? (Sélectionnez _______ 2 - Analyseur réseau
l'un des rôles d'appliance _______ 3 - Tout-en-un
suivants : 1 = Plate-
forme de gestion ..., 2 =
Analyseur réseau ..., 3 =
Tout-en-un ... [] ?)
Configure the Adresse IP statique pour le port de gestion.
management port. IPv4 Pour une plate-forme de gestion ou une
address []: (Configurez le appliance tout-en-un, cette adresse IP sert ________.________.________.________
port de gestion. Adresse à accéder à la Console de l'appliance EDR
IPv4 [] :) depuis un navigateur.
IPv4 Netmask []: (Masque Saisissez le masque de réseau pour l'adresse
________.________.________.________
de réseau IPv4 [] :) Ipv4 du port de gestion.
Gateway []: (Passerelle Saisissez l'adresse IP pour la passerelle
[] :) (commutateur ou routeur) à laquelle
________.________.________.________
l'appliance accédera pour communiquer avec
le reste de votre réseau.
Name server (IPv4) []: Adresse IP d'un serveur de noms que
(Serveur de noms (IPv4) l'appliance peut utiliser pour résoudre les ________.________.________.________
[] :) adresses IP.
Configure another Oui pour ajouter un serveur de noms ________ Oui
nameserver? [o/n] supplémentaire ou Non pour utiliser un ________.________.________.________
seul serveur de noms. Si oui, indiquez le ________ Non
adresse IP d'un deuxième serveur de noms.
Rôle d'analyseur de réseau Adresse IP du port de gestion de l'appliance
uniquement : de plate-forme de gestion qui contrôlera cet
IP address of the analyseur.
________.________.________.________
Management Platform:
(Adresse IP de la plate-
forme de gestion :)
Rôles de plate-forme de Mot de passe sécurisé pour chiffrer les Fournissez ces informations à l'administrateur installant
gestion ou d'analyseur de communications entre la plate-forme de l'appliance à l'aide d'une méthode sécurisée.
réseau uniquement : gestion et tous ses analyseurs de réseau. Assurez-vous que le mot de passe est conservé dans un
Communication Channel Ce mot de passe doit être le même pour la emplacement sécurisé à des fins d'archivage.
password: (Mot de plate-forme de gestion et tous les analyseurs
passe du canal de de réseau. Il doit être différent du mot de
communication :) passe de console de gestion. Les lettres, les
nombres, les points, les soulignements et
les traits d'union sont autorisés et le mot de
passe peut contenir jusqu'à 50 caractères.
Rôles de plate-forme de Confirmez le mot de passe. Fournissez ces informations à l'administrateur installant
gestion ou d'analyseur de l'appliance à l'aide d'une méthode sécurisée.
réseau uniquement : Re- Assurez-vous que le mot de passe est conservé dans un
enter Communication emplacement sécurisé à des fins d'archivage.
Channel password:
(Ressaisir le mot de
passe du canal de
communication)
10
l'appliance S550
Configure IPv4 static Oui pour configurer un itinéraire statique

routes ? [o/n] IPv4 ou non pour ignorer cette étape de
configuration.
________ Oui
Des itinéraires statiques peuvent être requis.
________ Non
Par exemple, utilisez les itinéraires statiques
pour connecter un analyseur de réseau à sa
plate-forme de gestion.
Destination (CIDR Si vous choisissez de configurer les itinéraires
allowed): (Destination statiques IPv4, indiquez l'adresse IP de
________.________.________.________
(CIDR autorisé) :) destination et l'adresse IP de passerelle.
Gateway: (Passerelle :)
Add another route? Oui pour configurer un itinéraire statique IPv4 ________ Oui (jusqu'à trois pris en charge)
(Ajouter un autre supplémentaire. Non pour passer à l'invite ________.________.________.________
itinéraire ?) [o/n] suivante. ________.________.________.________
Vous pouvez configurer jusqu'à 3 itinéraires ________.________.________.________
statiques IPv4 dans le bootstrap. Vous ________ Non
pouvez configurer des itinéraires statiques
supplémentaires dans la Console de
l'appliance EDR.
What do you want to call Nom pour identifier ce système dans Console
this device? (Comment de l'appliance EDR. Les lettres, les nombres,
voulez-vous appeler ce les espaces, les points et les traits d'union __________________________________
périphérique ?) sont autorisés et le nom peut contenir jusqu'à
50 caractères.
Set NTP server [](Définir Adresse IP ou nom de domaine complet du
le serveur NTP []) serveur NTP.
En définissant un serveur NTP, l'appliance ________.________.________.________
peut indiquer un horaire de détection précis, le
cas échéant.
Exécution du bootstrap pour configurer l'appliance
Table 6: Assistant d'installation
Accédez à Console de Il s'agit de l'adresse IP statique pour le port

l'appliance EDR. de gestion qui a été spécifié pendant le ________.________.________.________
bootstrap.
Upload License (Charger Pour que le périphérique Symantec EDR
une licence) soit fonctionnel, vous devez d'abord charger
une licence. Vous ne pouvez pas utiliser Emplacement de la licence Symantec EDR :
Symantec EDR après l'installation initiale ______________________________________
sans avoir charger de licence. Il n'existe
aucune période de grâce.
SMTP Settings Symantec vous recommande vivement de spécifier les paramètres SMTP dans l'assistant d'installation.
(Paramètres SMTP) Cela vous permet de récupérer un mot de passe perdu. Autrement, vous pouvez cocher la case Skip
adding SMTP server configuration (Ignorer l'ajout de la configuration du serveur SMTP) et
spécifier les paramètres plus tard dans Console de l'appliance EDR.
SMTP Server (Serveur Nom de domaine complet et numéro de port
________.________.________.________
SMTP) et Port du serveur de messagerie sécurisé.
11
l'appliance S550
Appliance Email (Courrier Adresse électronique à partir de laquelle les

électronique d'appliance) alertes, telles qu'une notification d'expiration ___________________@_____________._____
de licence, sont envoyées.
Authorize (Autoriser) Si votre serveur de messagerie nécessite Nom d'utilisateur :
une connexion sécurisée pour recevoir des _______________________________
messages, saisissez un nom d'utilisateur et Mot de passe :
un mot de passe que Symantec EDR peut Fournissez ces informations à l'administrateur installant
utiliser pour s'authentifier auprès du serveur l'appliance à l'aide d'une méthode sécurisée.
de messagerie. Assurez-vous que le mot de passe est conservé dans un
Create an Administrative Il s'agit des informations d'authentification pour le compte administrateur initial. Cette identification est
account (Créer un nécessaire pour finaliser l'assistant d'installation.
compte administratif) L'administrateur peut créer des comptes utilisateur supplémentaires, y compris des comptes
administrateur supplémentaires.
Nom de connexion Nom de connexion de l'administrateur initial _______________________________
Display name (Nom Nom d'affichage initial de l'administrateur tel
d'affichage) qu'il apparaît dans Console de l'appliance _______________________________
EDR.
Adresse électronique de Adresse électronique de l'administrateur
____________________@____________._____
l'utilisateur initial pour les notifications.
Exécution de l'assistant d'installation

Fiche d'installation terminée par :
Nom : _______________________________________ Date : _________________________
Fourni à :
Administrateur EDR : _____________________________ Date : _________________________
À propos des rôles opérationnels, modes opérationnels et connexions

réseau
Vous configurez chaque appliance pour Symantec EDR avec un rôle et un mode opérationnels. Ces rôles déterminent la
connexion du périphérique à votre réseau et la façon dont il protège votre réseau et signale des menaces.
Rôles opérationnels | Modes opérationnels et connexions réseau
Rôles opérationnels
12
l'appliance S550
Vous pouvez déployer l'appliance en tant que plate-forme de gestion, analyseur de réseau ou appareil tout-en-un. Vous
assignez le rôle opérationnel lorsque vous exécutez le bootstrap sur l'appliance. Ces rôles ont la fonctionnalité suivante :
Management platform Si plusieurs appliances sont installées, l'une d'entre elles doit être déployée dans le rôle Management
(Plate-forme de gestion) platform (Plate-forme de gestion).
Une plate-forme de gestion héberge la Console de l'appliance EDR et affiche les incidents et les terminaux
vulnérables pour tous les analyseurs connectés. La plate-forme de gestion présente une vue complète des
activités malveillantes sur votre réseau. La plate-forme de gestion centralise également les fonctions de
configuration, de gestion et de rapport.
La plate-forme de gestion n'analyse pas le trafic réseau.
Network scanner Si plusieurs appliances sont installées, tous les périphériques à l'exception de la plate-forme de gestion
(Analyseur de réseau) doivent être déployés comme analyseurs de réseau. Chaque analyseur de réseau peut surveiller le trafic
sur un réseau différent et envoyer ses données d'incidents à la plate-forme de gestion. Selon le mode
opérationnel, l'analyseur peut aussi bloquer le trafic malveillant en temps réel.
Un analyseur réseau ne dispose pas de la Console de l'appliance EDR. Vous devez configurer et gérer
l'analyseur de réseau à partir de la plate-forme de gestion. Les données sur les incidents sont consolidées
avec celles d'autres analyseurs de réseau et signalées à partir de la plate-forme de gestion. Au fur et à
mesure que le réseau s'étend, des analyseurs supplémentaires peuvent être installés et connectés à la
plate-forme de gestion pour protéger les nouveaux réseaux.
All-in-one (Tout-en-un) Si une seule appliance est installée, elle doit être déployée en mode tout-en-un. Un périphérique tout-en-
un remplit à la fois les fonctions de plate-forme de gestion et d'analyseur de réseau.
NOTE
Un périphérique tout-en-un ne peut pas faire office de plate-forme de gestion pour des analyseurs de réseau.
Seule une appliance à laquelle est affecté le rôle de plate-forme de gestion peut gérer un analyseur de réseau.
Les rôles que vous choisissez dépendent du débit du trafic réseau. Pour de petites et moyennes installations, vous devez
avoir une appliance s'exécutant dans le rôle tout-en-un. Pour les plus grandes installations, installez plusieurs appliances,
avec l'une d'entre elles ayant le rôle de plate-forme de gestion et les appliances restantes opérant en tant qu'analyseurs
de réseau.
Pour modifier le rôle opérationnel d'une appliance après l'installation initiale, vous devez réinstaller le logiciel de
l'appliance.
Modes opérationnels et connexions réseau
Le mode opérationnel contrôle le traitement de votre trafic réseau. Il affecte également la connexion physique de
l'appliance à votre réseau.
Les modes opérationnels et les connexions réseau de Symantec EDR décrivent les modes de Symantec EDR disponibles
pour les appliances et les connexions réseau requises pour chaque rôle. Vous devez assigner une adresse IP statique à
chaque connexion réseau de Symantec EDR.
13
l'appliance S550
Table 7: Modes opérationnels et connexions réseau de Symantec EDR
Mode Description Connexions réseau requises
Inline Block En mode Inline Block (Blocage inline), le trafic réseau traverse 1 gestion
(Blocage inline) l'appliance entre les terminaux client et Internet. Tous les 2 WAN
téléchargements de fichier, sites Web consultés et trafics 2 LAN
considérés malveillants sont bloqués. Seul le mode Inline Block (Modèle 8880 seulement : 2 réseaux WAN et 2
(Blocage inline) assure la protection en temps réel contre les réseaux locaux)
menaces.
L'appliance virtuelle possède une interface inline en mode Inline
Block (Blocage inline).
Le modèle ATP 8880 possède deux interfaces Inline en mode
Inline Block (Blocage inline).
Note: Le mode Inline Block (Blocage inline) n'est pas
recommandé pour les appliances virtuelles car le mode de
contournement n'est pas disponible pour un déploiement virtuel.
Inline Monitor En mode Inline Monitor (Surveillance inline), le trafic réseau 1 gestion
(Surveillance inline) traverse l'appliance entre les terminaux client et Internet. Les 2 WAN
fichiers, sites Web et trafics malveillants sont consignés pour 2 LAN
une meilleure visibilité mais ne sont pas bloqués. Toutes les 1 WAN
menaces détectées en mode Inline Monitor (Surveillance inline) 1 réseau local
doivent être atténuées manuellement.
(Modèle 8880 seulement : 2 réseaux WAN et 2
Le mode Inline Monitor (Surveillance inline) est souvent utilisé réseaux locaux)
en tant que test des performances système et pour analyser
le comportement potentiels du blocage (à partir des rapports)
avant la mise en œuvre du blocage. Les connexions physiques
pour les modes Inline Block (Blocage inline) et Inline Monitor
(Surveillance inline) sont identiques, ainsi aucun recâblage n'est
nécessaire lorsque vous basculez entre ces modes.
L'appliance physique possède deux interfaces inline en mode
Inline Monitor (Surveillance inline).
L'appliance virtuelle possède une interface inline en mode Inline
Monitor (Surveillance inline).
Note: Le mode Inline Monitor (Surveillance inline) n'est pas
recommandé pour les appliances virtuelles car le mode de
contournement n'est pas disponible pour un déploiement virtuel.
14
l'appliance S550
Mode Description Connexions réseau requises
Contournement Une appliance physique configurée pour le mode Inline Identique aux modes Inline Block (Blocage
(sécurité de mode bascule automatiquement dans le mode de contournement inline) et Inline Monitor (Surveillance inline)
inline) si elle ne peut pas fonctionner. Elle bascule également dans
le mode de contournement si elle est désactivée. En mode
de contournement, le trafic Internet continue à traverser les
ports LAN et WAN, mais aucun blocage ni surveillance ne se
produisent. Les opérations normales reprennent lorsque vous
redémarrez l'appliance ou réactivez l'analyse.
Les cartes réseau de Symantec EDR fonctionnent soit dans
leur mode standard de carte d'interface réseau (aucune
transition entre les ports réseau local et WAN), soit dans le
mode contournement (en assurant la transition entre les ports
réseau local et WAN) selon ces circonstances :
• Installé hors de la zone :
Mode standard de carte d'interface réseau (NIC)
• Configuré pour le déploiement inline :
Mode de contournement
• Configuré pour le déploiement en mode Tap :
• Mis en image (paramètres d'usine réinitialisés) après les
déploiements précédents :
Le mode de contournement n'est pas disponible pour les
appliances virtuelles. Si une appliance virtuelle ne peut pas
fonctionner ou est désactivée, des communications réseau
sont interrompues. C'est pourquoi les modes Inline Block
(Blocage inline) et Inline Monitor (Surveillance inline) ne sont
pas recommandés pour des appliances virtuelles.
Tap En mode Tap, l'appliance se connecte à un port Tap ou Span 1 gestion
sur un commutateur. L'appliance supervise une copie du 1 connexion de contrôle pour chaque réseau
trafic entre les terminaux clients et Internet, si bien que la surveillé
surveillance et la consignation des incidents n'affectent pas les
performances du réseau. Puisque les moteurs de surveillance
et de consignation fonctionnent à différents intervalles, il peut se
produire un léger retard dans la détection des incidents. Toutes
les menaces doivent être atténuées manuellement.
L'appliance peut surveiller jusqu'à quatre ports de contrôle sur
des réseaux distincts en mode Tap.
L'appliance virtuelle peut surveiller jusqu'à deux ports de
contrôle sur des réseaux distincts en mode Tap.
Le modèle 8880 peut surveiller jusqu'à quatre ports de contrôle
sur des réseaux distincts en mode Tap. Le modèle 8840 peut
surveiller jusqu'à deux ports de contrôle sur des réseaux
distincts en mode Tap.
Management En mode plate-forme de gestion, toutes les communications 1 gestion
platform (Plate- et la gestion transitent par le port de gestion. Dans la mesure
forme de gestion) où une appliance de plate-forme de gestion n'assure pas
d'analyse, seule la connexion de gestion est requise.
Vous choisissez le mode de fonctionnement d'un appareil tout-en-un ou d'un analyseur réseau depuis la Console de
l'appliance EDR. Une plate-forme de gestion fonctionne automatiquement en mode plate-forme de gestion.
Configuration des paramètres d'interface réseau et activation de l'analyse
À propos des configurations réseau et des connexions de port
15
l'appliance S550
Meilleur emplacement de l'appliance dans votre réseau

Comment Symantec EDR applique les politiques de liste d'interdictions en fonction de votre mode opérationnel
À propos de la sélection d'un analyseur de réseau

Les facteurs suivants déterminent le nombre d'analyseurs de réseau recommandés.
Matériel VS virtuel Prenez cette décision en fonction de votre infrastructure actuelle. Les utilisateurs utilisant
beaucoup VMware préféreront sûrement utiliser des appliances virtuelles. Les utilisateurs avec
peu ou pas d'équipements VMware devraient utiliser l'appliance matérielle.
Les solutions matérielles disposent de cartes d'interface réseau de contournement. De ce
fait, en cas d'échec, Symantec EDR continue à passer le trafic lors du déploiement inline. Par
conséquent, l'infrastructure matérielle est recommandée pour les déploiements inline.
Pour plus d'informations, consultez le Guide d'installation de votre plate-forme respective
(appliance physique ou virtuelle).
Bande passante disponible Les solutions matérielles ont un débit plus élevé que les solutions virtuelles.
10 Go par port.
R220 et R330 ont un débit de 1 Gbits/s dans leur carte d'interface réseau unique. R720 et R730
ont deux cartes d'interface réseau qui peuvent atteindre 1 Gbits/s chacune.
Pour plus d'informations, consultez le Guide de dimensionnement Symantec Endpoint Detection
and Response.
Nombre total de terminaux dans Tandis que chaque déploiement varie, l'appliance physique a une capacité d'environ
l'entreprise 25 000 connexions simultanées. Ces nombres s'appliquent au mode inline. En mode Tap, le
matériel peut prendre en charge environ deux fois le nombre de connexions du mode inline.
Les VM peuvent traiter 2 000 connexions simultanées.
Tandis que chaque déploiement varie, R220 et R330 ont une capacité d'environ
10 000 connexions simultanées. R720 et R730 peuvent prendre en charge 25 000 connexions
simultanées. Ces nombres s'appliquent au mode inline. En mode Tap, le matériel peut prendre en
charge environ deux fois le nombre de connexions du mode inline.
Fonctionnalités Symantec EDR Si le déploiement utilise principalement l'analyse réseau, un déploiement de plate-forme de
gestion et d'analyseur distinct permet d'augmenter la capacité d'analyse. Dans ce cas, l'appliance
physique a plus de capacité de stockage et convient à la plate-forme de gestion. Le nombre
d'analyseurs dépend du nombre de points entrants et sortants dans le réseau et de la quantité de
trafic sur ces points.
Un déploiement tout-en-un doit pouvoir gérer tout le trafic pour la croissance prévue de la
société pour la durée de vie de l'appliance. Si le déploiement fonctionne principalement comme
Symantec EDR: Terminal, sélectionnez un déploiement tout-en-un.

Le tableau suivant décrit les méthodes de connexion de Symantec Endpoint Detection and Response à votre réseau.
NOTE
Les connexions de port varient selon le modèle d'appliance, la version et le rôle.
16
l'appliance S550
Connexions prises en charge par le rôle de l'appliance
Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à
Port Span/Tap simple Cette configuration Port sur votre Connectez Monitor1 Non utilisé
surveille le trafic entre commutateur LAN à la prise ou au port
les terminaux et Internet, de réseau de votre
mais ne bloque pas les commutateur LAN qui est
transferts de fichiers ou défini en mode Span
les sites web. Le trafic lié
à Internet est copié sur
le port du commutateur à
l'aide de la mise en miroir
de port qui est configurée
sur le commutateur lui-
même.
Cette configuration utilise
deux ports de contrôle
et une connexion de
gestion. Cette installation
est facile et est utile
comme premier test de
Symantec EDR.
Port Span/Tap avec Cette configuration utilise Port sur votre Connectez Monitor1 Connectez Monitor2
plusieurs ports de deux ports de contrôle commutateur LAN à la prise ou au port à la prise ou au port
contrôle et une connexion de de réseau de votre de réseau de votre
gestion. Les ports de commutateur LAN qui est commutateur LAN qui est
contrôle supplémentaires défini en mode Span défini en mode Span
permettent à la même
appliance de se
connecter à plusieurs
commutateurs de
différents sous-réseaux.
Cette configuration ne
bloque pas les transferts
de fichiers ou les sites
Web.
Intégré simple Vous pouvez bloquer des Port sur votre Port LAN du pare-feu Port sur votre
transferts de fichiers et commutateur LAN Internet commutateur LAN
des sites Web à l'aide de
cette configuration.
La configuration
inline requiert plus de
connexions réseau
que le port Span/
Tap. Idéalement, il est
conseillé de déployer
Symantec EDR inline
entre le client et le pare-
feu. Si voSi vous utilisez
un proxy, connectez
l'appliance &; entre le
client et le proxy.us
utilisez un proxy,
vous devez connecter
l'appliance entre le client
et le proxy.
17
l'appliance S550
Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à
Intégré avec deux pare- Vous pouvez connecter Port sur votre Port LAN du pare-feu Port sur votre
feux, deux proxys et deux deux appliances à deux commutateur LAN Internet commutateur LAN
appliances pare-feux dans le cadre
d'un environnement
à haute disponibilité.
Vous pouvez configurer
les pare-feux dans le
basculement actif/actif ou
le basculement actif/en
attente. Configurez les
appliances de manière
identique, à l'exception
des paramètres réseau.
Les deux appliances
doivent être connectées
à la même plate-forme de
gestion.
Management platform En configuration plate- Port sur votre Non utilisé Non utilisé
(Plate-forme de gestion) forme de gestion, une commutateur LAN
appliance est configurée
pour gérer d'autres
appliances. Cette
appliance n'analyse
pas, elle requiert donc
seulement une connexion
de gestion.

Votre appliance doit être placée selon qu'elle constitue une plate-forme de gestion, un analyseur de réseau ou un
périphérique tout-en-un. L'appliance de Symantec Endpoint Detection and Response doit pouvoir effectuer les tâches
suivantes selon son rôle :
• Analyser tout le trafic réseau entrant et sortant de l'organisation
• Détermine la source et l'emplacement de tout le trafic
• Détecter les terminaux de connexion internes
• Agir en tant que proxy de réseau pour les terminaux (si elle s'intègre à Symantec Endpoint Protection Manager)
• A un impact minime sur les performances du réseau
Si votre architecture inclut une zone démilitarisée (DMZ) et que vous intégrez Symantec EDR à Symantec Endpoint
Protection, ne placez pas ce qui suit dans la zone DMZ :
• Appliance de plate-forme de gestion
• Appliance tout-en-un
• SEP
Déployer l'appliance entre un proxy et le pare-feu empêche Symantec EDR de détecter l'adresse IP du terminal client
source. Par conséquent, dans ce scénario, vous devez activer le champ d'en-tête X-Forwarded-For:. Vous aurez peut-
être besoin également de configurer votre pare-feu pour éliminer le champ d'en-tête X-Forwarded-For:.
Spécification du trafic que le proxy examine
Symantec EDR n'analyse pas le trafic entre les ordinateurs internes, sauf lorsque l'un de ces ordinateurs est un serveur
proxy. Le trafic interne qui est conduit vers un serveur proxy est analysé parce qu'il s'agit d'un trafic réseau sortant.
18
l'appliance S550
Si vous voulez que Symantec EDR accède à Internet via un serveur proxy, vous devez traiter l'appliance en tant
que périphérique approuvé et désactiver l'authentification. Symantec EDR ne prend pas en charge le transfert des
informations d'authentification de base au proxy. Symantec EDR prend en charge l'authentification par mot de passe
simple ou de base au proxy.
Vous pouvez utiliser le port de gestion pour n'importe lequel des éléments suivants :
• Pour accéder à la Console de l'appliance EDR.
• Pour la communication avec les serveurs de Symantec (par exemple, LiveUpdate, sandboxing basé sur le cloud,
Insight, télémétrie, etc..).
• Pour faciliter la communication avec SEPM et les terminaux client pour le proxy de terminal client.
Le réseau de gestion ne doit pas être ouvert sur Internet dans sa globalité. Si vous devez accéder au réseau de gestion
depuis l'extérieur, un VPN ou une connexion de bureau à distance de courte durée est recommandé.
En mode inline, le port de gestion doit être sur un sous-réseau différent de l'interface inline.
Les schémas suivants affichent des exemples de configurations réseau.
NOTE
Vous pouvez utiliser l'appliance ATP 8840 ou 8880 dans n'importe laquelle de ces configurations.
Des câbles croisés peuvent être nécessaires pour le déploiement inline si les périphériques connectés aux ports WAN et
LAN ne disposent pas de la configuration automatique MDI/MDI-X.
19
l'appliance S550
20
l'appliance S550
21
l'appliance S550

Flux de travaux d'installation d'une appliance physique
Workflow d'installation d'une appliance virtuelle
Ports du pare-feu requis

Selon la configuration de votre réseau, il est peut être nécessaire d'ouvrir certains ports sur votre pare-feu et de modifier
les règles de ce dernier. Ces modifications vous permettent d'autoriser certaines URL qui sont essentielles au bon
fonctionnement de Symantec Endpoint Detection and Response.
22
l'appliance S550
Les adresse Web et IP Symantec EDR répertorient les adresses Web et IP auxquelles Symantec EDR doit accéder.
Table 8: Adresses web et IP Symantec EDR
Adresses web/adresse IP Protocole Port Description
• remotetunnel1.edrc.symantec.com HTTPS 443 Autorise l'accès à distance du support de

• remotetunnel2.edrc.symantec.com Symantec à l'appliance Symantec EDR.
• remotetunnel3.edrc.symantec.com
https://api-gateway.symantec.com TCP 443 Accède au service Targeted Attack Analytics
de Symantec.
licensing.dmas.symantec.com TCP 443 Utilisé pour obtenir la licence Cynic.
api.us.dmas.symantec.com TCP 443 Utilisé pour effectuer des requêtes auprès des
api.eu.dmas.symantec.com serveurs Cynic aux Etats-Unis et au Royaume-
Uni (obligatoire).
liveupdate.symantec.com TCP 80 Utilisé pour rechercher et télécharger des
définitions pour les technologies de détection
de Symantec.
ratings-wrs.symantec.com TCP 443 Utilisé pour questionner le serveur Norton Safe
Web pour identifier des sites Web malveillants.
stnd-avpg.crsi.symantec.com TCP 443 Utilisé pour envoyer la télémétrie de détection
stnd-ipsg.crsi.symantec.com à Symantec.
register.brightmail.com TCP 443 Utilisé pour enregistrer l'appliance.
swupdate.brightmail.com TCP 443 Utilisé pour rechercher et télécharger de
nouvelles versions de Symantec EDR.
shasta-rrs.symantec.com TCP 443 Utilisé pour effectuer des recherches de
shasta-mrs.symantec.com réputation pour les fichiers exécutables
Windows et les fichiers d'installation APK.
datafeedapi.symanteccloud.com TCP 443 Utilisé pour télécharger Email Security.cloud et
EDR : événements itinérants.
stats.norton.com TCP 443 Lorsque la télémétrie est configuré, utilisé
pour envoyer la télémétrie de statistiques à
Symantec.
telemetry.symantec.com TCP 443 Lorsque la télémétrie est configurée, utilisé
pour envoyer la télémétrie de fichiers et
pour charger les packages de diagnostic sur
Symantec.
Console de l'appliance EDR TCP 443 (entrant) ou dans Accès à l'API publique de Symantec EDR.
la plage de 1024 à
9997
https://sso1.edrc.symantec.com TCP 443 Utilisé pour l'authentification unique.
Les ports et paramètres Symantec EDR décrivent les ports utilisés par Symantec EDR pour les communications, les
mises à jour de contenu et les interactions avec des services de détection Symantec.cloud.
23
l'appliance S550
Table 9: Ports et paramètres Symantec EDR
Service Protocole Port De A Description
Sauvegarde FTP; SSH 20 TCP, UDP Appliances de Serveur de Serveur FTP : FTP Ports 20,
21 TCP plate-forme de stockage de 21
22 TCP, UDP gestion ou tout- sauvegarde Serveur SSH : SSH Port 22.
en-un configuré
(Trafic interne)
Notifications par courrier SMTP 25 TCP Appliance de Serveur SMTP Communication avec le
électronique 587 TCP plate-forme de (Trafic interne) serveur SMTP.
gestion ou tout-
en-un
Mises à jour de contenu HTTP 80 TCP Toutes les Symantec Les définitions de virus et
appliances (trafic externe) de Vantage ainsi qu'un autre
contenu que LiveUpdate
fournit.
Ce port est nécessaire au bon
fonctionnement du produit.
Réalisation de statistiques HTTP 80 TCP Toutes les Symantec Envoie les données à
appliances (trafic externe) Symantec à des fins
statistiques et diagnostiques.
Les données privées ne sont
pas envoyées via ce port.
(ECC) 2.0 HTTPS 443 Terminaux SEP Symantec EDR Transmet des commandes vers
HTTP 80 gérés les terminaux.
À propos de Endpoint
Communications Channel
ECC 1.0 HTTPS 8446 Symantec EDR SEPM Commandes vers SEPM.
Envois RRS/de terminal HTTPS 443 SEP Symantec EDR Le cloud privé SEPM qui
ECC 2.0 HTTP 8080 permet aux points de
terminaison de communiquer
avec Symantec EDR.
Envois RRS/de terminal HTTPS 443 SEP Symantec EDR Le cloud privé SEPM qui
ECC 1.0 HTTP 80 permet aux points de
HTTP 8443¹ terminaison de communiquer
avec Symantec EDR.
Détection de cloud Si 443 TCP Toutes les Symantec Requêtes de service du cloud
Symantec, analyse et l'enregistreur appliances (trafic externe) et échanges de données de
services de corrélation et d'activité de télémétrie.
services de télémétrie terminal est Si l'enregistreur d'activité
activé de terminal est activé,
Si SEPenvoie des événements de
l'enregistreur condamnation directement à
d'activité de Symantec EDR.
terminal est
désactivé
Informations de conviction HTTPS HTTP 8080 TCP Clients SEP Plate-forme Informations sur les fichiers et
de prévention d'intrusion et ou HTTPS 443 de gestion le trafic réseau détectés par
antivirus TCP Symantec EDR SEP
HTTP 80 TCP ou
HTTPS 8443 TCP
24
l'appliance S550
Informations de conviction HTTPS 443 TCP Plate-forme Symantec (trafic Informations sur les fichiers et
de prévention d'intrusion et HTTP 80 de gestion externe) le trafic réseau détectés par
antivirus Symantec EDR SEP.
Mises à jour de produit HTTPS 443 TCP Toutes les Symantec Recherche et fournit de
appliances (trafic externe) nouvelles versions de
Symantec EDR.
Console de l'appliance HTTPS 443 TCP Client se Appliance de Accès à Console de l'appliance
EDR 443 (entrant) ou connectant plate-forme de EDR pour une appliance tout-
dans la plage de pour gérer une gestion ou tout- en-un ou une plate-forme de
1024 à 9997 appliance en-un gestion.
(Trafic interne)
Console de l'appliance SSH 22 Client se Plate-forme Accès à la ligne de commande
EDR, analyseurs de connectant de gestion, pour une appliance tout-en-un
réseau et tout-en-un pour gérer une analyseur ou ou une plate-forme de gestion.
appliance appliance tout-
en-un
(Trafic interne)
Connexion de Synapse JDBC TCP 1433 (par Appliance de SEPM Microsoft Obligatoire si Microsoft SQL
SEPM à Microsoft SQL défaut) plate-forme de SQL Server Server est utilisé pour SEPM et
Server (facultatif) gestion ou tout- (Trafic interne) Synapse.
en-un Les administrateurs SEPM
peuvent configurer un
port différent pour ces
communications.
Canal de communication AMQP 5671 TCP Appliance Management Communications entre la
(installations de plate- 5672 TCP d'analyseur de platform (Plate- plate-forme de gestion et les
forme de gestion et réseau forme de analyseurs de réseau.
d'analyseur de réseau gestion) Non nécessaire pour une
uniquement) (Trafic interne) installation tout-en-un. Après
l'échange initial sur ce port, la
communication est sécurisée.
Page de blocage (mode HTTP 8080 TCP Network scanner Terminaux Envoie la page de blocage
Blocage inline uniquement) (Analyseur de protégés lorsque le contenu est bloqué
réseau) (Trafic interne) au niveau d'un terminal client.
Non requis pour les modes
Inline Monitor (Surveillance
inline) ou Tap/Span.
Connexion de Synapse HTTPS 8081 TCP (par Appliance de Serveur SEPM Obligatoire si la base de
SEPM à la base de défaut) plate-forme de (Trafic interne) données intégrée est utilisée
données (dB) intégrée gestion ou tout- pour la connexion de Synapse
(facultatif) en-un à SEPM.
Pris en charge pour SEPM
14.3 MP1 et les versions
antérieures.
Connexion à la base de HTTPS TCP 2638 (par Appliance de MS SQL Express
données SEPM défaut) plate-forme de
gestion ou tout-
en-un
25
l'appliance S550
Connexion de Synapse HTTPS TCP 8446 (par Appliance de Serveur SEPM Nécessaire pour les
SEPM au service de défaut) plate-forme de connexions au serveur SEPM
gestion et de surveillance gestion ou tout- afin d'exécuter des tâches de
à distance des services en-un gestion.
Web (RMM) SEPM Par exemple, pour ajouter ou
(facultatif) supprimer des éléments de la
liste noire ou pour mettre un
terminal client en quarantaine.
Syslog Syslog Le port TCP Toutes les Serveur Syslog Si syslog est configuré,
(habituel) ou UDP appliances configuré cette connexion fournit des
doit être tel que (Le trafic interne messages de journal au syslog
configuré dans ou externe distant.
la Console de basé sur votre
l'appliance EDR environnement)
pour syslog
EDR: E-mail HTTPS 443 TCP Appliance de Symantec Cette connexion permet
EDR : itinérant plate-forme de à Symantec EDR de
gestion ou tout- collecter des événements de
en-un condamnation à partir d'EDR :
itinérant et EDR: E-mail
lorsque la corrélation Synapse
est activée pour l’un de ces
services.
Active Directory LDAPS 636 Appliance de Serveur Active Cette connexion permet à
plate-forme de Directory Symantec EDR d'intégrer
gestion ou tout- Active Directory pour
en-un l'authentification utilisateur.
Lien Security Analytics HTTPS 443 Appliance de Appliance Cette connexion permet à
TCP/UDP plate-forme de Symantec Symantec EDR d'intégrer
gestion ou tout- Security Symantec Security Analytics
en-un Analytics ou pour fournir un lien vers
appliance les événements de journal
virtuelle individuels permettant aux
utilisateurs d'accéder à des
informations supplémentaires
sur le mouvement de réseau
correspondant.
¹ Le port 8443 est disponible uniquement si vous utilisiez ce port auparavant sur les versions précédentes de Symantec
EDR que vous avez ensuite mis à jour à jour. Si vous installez Symantec EDR pour la première fois, ce port n'est pas
disponible.
Flux de travaux d'installation d'une appliance physique
Workflow d'installation d'une appliance virtuelle
26
l'appliance S550
Recommandations de proxy
Vous trouverez ci-après les recommandations de proxy de Symantec :
Analyse de réseau Les options de déploiement de proxy sont les suivantes :

• Déployer Symantec EDR entre le réseau interne et le proxy.
Nous recommandons cette configuration de déploiement.
Lorsque les clients déploient Symantec EDR entre le réseau interne et le proxy, cela permet à
Symantec EDR d'avoir une vue d'ensemble des informations concernant le terminal client.
Vous devez déployer Symantec EDR quand vous utilisez des serveurs proxys de répartition
de charge entre le réseau interne et batterie de serveurs proxy. Ces informations permettent à
Symantec EDR de basculer vers le proxy. Dans ce scénario, le port LAN du proxy représente
l'emplacement idéal pour brancher en ligne Symantec EDR.
• Déployer Symantec EDR entre le proxy et le pare-feu.
Lorsque les clients déploient Symantec EDR entre le proxy et leur pare-feu, ils doivent activer
la fonction X-forwarded-for (X-Transférer-pour) sur le proxy. Le pare-feu doit pouvoir supprimer
la balise X-forwarded-for (X-Transférer-pour). Les clients doivent consulter la documentation
concernant le pare-feu afin de savoir comment supprimer cette balise. L'inconvénient de ce
déploiement est qu'il demande des efforts plus importants pour le configurer.
Trafic de gestion à partir de Ce trafic de proxy ne prend pas en charge l'interception SSL. Si l'interception SSL du serveur proxy
Symantec EDR jusqu'aux est activée, les clients doivent créer une politique pour contourner le trafic Symantec. Cette politique
serveurs principaux Symantec empêche le proxy de contrôler le trafic Symantec, réduisant ainsi les demandes en ressources.
Matrice de prise en charge de plate-forme Symantec EDR

Utilisez la matrice ci-dessous pour vérifier que votre installation actuelle de Symantec EDR remplit les conditions requises
pour prendre en charge les fonctions de Symantec EDR.
Table 10: Matrice de prise en charge de plate-forme
Analyseur
ECC 2.0 ECC 2.0 Analyseur
Plate- uniquement
Config Spécif ECC 1.0 Événements Tous les uniquement
forme Débit mode
par défaut¹ événements Débit mode tap
inline
Ordinateur Voir les 12 cœurs 20 000 terminaux
20 000 terminauxNon pris en 300 Mbit/s 200 Mbps
virtuel spécifications Mémoire : 48 charge
ESXi/ VMware de Go
Symantec Disque dur :
EDR 3.0 ou 500 Go
version ultérieure
27
l'appliance S550
Analyseur
Plate- uniquement
forme Débit mode
inline
Voir les 12 cœurs 80 000 terminaux
80 000 terminaux10 000 terminaux
300 Mbit/s 200 Mbps²
spécifications Mémoire : 48
VMware avec Go
ajout de HD 1,5 To (disque
de Symantec dur de 1 To en
EDR 3.0 ou plus du disque
version ultérieure dur de 500 Go
de la machine
virtuelle
existante)
S550 Configuration par 18 cœurs 100 000 terminaux
100 000 terminaux
50 000 terminaux
sans objet sans objet
défaut Mémoire :
192 Go
Disque dur :
4 158 Go
8840 8840v1 Dell r220 4 cœurs 10 000 terminaux
Non pris en Non pris en 1.4 Gbit/s 950 Mbit/s
Mémoire : 32 charge charge
Go
Disque dur : 1
to
8840v2 Dell r330 4 cœurs 10 000 terminaux
Non pris en Non pris en 1.4 Gbit/s 950 Mbit/s
Go
Disque dur : 1
to
8880 8880v1 Dell r720 12 cœurs 50 000 terminaux
Non pris en Non pris en 2,7 Gbit/s 1,8 Gbit/s
Go
Disque dur :
931 Go
2,7 Gbit/s 1,8 Gbit/s
+ HD Mémoire : 96 50 000 terminaux
Go avec des
Disque dur : événements
4 158 Go de lancement
de processus
(mais aucun
événement
de fin de
processus)
Non pris en Non pris en 2,7 Gbit/s 1,8 Gbit/s
Mémoire : charge charge
96 Go
Disque dur :
558 Go
28
l'appliance S550
Analyseur
Plate- uniquement
forme Débit mode
inline
+ disque dur Mémoire : 50 000 terminaux
96 Go avec des
Disque dur : événements
4 158 Go de lancement
de processus
(mais aucun
événement
de fin de
processus)
100 000 terminaux
50 000 terminaux
+ mem et disque Mémoire :
dur 192 Go
Disque dur :
4 158 Go
¹ Les événements de lancement de processus et de fin de processus sont désactivés.

² Symantec ne prend pas en charge le mode Inline pour l'appliance virtuelle. Quand vous déployez une appliance virtuelle
en mode inline, vous courrez un risque car il n'y a aucune capacité de contournement.
Obtention d'un fichier de licence Symantec EDR et installation

Lorsque vous achetez Symantec EDR, Broadcom vous envoie un courrier électronique de confirmation de l’exécution
(courrier électronique de « Bienvenue ») qui contient votre numéro de série et un fichier de clé de licence.
Si vous n’avez pas reçu de courrier de bienvenue de Broadcom ou si vous ne parvenez pas à trouver votre fichier de clé de
licence, cliquez ici pour accéder au site Web de Broadcom sur lequel vous pouvez accéder au fichier de clé de licence.
Enregistrez le fichier de clé de licence à un emplacement auquel vous pouvez accéder à partir de la Console de l'appliance
EDR.
Installez le fichier de clé de licence dans la Console de l'appliance EDR pour l’activation du produit.
1. Dans la Console de l'appliance EDR, cliquez sur Settings > Global (Paramètres > Globaux).
2. Faites défiler vers le bas jusqu'à la section Licensing (Gestion des licences), puis cliquez sur Upload Licence
(Charger une licence).
3. Dans la boîte de dialogue Upload License (Charger une licence), accédez au fichier de licence, sélectionnez-le,
puis cliquez sur Upload (Charger).
La nouvelle licence prend effet immédiatement, bien qu'elle doive être distribuée à chacun des analyseurs. Si la
licence précédente a expiré, veillez à réactiver l'analyse sur tous les périphériques analyseurs.
Related Links
Symantec to Broadcom Transition Guide - My Entitlements (Manuel de transition de Symantec à Broadcom - Mes
droits)
29
l'appliance S550
Installation de l'appliance physique
Flux de travaux de l'appliance S550

Étape Action Description
1 Effectuez toutes les étapes Suivez la liste de contrôle de pré-installation pour vous assurer d'avoir tous les
de la liste de contrôle de éléments nécessaires pour installer une appliance. Cela permet de s'assurer
pré-installation. d'avoir terminé toutes les tâches requises avant le début de l'installation.
2 Installez l'appliance. Installez le matériel dans un rack et connectez les câbles réseau et les câbles
d'alimentation.
Branchement des câbles
Note: Le rôle des appliances (tout-en-un, plate-forme de gestion ou analyseur
de réseau) et le mode opérationnel déterminent les connexions câblées et les
mappages de ports.
Note: À propos des rôles opérationnels, modes opérationnels et connexions
réseau
Mise sous tension de l'appliance S550 et vérification des témoins lumineux
Configuration d'un terminal série ou d'un logiciel d'émulation de terminal
Montage en rack de l'appliance
3 Exécutez le bootstrap. Ouvrez la console et exécutez le bootstrap.
Pendant le bootstrap, vous êtes invité à indiquer les informations de
configuration de l'appliance. Votre administrateur Symantec EDR vous fournit
ces informations sur la liste de contrôle d'installation.
4 Exécutez la commande Exécutez la commande status_check pour déterminer si la connectivité
status_check. réseau a été correctement configurée. La commande répertorie tous les
éléments qui sont vérifiés et indique si chacun d'entre eux est correct ou pas.
Commande status_check
5 Exécutez l'assistant L'assistant d'installation Symantec EDR vous guide à travers les étapes de
d'installation. configuration obligatoires d'un périphérique tout-en-un ou de plate-forme de
Plate-forme de gestion gestion. Cette configuration inclut le chargement de la licence produit et la
ou appliances tout-en-un création du premier compte administrateur afin de vous permettre de vous
uniquement. connecter à la Console de l'appliance EDR.
6 Effectuez les tâches et Après avoir quitté l'assistant d'installation, connectez-vous à la Console de
configurations après l'appliance EDR. Effectuez les tâches recommandées pour démarrer l'analyse
l'installation. du trafic et collecter des données d'incident et d'événement.
Pour toutes les Finalisation des tâches de configuration
configurations à l'exception
de la plate-forme de
gestion.
30
l'appliance S550
Étape Action Description
7 Testez l'appliance. Exécutez à nouveau la commande status_check pour déterminer si les

paramètres de configuration ont été correctement spécifiés.
Symantec comporte une page Web de test, http://testatp.coe.org.uk, qui contient
une série de liens. Quand vous cliquez sur chacun des liens, un incident
correspondant doit s'afficher dans la base de données.
En mode Inline Block (Blocage inline), les téléchargements de fichiers
devraient être interrompus. Vous devez également tester si le mode Bypass
(contournement) fonctionne correctement.
Test de Symantec EDR pour une surveillance ou un blocage réussis
Test du mode de contournement de l'appliance
Branchement des câbles sur l'appliance S550
Assurez-vous que l'appliance est placée sur une surface plane. Si vous préférez monter l'appliance en rack, cliquez sur
le lien suivant :
Montage en rack de l'appliance
Les câbles réseau ne sont pas fournis avec l'appliance. Assurez-vous de n'utiliser que des câbles Ethernet directs. Les
câbles de catégorie 6A sont recommandés pour le fonctionnement par Ethernet.
La procédure suivante décrit un déploiement de terminal client typique pour les appliances Symantec EDR (voir
l'illustration ci-dessous).
31
l'appliance S550
1. Connectez l'extrémité RJ45 du câble série fourni au port série RJ45 du panneau arrière de l'appliance et connectez
l'autre extrémité DB9 du câble au terminal série ou au poste de travail exécutant le logiciel d'émulation de terminal.
La connexion en série est nécessaire pour effectuer la configuration initiale de l'appliance.
2. Connectez un câble Ethernet au port RJ45 eth0 étiqueté 0:0 et connectez l'autre extrémité au commutateur réseau de
gestion.
3. Connectez les cordons d'alimentation AC fournis à la prise d'alimentation de l'appliance et connectez les autres
extrémités à une source d'alimentation.
Si vous utilisez uniquement les fonctions Endpoint Communication Channel (ECC) ou si l'hôte est une plate-forme de
gestion, aucune étape supplémentaire n'est requise pour brancher les câbles. Accédez à la rubrique suivante :
Si vous utilisez des ports cuivre, passez à l'étape 4.
4. Effectuez l'une des opérations suivantes :
• Mode Inline Block (blocage instantané) et Inline Monitor (Surveillance instantanée) :
Connectez le port 2:0 au serveur qui héberge le pare-feu. Vous pouvez également connecter le port 2:2 à un autre
hôte de pare-feu en amont.
• Mode Tap :
Connectez l'un de ces ports à un port Tap/Span d'un commutateur ou d'un routeur.
32
l'appliance S550

• Mode Inline Block (blocage instantané) et Inline Monitor (Surveillance instantanée) :
Connectez le port 2:1 au réseau local d'entreprise. En option, vous pouvez également connecter le port 2:3 au
réseau local d'entreprise.
• Mode Tap :
Connectez l'un de ces ports à un port Tap/Span d'un commutateur ou d'un routeur.
Table 11: Récapitulatif du port vers la fonction
0:0 Port de gestion

2:0 Port WAN1
2:1 Port LAN1
2:2 Port WAN2
2:3 Port LAN2
Mise sous tension de l'appliance S550 et vérification des témoins

lumineux
Table 12: États de couleur des témoins lumineux du panneau avant
Témoins lumineux
État de couleur
du panneau avant
Témoin d'alimentation • Noir
Hors tension ou aucune alimentation électrique.
• Orange
Mise sous tension et en cours de démarrage.
• Vert clignotant
Le commutateur d’alimentation est inactif, mais sous tension.
• Vert
Allumé.
Témoin d'état du système • Noir
Hors tension ou aucune alimentation électrique.
1. Vérifiez que les cordons d'alimentation de l'appliance sont correctement connectés à une source d'alimentation.
2. Si l'appliance ne s'allume pas automatiquement, enfoncez le commutateur d'alimentation à l'arrière.
NOTE
L'état du commutateur d'alimentation de l'appliance (activé ou désactivé) est conservé lorsque l'alimentation
est supprimée. Il peut être nécessaire d'appuyer sur le commutateur d'alimentation pour remettre l'appliance
sous tension.
3. Vérifiez les points suivants au démarrage de l'appliance :
• Le témoin d'alimentation devient orange.
• Vers la fin du cycle de démarrage, le témoin d'alimentation clignote alternativement en orange et en vert, ce qui
indique que l'appliance n'est pas configurée.
• Une fois l'appliance configurée, le témoin d'alimentation est vert.
33
l'appliance S550
Configuration d'un terminal série ou d'un logiciel d'émulation de

terminal
Cette procédure concerne uniquement l'appliance S550.
1. Vérifiez que le port série RJ45 du panneau arrière de l'appliance est connecté à un terminal série ou à un poste de
travail exécutant le logiciel d'émulation de terminal.
2. Ouvrez un programme d'émulation de terminal, tel que Microsoft HyperTerminal®, PuTTY, Tera Term ou ProComm™.
3. Configurez le logiciel d'émulation de terminal sur les paramètres suivants :
Débit en bauds 9 600 bps

Parité Aucun
Contrôle de flux Aucun
Bits de données 8
Bits d'arrêt 1
Montage en rack de l'appliance S550

Cette rubrique décrit comment installer l'appliance dans un rack d'équipement à quatre montants.
ATTENTION Avant le montage en rack de l'appliance :

• Mettez l'appliance hors tension et déconnectez tous les câbles.
• Vérifiez que le poids du système ne dépasse pas la limite de poids du rack entièrement rempli.
Pour plus d'informations, reportez-vous aux instructions du fabricant fournies avec le rack.
• Pour assurer une stabilité du poids, chargez le rack de bas en haut.
• Consultez la section « Avertissements concernant le montage en rack » du Guide de sécurité et de conformité.
• Prenez des mesures de sécurité et de mise à la terre adéquates pour éviter les risques d'électrocution et
prévenir les blessures corporelles.
• L'appliance est très lourde ! Il est recommandé que l'appliance soit soulevée par deux personnes ou à l'aide d'un
appareil de levage mécanique pour la sortir du carton et l'installer sur le rack.
• Ne placez pas d'objets sur l'appliance et ne l'utilisez pas comme surface de travail. Son matériel de montage ne
prend pas en charge de poids supplémentaire.
Le kit de glissière de montage compris avec l'appliance Symantec EDR lui permet d'être montée en rack dans un rack
d'équipement à deux ou quatre montants. Le kit fournit l'équipement nécessaire pour monter des racks à 4 montants sans
outils et vous permet d'installer ou de retirer l'appliance depuis l'avant du rack.
Le kit de glissière comprend les pièces suivantes :
34
l'appliance S550
• (2) rails de châssis internes

• (2) rails de rack externes
• (1) kit pour les configurations de montage à deux montants
1. Démontez les deux rails latéraux en étendant complètement chaque rail et en faisant glisser les rails internes du
châssis.
2. Fixez les deux rails internes à l'appliance. Alignez chaque rail aux montants situés de chaque côté du châssis et faites
glisser les rails vers l'avant du châssis jusqu'à ce que les montants s'enclenchent.
35
l'appliance S550
3. Fixez les rails au rack. Insérez la partie avant de chaque rail dans le rack tout en ouvrant, puis en relâchant le loquet
avant. Répétez l'opération pour fixer l'arrière des rails, en ajustant la longueur de ces derniers selon les besoins.
Vérifiez que les rails sont installés à la même hauteur.
36
l'appliance S550
4. Installez l'appliance dans le rack. Alignez les rails internes (fixés à l'appliance) avec les glissières dans le rack et faites
glisser l'appliance doucement dans le rack jusqu'à ce qu'elle s'enclenche et se verrouille en place. L'appliance peut
être installée soit par l'avant, soit par l'arrière du rack.
37
l'appliance S550
5. Vous pouvez également étendre l’appliance à partir du rack :

a) Appuyez sur les leviers bleus du rack pour dégager les verrous de sécurité de la glissière.
b) Tout en continuant à appuyer sur les leviers, tirez doucement sur l'appliance ou poussez-la de sorte qu'elle sorte
par l'avant ou par l'arrière du rack.
c) Cessez immédiatement d'appuyer sur les leviers, afin que les verrous de sécurité des rails s'enclenchent lorsque
l'appliance est complètement étendue. Prenez soin de ne pas pousser ou tirer trop loin, surtout lorsque vous
appuyez sur les leviers bleus. Cela pourrait faire tomber l'appliance du rack.
d) Tout en continuant à appuyer sur les leviers, faites doucement glisser l'appliance pour la faire sortir par l'avant ou
par l'arrière du rack. Assurez-vous que l'appliance est soulevée par deux personnes ou à l'aide d'un appareil de
levage mécanique pour la sortir du rack.
6. Rebranchez les câbles et vérifiez que l'appliance fonctionne.
Branchement des câbles
38
l'appliance S550
Exécution du bootstrap

Étape 4 du flux de travaux d'installation de l’appliance virtuelle Symantec EDR : procédure d'installation de l'appliance
virtuelle.
Vous devrez ouvrir la fenêtre de la console pour exécuter le bootstrap.
Pendant le bootstrap, vous êtes invité à indiquer les informations de configuration de l'appliance. Votre administrateur
Symantec EDR vous fournit ces informations sur la fiche technique d'installation.
Fiche d'installation de l'appliance virtuelle
Quand le bootstrap est terminé, le système redémarre.
Vous pouvez réexécuter l'amorçage (par exemple, pour modifier certaines adresses IP) après l'installation initiale depuis
l'interface de ligne de commande à l'aide de la commande bootstrap. Vous ne pouvez pas réexécuter le bootstrap pour
modifier le rôle opérationnel de l'appliance.
Commande d'amorçage

Appliance virtuelle 1. Dans la fenêtre Integrated Remote Access Controller
(Contrôleur d'accès à distance intégré), cliquez sur la
fenêtre Virtual Console Preview (Prévisualisation de
console virtuelle) ou sur le lien Launch Console (Lancer
la console) situé sous cette fenêtre.
2. Pour ouvrir la fenêtre de la console via vSphere.
3. Dans le client vSphere, cliquez sur l'onglet Console.
4. Dans le menu de la barre d'outils, cliquez sur l'icône Play
(Lire).
Appliance physique 1. Appuyez sur le bouton de mise sous tension de l'appliance.
(Le démarrage de l'appliance prend quelques minutes.)
2. Accédez à la console par le biais du terminal de série oir
iDRAC.
2. Dans la fenêtre Integrated Remote Access Controller (Contrôleur d'accès à distance intégré), cliquez sur la
fenêtre Virtual Console Preview (Prévisualisation de console virtuelle) ou sur le lien Launch Console (Lancer la
console) situé sous cette fenêtre.
3. Pour ouvrir la fenêtre de la console via le client vSphere, cliquez sur l’onglet Console, puis dans le menu de la barre
d’outils, cliquez sur l’icône Play (Lire).
4. Dans la fenêtre de la console à l'invite de connexion, connectez-vous comme suit :
Nom d'utilisateur = admin
39
l'appliance S550
Mot de passe = symantec

Le bootstrap démarre automatiquement lors de votre première connexion avant la configuration.
Une fois la configuration terminée, vous pouvez à nouveau exécuter l'amorçage à l'aide de l'interface de ligne de
commande bootstrap.
5. Pour chaque invite, saisissez une réponse, puis appuyez sur Entrée pour préciser les informations requises.
Le tableau suivant décrit les invites de bootstrap :
New password: (Nouveau mot de passe :) Entrez un nouveau mot de passe sécurisé pour la console.
Ce mot de passe remplace le mot de passe par défaut,
symantec.
Weak password (Mot de passe faible) Un mot de passe qui est semblable à un mot du dictionnaire,
Try another [y/n]? (En essayer un autre [o/n] ?) trop court ou pas assez complexe est moins sécurisé.
Saisissez y pour supprimer le nouveau mot de passe et en
entrer un autre. Saisissez n pour conserver le nouveau mot
de passe précédemment entré.
Re-enter new password: (Saisissez à nouveau le nouveau mot de Pour confirmer le mot de passe, saisissez-le à nouveau,
passe :) puis appuyez sur Entrée. Si les deux mots de passe ne
correspondent pas, vous serez invité à saisir et retaper le mot
de passe une seconde fois.
Select one of the following appliance roles: Saisissez le nombre qui correspond au rôle pour cette
1 = Management platform ..., 2 = Network scanner ..., 3 = All-in- appliance. L'invite décrit chacun des rôles disponibles.
one ... []? (Sélectionnez l'un des rôles d'appliance suivants : 1 =
Plate-forme de gestion ..., 2 = Analyseur réseau ..., 3 = Tout-en-
un ... [] ?)
Configure the management port. IPv4 address []: (Configurez le Saisissez une adresse IP statique pour le port de gestion.
port de gestion. Adresse IPv4 [] :) Pour une plate-forme de gestion ou une appliance tout-en-un,
cette adresse IP sert à accéder à la Console de l'appliance
EDR depuis un navigateur.
IPv4 Netmask []: (Masque de réseau IPv4 [] :) Entrez le masque de réseau pour l'adresse du port de gestion
IPv4.
Gateway []: (Passerelle [] :) Saisissez l'adresse IP pour la passerelle (commutateur ou
routeur) à laquelle l'appliance accédera pour communiquer
avec le reste de votre réseau.
Name server (IPv4) []:(Serveur de noms (IPv4) [] :) Saisissez l'adresse IP d'un serveur de noms que l'appliance
peut utiliser pour résoudre les adresses IP.
Configure another nameserver? [o/n] Entrez y pour ajouter un serveur de noms supplémentaire
ou n pour utiliser un seul serveur de noms. Si vous entrez y,
vous êtes invité à saisir l'adresse IP d'un deuxième serveur
de noms.
Rôle d'analyseur de réseau uniquement : Saisissez l'adresse IP du port de gestion de l'appliance de
IP address of the Management Platform: (Adresse IP de la plate- plate-forme de gestion qui contrôlera cet analyseur.
forme de gestion :)
Rôles de plate-forme de gestion ou d'analyseur de réseau Saisissez un mot de passe sécurisé pour chiffrer les
uniquement : communications entre la plate-forme de gestion et tous ses
Communication Channel password: (Mot de passe du canal de analyseurs de réseau. Ce mot de passe doit être le même
communication :) pour la plate-forme de gestion et tous les analyseurs de
réseau. Il doit être différent du mot de passe de console
de gestion. Les lettres, les nombres, les points, les
soulignements et les traits d'union sont autorisés et le mot de
passe peut contenir jusqu'à 50 caractères.
40
l'appliance S550
Rôles de plate-forme de gestion ou d'analyseur de réseau Pour confirmer le mot de passe du canal de communication,
uniquement : Re-enter Communication Channel password: saisissez-le à nouveau et appuyez sur Enter
(Ressaisir le mot de passe du canal de communication) (Valider). Si les deux mots de passe ne correspondent
pas, vous serez invité à saisir et retaper le mot de passe une
seconde fois.
Configure IPv4 static routes ? [o/n] Entrez y pour configurer un itinéraire statique IPv4 ou n
pour ignorer cette étape de la configuration. Des itinéraires
statiques peuvent être requis. Par exemple, utilisez les
itinéraires statiques pour connecter un analyseur de réseau à
sa plate-forme de gestion.
Destination (CIDR allowed): (Destination (CIDR autorisé) :) Si vous choisissez de configurer les itinéraires statiques
Gateway: (Passerelle :) IPv4, vous serez invité à entrer l'adresse IP de destination et
l'adresse IP de passerelle.
Add another route? (Ajouter un autre itinéraire ?) [o/n] Après avoir configuré un itinéraire statique IPv4, saisissez
y en réponse à cette invite pour configurer un itinéraire
statique IPv4 supplémentaire. Entrez n pour accéder à l'invite
suivante.
Vous pouvez configurer jusqu'à 3 itinéraires statiques IPv4
dans le bootstrap. Vous pouvez configurer des itinéraires
statiques supplémentaires dans la Console de l'appliance
EDR.
What do you want to call this device? (Comment voulez-vous Saisissez un nom pour identifier ce système dans la Console
appeler ce périphérique ?) de l'appliance EDR. Les lettres, les nombres, les espaces,
les points et les traits d'union sont autorisés et le nom peut
contenir jusqu'à 50 caractères.
Set NTP server [](Définir le serveur NTP []) Saisissez l'adresse IP ou le nom de domaine complet du
serveur NTP.
En définissant un serveur NTP, l'appliance peut indiquer un
horaire de détection précis, le cas échéant.
6. Quand la configuration est terminée, la console affiche les paramètres que vous avez configurés, puis le message
Save changes? (Enregistrer les modifications ?) s'affiche. [y/n]. Entrez y pour enregistrer la configuration ou n
pour la rejeter et apporter des modifications.
Si vous saisissez n, le boostrap reprend depuis le début. La plupart des invites affichent la valeur précédente saisie.
Appuyez sur Entrée pour accepter la valeur précédente (si présente) ou entrez une nouvelle valeur pour corriger
l'entrée.
41
l'appliance S550

Étape 1 du flux de travaux d’installation de l’appliance virtuelle Symantec EDR : configuration du flux de travaux
Symantec EDR.
L'assistant d'installation Symantec Endpoint Detection and Response vous guide à travers les étapes de configuration
obligatoires d'un périphérique tout-en-un ou de plate-forme de gestion.
Pendant le bootstrap, vous avez assigné une adresse IP statique au port de gestion de l'appliance. Vous avez besoin de
cette adresse IP pour accéder à l'assistant d'installation et à Console de l'appliance EDR.
Le compte d'administrateur de la console dans le bootstrap est indépendant du compte administratif dans l'assistant
d'installation.
Une fois l'assistant d'installation terminé, cet identifiant d'assistant de connexion n'est plus disponible.
NOTE
L'appliance peut prendre quelques minutes pour s'initialiser et démarrer les services requis avant de pouvoir
exécuter l'assistant d'installation. Si l'adresse IP du port de gestion ne répond pas, attendez quelques minutes et
réessayez.
1. Sur un ordinateur accessible à l’appliance, ouvrez une fenêtre sur un navigateur pris en charge et saisissez :
https://<Adresse IP du port de gestion>.
Par exemple, si vous affectez l'adresse IP statique 10.20.20.20 à l'appliance pendant le bootstrap, saisissez
https://10.20.20.20.
NOTE
Vous devez utiliser le protocole HTTPS quand vous entrez l'adresse de l'assistant d'installation. Le protocole
HTTPS est requis.
2. Si le navigateur affiche un certificat ou un avertissement de connexion non approuvé, poursuivez la procédure et
ajoutez une exception, le cas échéant.
L'interface Web de Symantec EDR inclut initialement un certificat auto-signé qui peut être modifié pour utiliser un
certificat généré par le client après la configuration initiale.
Configuration de l'accès sécurisé à la Console de l'appliance EDR
3. Dans l'écran de connexion, entrez les informations d'authentification suivantes, puis cliquez sur Sign In (Se
connecter) ou appuyez sur Entrée :
Nom de l'utilisateur : installation
Mot de passe : symantec
42
l'appliance S550
Ce compte est désactivé lorsque l'exécution de l'assistant d'installation est terminée.

4. Sur l'écran Terms and Conditions (Conditions générales), lisez les conditions générales.
Vous devez accepter les Terms and Conditions (Conditions générales) pour pouvoir continuer.
Les options de traitement de données sont activées par défaut. Vous pouvez désactiver ces options.
Activation des options de traitement des données
5. Cliquez sur Next (Suivant).
6. Répondez aux invites sur chaque écran pour terminer la configuration obligatoire. Cliquez sur Next (Suivant) pour
accéder à l'écran suivant, ou cliquez sur Previous (Précédent) pour revenir à l'écran lorsque vous avez terminé.
Le tableau suivant décrit les invites supplémentaires dans l'assistant d'installation et la manière d'y répondre.
Upload License (Charger Cliquez sur Browse (Parcourir) pour localiser le fichier de licence et sélectionnez-le. Quand vous
une licence) cliquez sur Next (Suivant), Symantec EDR charge le fichier.
Pour que le périphérique Symantec EDR soit fonctionnel, vous devez d'abord charger une licence.
Vous ne pouvez pas utiliser Symantec EDR après l'installation initiale sans avoir charger de licence. Il
n'existe aucune période de grâce.
Obtention d'un fichier de licence Symantec EDR et installation
SMTP Settings (Paramètres Vous pouvez saisir les paramètres SMTP dans l'assistant d'installation, ou vous pouvez cocher Skip
SMTP) adding SMTP server configuration (Ignorer l'ajout d'une configuration de serveur SMTP) et
indiquer ces paramètres plus tard dans Console de l'appliance EDR.
Saisissez le serveur SMTP (le nom de domaine complet est autorisé) et le numéro de port de votre
serveur de messagerie sécurisé.
Dans le champ Appliance Email (Message électronique de l'appliance), saisissez l'adresse
électronique à partir de laquelle les alertes, telles qu'une notification d'expiration de licence, sont
envoyées.
Si votre serveur de messagerie nécessite une connexion sécurisée pour recevoir des messages,
cochez Authorize (Autoriser). Saisissez ensuite un nom d'utilisateur et un mot de passe que
Symantec EDR peut utiliser pour s'authentifier auprès du serveur de messagerie.
Create an Administrative Saisissez un nom de connexion, un mot de passe, un nom affiché et une adresse électronique pour le
account (Créer un compte compte administrateur initial. Cette identification est nécessaire pour finaliser l'assistant d'installation.
administratif) L'administrateur peut créer des comptes utilisateur supplémentaires, y compris des comptes
administrateur supplémentaires.
7. Cliquez sur Save (Enregistrer).

8. Cliquez sur Exit (Quitter) pour quitter l'assistant d'installation et afficher l'écran de connexion Console de l'appliance
EDR.
Commande status_check
Étape 7 du flux de travaux d’installation de l’appliance virtuelle Symantec EDR : installation du flux de travaux de
l’appliance virtuelle.
Description : vérification de la connectivité du serveur et de l'état du système. Cet état du système inclut des aspects tels
que l'état du port de gestion, l'état de l'interface, le transfert des incidents et des événements via le proxy réseau et la
connectivité aux serveurs Symantec dans le cloud.
Synthèse : status_check
43
l'appliance S550
Option ou argument : Non applicable.

Remarque : par défaut, les tentatives de Cynic de contacter le serveur le plus proche à l'emplacement de l'ordinateur
d'envoi à moins que vous n'activiez l'option d'utiliser le serveur Cynic Britannique sur la page Settings > Global
(Paramètres > Globaux).
Serveur Cynic par défaut : https://api.us.dmas.symantec.com
Serveur Cynic britannique : https://api.eu.dmas.symantec.com
44
l'appliance S550
Tâches post-installation
Finalisation des tâches de configuration

Etape 2 du workflow d’installation de l’appliance virtuelle Symantec EDR : configuration de Symantec EDR.
La section Tâches à effectuer pour l'installation de Symantec Endpoint Detection and Response répertorie les mesures
que Symantec vous recommande de prendre immédiatement après avoir terminé l'installation préliminaire de Symantec
Endpoint Detection and Response.
Cliquez sur les jetons d'aide contextuelle dans la Console de l'appliance EDR pour plus d'informations sur l'exécution de
ces tâches.
Table 13: Tâches de finalisation de l'installation de Symantec Endpoint Detection and Response
Tâche Description
Accédez à Console de l'appliance Effectuez les tâches et configurations après l'installation dans Console de l'appliance EDR.
EDR. Accès à la Console de l'appliance EDR
Configurez les paramètres suivants sur la page Settings > Global (Paramètres > Global).
Global
Configuration de la corrélation Si SEP ou Email Security.cloud protège votre réseau, configurez Synapse pour mettre en
Synapse corrélation les données d'incident de ces sources avec Symantec EDR.
À propos de la corrélation Synapse
Si vous envisagez d’utiliser Vous pouvez intégrer Symantec Endpoint Detection and Response avec Symantec Endpoint
Symantec Endpoint Protection Protection dans les buts suivants :
avec Symantec EDR, configurez la • Collecter des événements de condamnation depuis votre instance SEPM et les mettre en
connexion du contrôleur SEPM. corrélation avec des événements de vos autres points de contrôle
• Configurer Symantec EDR par rapport aux demandes de réputation de proxy à partir de vos
terminaux client
• Envoyer des commandes à votre SEPM (par exemple, pour mettre à jour votre liste
d'exclusion SEPM).
• Envoyer des commandes sur les terminaux (par exemple, pour supprimer un fichier ou mettre
en quarantaine un terminal)
• Récupérer les informations de votre instance SEPM (par exemple, une liste de vos terminaux
et leur état en ligne)
• Récupérer les informations de vos terminaux (par exemple, un vidage de tous ses
événements)
Workflow : intégration de Symantec EDR à Symantec Endpoint Protection
Configuration de sauvegardes Configurez des emplacements et planifications de sauvegarde.
À propos de la sauvegarde et de la restauration des données Symantec EDR
Configurez un accès sécurisé à Chargez un certificat pour chiffrer les sessions Console de l'appliance EDR.
Console de l'appliance EDR. Configuration de l'accès sécurisé à la Console de l'appliance EDR
45
l'appliance S550
Tâche Description
Pour un fonctionnement en mode Les pages de blocage sont utilisées seulement lorsque vous opérez en mode Inline
Inline Block (Blocage inline), vous Block (Blocage inline) et que l'analyse est activée. Lorsque Symantec Endpoint Detection
pouvez également personnaliser la and Response bloque l'accès à un site web ou empêche le téléchargement d'un fichier
page de blocage. potentiellement malveillant, une page de blocage s'affiche. La page de blocage informe
l'utilisateur que la page est bloquée et indique quelle personne contacter pour obtenir plus
d'informations.
Personnalisation et test des pages bloquantes
Configurez les paramètres suivants sur la page Settings > Appliance (Paramètres > Appliance).
Appliances
Configurez les paramètres réseau Lorsque vous définissez des réseaux internes, vous spécifiez quels ordinateurs font partie de
internes. votre réseau et quels ordinateurs appartiennent au monde extérieur. Avec ces informations,
Symantec EDR peut distinguer les ordinateurs protégés et les ordinateurs qui sont en dehors du
réseau.
Définition des réseaux internes à Symantec EDR
Configurez les paramètres de proxy Symantec EDR prend en charge les types suivants de configuration du proxy :
réseau et de proxy d'entreprise, • Un proxy réseau. Symantec EDR utilise un proxy réseau pour accéder au réseau externe.
si ces proxys sont présents dans • Un proxy d'entreprise dans un environnement d'entreprise. Symantec EDR traite le trafic qui
l'environnement. est acheminé vers un proxy d'entreprise (qui peut avoir une adresse IP au sein d'un réseau
interne) différemment du trafic acheminé via un proxy réseau.
Si vous utilisez des proxys, chaque appliance Symantec EDR doit contenir les adresses IP des
proxys existants, que son rôle soit de type CIU, autonome ou analyseur.
Configuration des informations proxy de réseau
Établissement d'une liste proxy d'entreprise
Configuration de connexions au Connectez-vous à un ou plusieurs serveurs syslog (un SIEM, par exemple) pour capturer et
serveur syslog consigner des données en externe.
Configuration de connexions aux serveurs syslog
Configuration des services de Par défaut, Symantec EDR envoie des fichiers au système de détonation de malware Symantec
sandboxing Cynic basé sur le cloud pour analyse. Cependant, vous pouvez maintenir l'analyse des fichiers
en local et envoyer vos fichiers à une appliance Symantec Malware Analysis client sur site pour
la détonation et l'analyse.
Configuration d'Symantec EDR pour utiliser le sandboxing cloud ou le sandboxing sur site
Activer l'analyse Après avoir configuré les paramètres de l'appliance, vous procéderez à l'activation de l'analyse.
Configurez les paramètres suivants sur la page Settings > Users (Paramètres > Utilisateurs).
Gestion des utilisateurs
Ajoutez de nouveaux comptes Ajoutez des comptes Admin, Controller (Contrôleur) et User (Utilisateur) pour accéder à la
Console de l'appliance EDR. Console de l'appliance EDR.
Conseil : il est recommandé d'installer au moins un compte utilisateur administrateur
supplémentaire immédiatement après l'installation, au cas où vous ayez du mal à accéder à la
Console de l'appliance EDR avec les informations d'authentification de compte administrateur
initiales.
Ajout de comptes utilisateur locaux
Liste de contrôle de pré-intégration d'Active Directory
Configurez les paramètres suivants sur le page Reports (Rapports).
Configuration de rapports Configurez les rapports d'installation qui peuvent être générés chaque jour, chaque semaine ou
chaque mois.
A propos des rapports
46
l'appliance S550
Test de Symantec EDR pour une surveillance ou un blocage réussi(e)

Étape 3 du flux de travaux d’installation de l’appliance virtuelle Symantec EDR : configuration du flux de travaux
Symantec EDR.
Symantec met un site Web à votre disposition pour tester que Symantec Endpoint Detection and Response surveille les
données réseau.
1. Démarrez un navigateur web sur un ordinateur du réseau local qui est connecté à Symantec EDR.
2. Sur Internet, accédez à l'URL suivante :
http://www.broadcom.com
Le site Web de Broadcom devrait s'afficher normalement sans aucun message.
3. Sur Internet, accédez à l'URL suivante :
http://testatp.coe.org.uk
4. Cliquez sur chacun des liens de la page de test.
Vous devriez voir un incident correspondant dans la base de données, que vous soyez en mode Tap ou Inline Monitor
(Surveillance inline). Les détections de sandboxing cloud peuvent être retardées pendant l'exécution virtuelle.
Si vous êtes en mode Inline Block (Blocage inline), les téléchargements de fichier (à l'exception de l'envoi de nouveau
fichier sandbox basé sur le cloud) sont interrompus. Les tentatives ultérieures de téléchargement du même fichier sont
mises sur liste d'exclusion.
À propos des rôles opérationnels, modes opérationnels et connexions réseau
Test du mode de contournement de l'appliance

Quand l'appliance Symantec Endpoint Detection and Response est en mode Inline, elle passe en mode de
contournement si elle ne peut pas fonctionner ou si elle est désactivée. En mode de contournement, le trafic Internet est
acheminé par le port réseau local et le port WAN, mais aucun contrôle ni aucun blocage ne se produisent. Pour que le
mode de contournement fonctionne correctement, assurez-vous que vous utilisez le type de câble Ethernet approprié
pour vous connecter au réseau local. Les témoins lumineux situés à l'arrière des appliances indiquent le mode de
contournement si l'appliance n'est pas désactivée.
NOTE
En mode Bypass (contournement), les câbles Ethernet sur le port réseau local et le port WAN sont
interconnectés. Vous devez vous assurer que la longueur totale des câbles interconnectés ne dépasse pas
la longueur maximale du câble Ethernet. Selon les normes de câblage ANSI/TIA/EIA, la longueur du câble
Ethernet est de 100 m pour les câbles Cat5e et Cat6. Pour plus d'informations sur la longueur de câble
Ethernet, consultez les normes de câblage ANSI/TIA/EIA.
Pour tester le mode Contournement d'appliance physique
1. Dans le panneau de navigation de gauche, cliquez sur Settings > Appliances (Paramètres > Appliances), puis sur
une appliance dans la liste.
La page des détails de l'appliance s'affiche.
47
l'appliance S550
2. Dans le volet Network Interface Settings (Paramètres d'interface réseau), cliquez sur l'inverseur dans le champ
Scanning (Analyse) pour définir l'analyse sur la position Off (Désactivée). Cliquez sur OK si une boîte de dialogue
d'avertissement s'affiche vous demandant si vous voulez vraiment désactiver l'analyse.
L'analyse étant désactivée, l'appliance physique doit maintenant fonctionner en mode Bypass (contournement).
3. Essayez d'accéder à Internet à partir d'un ordinateur appartenant au réseau LAN contrôlé ou protégé par le
périphérique.
Vous devriez pouvoir accéder à Internet. Les témoins lumineux du mode bypass au dos de l'appliance Symantec EDR
devraient être allumés, mais sans clignoter.
4. Dans Console de l'appliance EDR , cliquez sur Settings > Appliances (Paramètres > Appliances), sélectionnez le
périphérique dans la liste. Ensuite, cliquez sur l'inverseur dans le champ Scanning (Analyse) pour définir l'analyse
sur la position On (Activée). Cliquez sur OK si une boîte de dialogue d'avertissement s'affiche vous demandant si
vous voulez continuer.
5. Testez Symantec EDR pour vous assurer qu'il fonctionne correctement.
Test de Symantec EDR pour une surveillance ou un blocage réussis
Accès à la Console de l'appliance EDR

Accédez à la console de l’appliance EDR pour configurer et gérer Symantec EDR et pour effectuer une recherche de
menaces et une remédiation.
Accédez à la Console de l'appliance EDR à partir d'un navigateur web sur tout ordinateur client pouvant se connecter au
port de gestion de votre plate-forme de gestion ou appliance tout-en-un.
NOTE
Pour afficher les pages de l’appliance Symantec EDR ou accéder à la console Symantec EDR via le site Web
du cloud, vous devez être connecté par l’intermédiaire du réseau LAN ou VPN de votre entreprise ou fournir
à Symantec EDR une adresse IP publique qui est accessible à partir d’Internet. Sinon, le message d’erreur
suivant s’affiche : This page can't be displayed (Cette page ne peut pas être affichée).
Si vous utilisez un certificat auto-signé pour votre installation EDR, vous devez l’accepter dans votre navigateur.
1. Lancez le navigateur Web de l'ordinateur pouvant accéder au réseau connecté au port de gestion
2. Dans le navigateur Web, saisissez l'adresse suivante :
https://<adresse IP>
Où<adresse IP>est l'adresse qui a été spécifiée pour l'appliance pendant le processus de bootstrap.
Par exemple, si l'adresse IP que vous avez spécifiée pour l'appliance est 192.168.42.24, accédez à l'URL suivante :
https://192.168.42.24
NOTE
Vous devez utiliser le protocole HTTPS pour accéder à la Console de l'appliance EDR.
Pour certains navigateurs Web, il peut être nécessaire de configurer une exception de sécurité de certificat pour
accéder à la Console de l'appliance EDR.En général, cette étape est uniquement requise lors de la première
connexion par ordinateur et par session.
3. Sur la page Log on (Connexion), dans le champ User name (Nom d’utilisateur), saisissez le nom d’utilisateur que
votre administrateur vous a assigné.
4. Dans le champ Password (Mot de passe), saisissez votre mot de passe.
Après cinq tentatives infructueuses, vous ne pouvez plus vous connecter.
48
l'appliance S550
Configuration de l'accès sécurisé à la Console de l'appliance EDR

Configuration initiale de l'accès à Console de l'appliance EDR via l'authentification unique (SSO)
Configuration requise de navigateur pour le Console de l'appliance EDR;
49
l'appliance S550
Appendix Materials
50
l'appliance S550
Ports, connecteurs et indicateurs sur l'appliance
À propos des ports, connecteurs et indicateurs des appliances

Les ports, les connecteurs et les indicateurs sur les appliances Symantec EDR décrivent les ports, les connecteurs et les
indicateurs au dos des appliances Symantec EDR.
NOTE
Les connexions varient entre les modèles, versions et rôles.
Branchement des câbles sur l'appliance S550
Table 14: Ports, connecteurs et indicateurs sur l'appliance Symantec EDR
Port, connecteur ou indicateur Description
Unité de distribution d'alimentation Symantec recommande d'utiliser une PDU pour améliorer la qualité de l'alimentation,
(PDU) (recommandée) l'équilibre de charge ainsi que la surveillance et le contrôle à distance.
Port USB Vous pouvez utiliser ce port pour recréer une image de l'hôte à l'aide d'une clé USB ou d'un
DVD qui se connecte à un branchement USB.
Port série Connectez le port série à un autre ordinateur afin d'accéder à l'interface de console série
basée sur les caractères.
Port Ethernet LAN/Monitor2 En mode Tap, vous pouvez connecter le port Monitor2 au périphérique TAP réseau ou à un
port de surveillance sur un commutateur pour SPAN.
En mode inline, connectez le port LAN à un commutateur qui est connecté à votre réseau
interne.
Port Ethernet WAN1/Monitor1 En mode Tap, connectez le port Monitor1 au périphérique TAP réseau ou à un port de
surveillance sur un commutateur pour SPAN.
En mode inline, connectez le port WAN1 à un commutateur vers votre connexion Internet ou
à votre pare-feu.
Port Ethernet LAN1/Monitor2 En mode Tap, vous pouvez connecter le port Monitor2 au périphérique TAP réseau ou à un
En mode inline, connectez le port LAN1 à un commutateur qui est connecté à votre réseau
interne.
Port Ethernet WAN2/Monitor3 En mode Tap, vous pouvez connecter le port Monitor3 au périphérique TAP réseau ou à un
En mode inline, connectez le port WAN2 à un commutateur vers votre connexion Internet ou
à votre pare-feu.
Port Ethernet LAN2/Monitor4 En mode Tap, vous pouvez connecter le port Monitor4 au périphérique TAP ou à un port de
surveillance sur un commutateur pour SPAN.
En mode inline, connectez le port LAN2 à un commutateur qui est connecté à votre réseau
interne.
Port Ethernet de gestion (Mgmt) Connectez le port de gestion à un commutateur qui est connecté à votre réseau interne.
Le port de gestion doit pouvoir accéder aux éléments suivants :
• Serveur DNS
• Services Internet requis
Alimentation Ce connecteur fournit l'alimentation à l'appliance. Votre appliance peut avoir un connecteur
d'alimentation supplémentaire et redondant.
51
l'appliance S550
Port, connecteur ou indicateur Description
Indicateurs NIC LED de Il existe trois paires d'indicateurs DEL sur la carte NIC de contournement.
contournement La paire Lien/Activité est verte et clignote en vert sur l'activité lorsque le mode de
contournement est désactivé. Elle est désactivée lorsque le mode de contournement est
activé.
La paire de contournement est verte lorsque l'appliance fonctionne en mode de
contournement et est désactivée lorsque le mode de contournement est désactivé.
La paire DISC est toujours désactivée (non utilisée).
52
l'appliance S550
Spécifications matérielles
Spécifications de l'appliance Symantec S550
Table 15: Spécifications matérielles de l'appliance S550
Caractéristiques SKU6
UC Skylake
Xeon ® Gold 6140 ;
Cache 24,75 M
(CD8067303405200)
2 x 18 cœurs, 140 W
(2,30 GHz)
Disque dur SAS interne 3,5" 4 disques durs SAS 12 To
SAS SSD 800 Go interne 2,5" Aucun
NVMe SSD 800 Go interne 2,5" Aucun
Mémoire (DDR4) LRDIMM 256 Go (2 666 MHz)
(Charge réduite)
Composants communs sur la carte mère
PCH (Lewisburg-L) Intel ® C628*
Interface SSL Aucun
Ports Ethernet non-contournement (2x) Intel X550
Port Ethernet contournement (4x) X557 PHY
Contrôleur SAS Carte mezzanine SAS
BMC (IPMC) AST2500
Périphérique de démarrage (SSD) 2 x SATA III
M.2 2242 SSD 64 Go
Périphérique de stockage clé/SPI FLASH 1 x ME, 64 Mo ; image corrigée
2 x 32 M ; nouvelle image possible
Alimentation 2 x PSU
(BEL POWER AC 1 600 W)
Ventilateurs système ; 40 W 6
Port série, port série arrière, avant (non fonctionnel) 1 x RJ45, RS232
Port USB 3.0, externe 1
Cordon d'alimentation AC/conteneur PSU C19/C20
Support PCIe 1 demi-hauteur unique O1A 1 x M1A
1 x M2A
1 x M3A
Support PCIe 2 (pleine hauteur unique) 1 x Super Cap
x1 O2B
x1 O3AA
53
l'appliance S550
Caractéristiques SKU6
Support PCIe 3 (demi-hauteur double) Aucun

O2B
O3A
Carte mezzanine Super Cap RMSP3AD160F
Carte mezzanine IOC 16 ports Aucun
Carte mezzanine ROC 16 ports 1
Contrôleur RAID Intel(R)IntegratedRAIDModuleRMSP3AD160
LCM Aucun
Cartes d'option par défaut (seulement une des options suivantes livrées en tant que FRU (unité remplaçable sur site))
PE310G4BPI71-SR 1
PE310G4BPI71-LR 1
54
l'appliance S550
Réinstallation de Symantec EDR sur l'appliance S550
Réinstallation de Symantec EDR sur l'appliance 550 à partir d'une clé USB ou
d'un DVD
Avant de commencer, assurez-vous que l'hôte Symantec est monté en rack et que le port série est connecté à un terminal
série. La connexion série est de 9 600 bauds, 8 bits et sans parité.
Pour effectuer une installation via DVD | Pour effectuer une installation via une clé USB
Pour effectuer une installation à partir d'un DVD
1. Obtenez une image ISO de Symantec.
2. Gravez l'image sur un DVD.
3. Insérez le DVD dans le lecteur DVD.
4. Branchez le lecteur DVD dans le port USB.
5. Démarrez sur l'appareil.
Pour démarrer sur l'appareil
6. Suivez les instructions de l'assistant d'installation.
Pour suivre les instructions du programme d'installation
Pour effectuer une installation à partir d'une clé USB
7. Obtenez une image ISO de Symantec.
8. Créez une clé USB amorçable.
• Pour Linux :
Cliquez sur le lien ci-dessous pour en savoir plus sur la création d'une clé USB amorçable sous Linux :
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/installation_guide/sect-making-
usb-media
• Pour Mac :
A. Répertoriez les appareils montés.
Par exemple :
List the mounted devices:
Last login: Thu Jul 5 09:13:15 on ttys001
M021204TKG3QD:Downloads john_doe$ diskutil list
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER

0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2
3: Apple_Boot Recovery HD 650.0 MB disk0s3
/dev/disk1 (internal, virtual):

0: Apple_HFS SymMacSOE +499.0 GB disk1
55
l'appliance S550
Logical Volume on disk0s2

DDDDFDA9-6016-4FD7-8815-B4C1D7190788
Unlocked Encrypted
/dev/disk2 (disk image):

0: Apple_partition_scheme +24.2 MB disk2
1: Apple_partition_map 32.3 KB disk2s1
2: Apple_HFS Flash Player 24.2 MB disk2s2
/dev/disk3 (external, physical):

0: GUID_partition_scheme *2.0 TB disk3
2: Apple_HFS BackupMcBackface 2.0 TB disk3s2

0: CDROM *15.9 GB disk4
Dans cet exemple, la clé USB se trouve sous /dev/disk4.
B. Démontez le périphérique.
Par exemple :
M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4
Unmount of all volumes on disk4 was successful
C. Écrivez l'image ISO sur la clé USB.
Dans cet exemple, la clé USB se trouve sous /dev/disk4.
M021204TKG3QD:Downloads john_doe$ sudo dd if=./ATP-4.0.0-3.iso of
=/dev/disk4 bs=1m
Password:
2390+1 records in
2390+1 records out
2506612736 bytes transferred in 776.888341 secs (3226477 bytes/sec)
Le processus d'écriture remonte le volume.
D. Démontez le volume afin de pouvoir retirer l'appareil.

Par exemple :
M021204TKG3QD:Downloads john_doe$ diskutil list
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIED

0: GUID_partition_scheme 500.3 GB disk0
2: Apple_CoreStorage SymMacSOE 499.3 GB disk0s2
56
l'appliance S550
3: Apple_Boot Recovery HD 650.0 MB disk0s3
/dev/disk1 (internal, virtual):

0: Apple_HFS SymMacSOE +499.0 GB disk1
Logical Volume on disk0s2
DDDDFDA9-6016-4FD7-8815-B4C1D7190788
Unlocked Encrypted
/dev/disk2 (disk image):

0: Apple_partition_scheme +24.2 MB disk2
1: Apple_partition_map 32.3 KB disk2s1
2: Apple_HFS Flash Player 24.2 MB disk2s2

0: GUID_partition_scheme *2.0 TB disk3
2: Apple_HFS BackupMcBackface 2.0 TB disk3s2

0: CDROM *15.9 GB disk4
M021204TKG3QD:Downloads john_doe$ diskutil unmountDisk /dev/disk4

Unmount of all volumes on disk4 was successful
9. Branchez la clé USB sur le port USB.

10. Démarrez sur l'appareil.
11. Suivez les instructions du programme d'installation.
Cette procédure est la même pour un DVD ou une clé USB.
57
l'appliance S550
12. Appuyez sur CTRL-D au démarrage du BIOS. Cette tâche place le périphérique USB en premier dans l'ordre de
démarrage et le disque dur en suivant.
13. Pour sortir du mode client, saisissez le mot de passe manuok.
14. Dans la boîte de dialogue de confirmation, saisissez Y (pour Yes (Oui)).
L'hôte démarre à partir de l'appareil et le menu GRUB s'affiche.
Cette procédure est la même pour un DVD ou une clé USB.
15. Sélectionnez l'option Tester ce média et installer ATP.
L'installation se fait automatiquement et peut prendre jusqu'à 30 minutes. L'hôte redémarre une fois l'installation
terminée. N'éteignez pas l'hôte tant que l'invite de connexion ne s'affiche pas.
16. Une fois le redémarrage terminé, connectez-vous en tant qu'administrateur et exécutez le bootstrap.
58

Sedr Installation Guide S550 4.5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sedr Installation Guide S550 4.5

Transféré par

Droits d'auteur :

Formats disponibles

Guide d'installation de Symantec™ Endpoint Detection and

Response 4.5 pour l'appliance S550

Appendix B: Spécifications matérielles........................................................................................... 53

Prise en charge des versions de Symantec EDR pour les appliances

Configuration requise de navigateur pour le Console de l'appliance

Table 1: Configuration requise de navigateur pour le Console de l'appliance EDR;

Microsoft Internet Explorer 11 ou ultérieure

Mozilla Firefox 81.0 ou version ultérieure (64 bits)

Configuration requise pour l'intégration de Symantec Endpoint

Planification pour l'installation

Liste de contrôle de pré-installation pour les appliances physiques

Table 2: Liste de contrôle de pré-installation

Outils de collecte. Ayez les éléments suivants à disposition :

Fiche d'installation de l'appliance physique

Table 3: Configuration de l’iDRAC (installation de l’appliance Dell uniquement)

Configuration Description Valeur à saisir

Choisissez l'adresse IP, le Le contrôleur d'accès distant intégré (iDRAC) Adresse IP :

Configuration de l'iDRAC (appliance 8880 uniquement)

Configuration Description Valeur à saisir

Configuration d'un terminal série ou d'un logiciel d'émulation de terminal

Table 5: Configuration de l’amorçage (toutes les appliances physiques)

Configuration Description Valeur à saisir

Configuration Description Valeur à saisir

Select one of the Spécifiez le rôle de l'appliance.

Configuration Description Valeur à saisir

Configure IPv4 static Oui pour configurer un itinéraire statique

Exécution du bootstrap pour configurer l'appliance

Table 6: Assistant d'installation

Configuration Description Valeur à saisir

Accédez à Console de Il s'agit de l'adresse IP statique pour le port

Configuration Description Valeur à saisir

Appliance Email (Courrier Adresse électronique à partir de laquelle les

Exécution de l'assistant d'installation

À propos des rôles opérationnels, modes opérationnels et connexions

Table 7: Modes opérationnels et connexions réseau de Symantec EDR

Mode Description Connexions réseau requises

Mode Description Connexions réseau requises

Meilleur emplacement de l'appliance dans votre réseau

À propos de la sélection d'un analyseur de réseau

À propos des configurations réseau et des connexions de port

Connexions prises en charge par le rôle de l'appliance

Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à

Configuration réseau Description Connexion de gestion à Connexion WAN à Connexion LAN à

Meilleur emplacement de l'appliance dans votre réseau

Meilleur emplacement de l'appliance dans votre réseau

À propos des configurations réseau et des connexions de port

Connexions prises en charge par le rôle de l'appliance

Ports du pare-feu requis

Table 8: Adresses web et IP Symantec EDR

Adresses web/adresse IP Protocole Port Description

• remotetunnel1.edrc.symantec.com HTTPS 443 Autorise l'accès à distance du support de

Table 9: Ports et paramètres Symantec EDR

Service Protocole Port De A Description

Service Protocole Port De A Description

Service Protocole Port De A Description

Analyse de réseau Les options de déploiement de proxy sont les suivantes :

Matrice de prise en charge de plate-forme Symantec EDR

Table 10: Matrice de prise en charge de plate-forme

¹ Les événements de lancement de processus et de fin de processus sont désactivés.

Obtention d'un fichier de licence Symantec EDR et installation

Installation de l'appliance physique

Flux de travaux de l'appliance S550

Étape Action Description