このガイドでは、Symantec Endpoint Protection (SEP) クライアントが Symantec Endpoint Protection Manager (SEPM) にチェックインするときに実行される処理について説明します。プロセスの詳細を示し、クライアントと管理サーバがどのように通信するかを説明します。

ハートビートの概要

SEP クライアントと管理サーバーは、ステータス情報、コンテンツデータ、ポリシー情報を交換します。SEP クライアントが SEPM に対して通信を開始します。 バージョン 14 以降のクライアントは、HTTPS および TLS 1.2 プロトコルを使用して管理サーバーと通信します。
 
SEPM は、Sylink.xml という通信ファイルを作成します。Sylink.xml ファイルには、管理サーバーの IP アドレスやハートビート間隔などの通信設定が含まれています。
 
ハートビート間隔は、クライアントコンピュータが管理サーバーにログをアップロードし、ポリシーとコマンドをダウンロードする頻度です。

sylink ファイルには以下の情報が含まれます:

• すべての管理サーバの公開証明書
• KCS、または暗号化キー
• 各クライアントが属するドメイン ID

ハートビート間隔

クライアントがサーバーと通信し、サーバーから設定を取得する頻度です。
各ハートビートで、サーバーは以下のアクションを実行します:

• ログを更新します。
• セキュリティポリシーを更新します。
• クライアントとサーバー間の通信状態を確認します。

デフォルトのハートビート間隔は5分です。

ハートビート処理

1. SEP クライアントは sylink.xml を読みこみ、優先順位に従って最初に利用可能な SEPM を決定します。
2. SEP クライアントが SEPM に接続します。

30,000 ミリ秒以内にセッションが確立できない場合、チェックイン処理は次のハートビート間隔まで停止します。

3. SEP クライアントは HTTP GET を実行して SEPM から index.dat を取得し、クライアントコピーと比較して差分がないか確認します。

コンテンツの差分は、現在の場所の LiveUpdate ポリシーと照合されます。

4. SEP クライアントは HTTP GET を実行して、ファイルをダウンロードするための URL を取得します。URL は、LiveUpdate ポリシーに応じて、SEPM または GUP に対応します。

SEPM が指定されている場合、コンテンツは TCP 8014 もしくは 443 でダウンロードされます。
GUP が指定されている場合、コンテンツは TCP 2967 でダウンロードされます。

5. SEP クライアントはログファイルを SEPM にアップロードします。
6. SEP クライアントは LAN センサーと学習済みアプリケーションのログを SEPM にアップロードします。
7. SEP クライアントは SEPM から切断します。

通信モードがプルに設定されている場合、SEP クライアントは次のハートビート間隔で再度チェックインします。
通信モードがプッシュに設定されている場合、SEP クライアントは完全に切断されないため、SEPM で行われたポリシー変更は SEP クライアントで即座に反映されます。

ハートビートのサイズ

管理サーバーにアップロードする新しいクライアント側ログや、サーバーからダウンロードするポリシーやコンテンツがない場合、SEP  クライアントのハートビートのサイズは 3 KB ～ 5 KB です。このファイルサイズは、ダウンロードするものがあるかどうかを判断するために使用するファイル (index2 ファイル) のサイズに基づいています。

すべてのクライアント保護テクノロジが有効で、最大レベルのクライアントロギングが有効な場合 (パケットレベルのファイアウォールロギングは例外で、本番環境では推奨されません)、一般的なハートビートのサイズは 200 KB ～ 300 KB です。最大アップロードサイズは、デフォルトの最大アップロードログカウント (100) によって決定され、たとえば、各レコードは 1K であるため、100K となり、さらに opstate と学習したアプリのアップロードを含めると、200 ～ 300 KB となります。

[英語文書] Symantec Endpoint Protection: The Heartbeat Process