O que há de novo no Symantec Endpoint Protection 14.3 RU1?

Esta seção descreve os novos recursos desta release.
Recursos de proteção
  • Inclui o novo Symantec Mac Agent e o Symantec Linux Agent, os quais podem ser instalados e gerenciados pelo Symantec Endpoint Protection Manager local ou pelo console de nuvem do gerenciador da defesa cibernética integrada.
  • Impede ameaças novas e desconhecidas no macOS monitorando os comportamentos dos arquivos em tempo real.O novo agente Mac inclui esses recursos de proteção comportamental. A proteção comportamental, ou SONAR, usa inteligência artificial e aprendizado de máquina avançado para proteção de dia zero com o intuito de barrar novas ameaças.
  • Bloqueia arquivos executáveis não portáteis não confiáveis, como PDFs e scripts (como PowerShell, JavaScript e VBScript) que ainda não tenham sido identificados como uma ameaça.Na Política de exceções, clique em
    Exceções do Windows
    >
    Acesso ao arquivo
    .
  • Impede as ameaças da web com base na pontuação de reputação de uma página da web.A política de Prevenção contra intrusões inclui a filtragem de reputação de URL, que bloqueia as páginas da web com pontuações de reputação abaixo de um limite específico.As pontuações de reputação variam de -10 (ruim) a +10 (boa). A opção
    Ativar a reputação do URL
    está ativada por padrão.
  • Você pode forçar o Symantec Endpoint Protection a reconhecer um aplicativo com base no valor de hash do aplicativo. Na Política de exceções, clique em
    Exceções do Windows
    >
    Aplicativo
    >
    Adicionar um aplicativo por impressão digital
    .
  • Protege os endpoints e os usuários contra ataques provenientes da web em sites maliciosos usando o recurso de Redirecionamento de tráfego de rede.O Redirecionamento de tráfego de rede redireciona todo o tráfego de rede (qualquer porta) ou apenas tráfego da web (portas 80 e 443) para o serviço Symantec Web Security Service, que permite ou bloqueia o tráfego de rede e o acesso a aplicativos SaaS com base na política corporativa. A política de Redirecionamento de tráfego de rede tem um novo método de redirecionamento chamado método de encapsulamento. O método de encapsulamento redireciona automaticamente todo o tráfego da internet para o Symantec WSS, no qual o tráfego é permitido ou bloqueado com base nas políticas do Symantec Web Security Service. O método de encapsulamento é considerado um recurso de release de usuários pioneiros. Você deve executar testes completos com seus aplicativos em relação às políticas do WSS.
  • A política de Integrações foi renomeada para política de Redirecionamento de tráfego de rede.
  • Oferece suporte a eventos aprimorados pelo MITRE no Symantec EDR. Aproveite a estrutura do MITRE ATT&CK para fornecer contexto sobre o que está acontecendo em seu ambiente.
  • Fornece suporte aos seguintes eventos do Symantec EDR, que expõem mais visibilidade dos endpoints:
    • Os eventos AMSI fornecem visibilidade dos métodos de agente de ameaças que podem enganar os métodos tradicionais de interrogação de linha de comando. 
    • Os eventos ETW fornecem visibilidade dos eventos que ocorrem em endpoints gerenciados do Windows.
  • Inclui a capacidade de executar o Windows Defender e o Symantec Endpoint Protection no mesmo computador. A verificação do Auto-Protect é executada após o Windows Defender e pode detectar as ameaças que o Windows Defender não tem. A opção
    Coexistir com o Windows Defender
    assegura que o Auto-Protect seja executado caso o Microsoft Defender seja desativado. Para desativar a opção, clique na guia Política de proteção contra vírus e spyware >
    Diversos
    > guia
    Diversos
    .
  • A mitigação da cadeia de ataque agora é suportada para clientes gerenciados de forma híbrida.
Symantec Endpoint Protection Manager
  • O banco de dados incorporado foi atualizado para o banco de dados do Microsoft SQL Express.O banco de dados do SQL Server Express armazena políticas e eventos de segurança de modo mais eficiente do que o banco de dados incorporado padrão e é instalado automaticamente com o Symantec Endpoint Protection Manager.
  • Durante a instalação ou o upgrade do Symantec Endpoint Protection Manager, o Assistente para configuração do servidor de gerenciamento:
    • Instala automaticamente o conteúdo do LiveUpdate. 
    • Fornece uma opção para usar o certificado TLS para comunicação segura entre o SQL Server e o Symantec Endpoint Protection Manager.
  • O LiveUpdate usa um novo mecanismo no
    Symantec Endpoint Protection Manager
    , que é otimizado para execução no console de nuvem. O novo mecanismo não oferece mais suporte ao método de FTP ou método LAN para especificar um servidor interno do LiveUpdate para fazer download do conteúdo para o Symantec Endpoint Protection Manager.
  • A opção
    Desinstalar automaticamente o software de segurança de terceiros existente
    que não estava disponível na versão 14.3 MP1 está disponível novamente na 14.3 RU1 com uma versão atualizada. Essa opção é usada para desinstalar software de segurança de terceiros. Para acessar essa opção, clique na página
    Admin
    >
    Pacotes
    >
    Configurações de instalação do cliente
    .
  • O Assistente de Implementação de Cliente, que é usado para implementar os pacotes de cliente, deve ter suas credenciais verificadas e capazes de se conectar ao Symantec Endpoint Protection Manager. Se o processo de verificação falhar, o processo de implementação do cliente será interrompido para evitar que as contas de usuário do Active Directory sejam bloqueadas.
  • Agora, os logs e relatórios de Status do computador permitem selecionar um intervalo para os campos
    Versão do cliente
    e
    Versão do IPS
    .O filtro
    Versão do produto
    foi renomeado para
    Versão do cliente
    .
  • A opção
    Disable the notification tray icon
    está disponível para clientes que são executados em um servidor de terminal e que causam alta utilização da CPU e uso da memória. Agora, é possível desativar o ícone da área de notificação, também conhecido como ícone da bandeja do sistema, de modo a evitar que várias instâncias de processos de sessão de usuário (como SmcGui.exe e ccSvcHost.exe) sejam executadas.Para os clientes que são executados em um servidor de terminal, a opção
    Desativar o ícone da área de notificação
    substitui a configuração da chave do registro em HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui.Em vez de ser alterada manualmente, essa chave agora é gerenciada por meio de uma política.Como prática recomendada, antes de atualizar, mova os clientes que estão em um servidor de terminal no mesmo grupo. Para os clientes que não são executados em um servidor do terminal, mantenha essa configuração desativada.Essa opção só entrará em vigor depois que o serviço smc do cliente for reiniciado.Ative essa opção na guia
    Clientes
    >
    Políticas
    >
    Geral
    >
    Configurações gerais
    .
  • Atualizado o modo de lista branca e negra para refletir a funcionalidade de permissão e bloqueio.Na página
    Clientes
    > guia
    Políticas
    > caixa de diálogo
    Bloqueio do sistema
    , as listas de arquivo de aplicativo mudaram de
    Modo de whitelist
    e
    Modo de blacklist
    para
    Modo permitir
    e
    Modo de negação
    .
  • Na página
    Admin
    , guia >
    Servidores
    >
    Configurar registro em log externo
    > guia
    Geral
    , a opção
    Master Logging Server
    foi alterada para
    Servidor principal de registro em log
    .
  • O tipo de log de
    Sistema
    > log
    Administrativo
    e log de
    Auditoria
    lista o nome do computador.
  • Os logs do firewall do cliente são coletados para que você receba menos notificações no console de nuvem.
  • Substituição do Oracle Java SE pelo OpenJDK.
  • Atualização do JQuery de componentes de terceiros para uma versão mais recente.
Atualizações de cliente e plataforma
  • O cliente Windows suporta o Windows 10 20H2 (Windows 10 versão 2009).
  • O cliente Mac oferece suporte ao macOS 11 (Big Sur) em um processador Intel Core i5 e posterior.
  • Os pacotes de instalação de cliente Mac legados foram movidos para a pasta AdditionalPackages.
Recursos removidos
  • As opções
    Gravidade do risco
    e
    Distribuição de riscos por gravidade
    foram removidas das notificações e dos relatórios.
  • A guia
    CASMA
    e o comando
    Analyze
    foram removidos, pois essa funcionalidade se tornou obsoleta na versão 14.3.
  • O cliente Mac não oferece mais suporte ao macOS 10.13 ou 10.14.x.
  • Não é mais possível exibir exclusões no registro.Para a 14.3 RU1 e anterior, para exibir exclusões, consulte: Verify if an Endpoint Client has Automatically Excluded an Application or Directory (em inglês).
Documentação
A ajuda do Symantec Endpoint Protection Manager agora está online e localizada no: Guia de Instalação e Administração do Symantec Endpoint Protection
Esquema de banco de dados
O esquema de banco de dados apresenta as alterações a seguir.
Tabela
Alteração de coluna
ALERTS
Adição da coluna ENRICHED_DATA.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Removidas as colunas a seguir de cada tabela:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Continua)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • A coluna CONTENT alterou seu tipo de "image" para "varbinary"
  • Adição de uma coluna indexada FILESTREAM_ID
  • Adição de um índice FILESTREAM_ID
  • Remoção das seguintes colunas:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Adição das seguintes colunas:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Adição da coluna NTR_MESSAGE.
  • Remoção das seguintes colunas:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Adição das seguintes colunas:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Remoção das seguintes colunas:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Adição da coluna ENRICHED_DATA.