Symantec Endpoint Protection 14.3 RU1 的新增功能

本节介绍此版本的新增功能。
防护功能
  • 包含可以从内部部署 Symantec Endpoint Protection Manager 或集成式网络防御管理器云控制台安装和管理的新 Symantec Mac 代理和 Symantec Linux 代理。
  • 在 macOS 上通过实时监控文件行为,防御新威胁和未知威胁。新的 Mac 代理包含以下行为防护功能。行为保护 或 SONAR 使用人工智能和高级计算机学习实现零日防护,从而有效防御新威胁。
  • 禁止非受信任的且尚未标识为威胁的不可移植可执行 (PE) 文件,如 PowerShell、JavaScript 和 VBScript。在"例外"策略中,单击“
    Windows 例外
    ”>“
    文件访问
    ”。
  • 根据网页的信誉分数防御网络威胁。入侵防护策略包括 URL 信誉过滤,其禁止信誉分数低于特定阈值的网页。声誉分数范围从 - 10(差)到 +10(优)。默认情况下“
    启用 URL 信誉
    ”选项已启用。
  • 您可以强制 Symantec Endpoint Protection 基于应用程序的哈希值来发现应用程序。在“例外”策略中,单击“
    Windows 例外
    ”>“
    应用程序
    ”>“
    按指纹添加应用程序
    ”。
  • 使用网络流量重定向功能为端点和用户防御恶意站点上基于 Web 的攻击。网络流量重定向将所有网络流量(任何端口)或仅基于 Web 的流量(端口 80 和 443)重定向到 Symantec Web Security Service,该服务基于企业策略允许或禁止网络流量和 SaaS 应用程序访问。网络流量重定向策略具有新的重定向方法,称作隧道方法。隧道方法会自动将所有 Internet 流量重定向到 Symantec WSS,在这里将根据 Symantec Web Security Service 策略允许或禁止流量。隧道方法被视为测试版功能。您应该根据 WSS 策略对应用程序执行彻底测试。Broadcom 有一个测试版网站,提供测试指南并为提供反馈体验的地方。使用您的 Broadcom 凭据登录以下网站:Validate.broadcom.com
  • 集成策略已重命名为网络流量重定向策略。
  • 在 Symantec EDR 中提供对 MITRE 丰富事件的支持。利用 MITRE ATT&CK 框架来为环境中发生的情况提供上下文。
  • 支持以下 Symantec EDR 事件,这些事件可更多揭示端点的可见性:
    • AMSI 事件提供可以避开传统命令行盘查方法的威胁行为体方法的可见性。
    • ETW 事件提供托管 Windows 端点上发生的事件的可见性。
  • 包括能够在同一台计算机上运行 Windows Defender 和 Symantec Endpoint Protection。自动防护扫描在 Windows Defender 之后运行,可以检测 Windows Defender 漏掉的任何威胁。“
    与 Windows Defender 共存
    ”选项可确保在禁用 Microsoft 防御者时运行自动防护。若要禁用该选项,请依次单击“病毒和间谍软件防护策略>“
    其他
    ”>“
    其他
    ”。
  • 攻击链缓解现在支持混合管理的客户端。
Symantec Endpoint Protection Manager
  • 嵌入式数据库已更新到 Microsoft SQL Express 数据库。SQL Server Express 数据库比默认嵌入式数据库更高效地存储策略和安全事件,并自动随 Symantec Endpoint Protection Manager 一起安装。
  • 在安装或升级 Symantec Endpoint Protection Manager 期间,管理服务器配置向导:
    • 自动安装 LiveUpdate 内容。
    • 提供将 TLS 证书用于 SQL Server 和 Symantec Endpoint Protection Manager 之间的安全通信的选项。
  • LiveUpdate 使用
    Symantec Endpoint Protection Manager
    中的新引擎,该引擎经过优化,可运行在云控制台上。新引擎不再支持指定内部 LiveUpdate 服务器以将内容下载到 Symantec Endpoint Protection Manager 的 FTP 方法或 LAN 方法。
  • 在 14.3 MP1 中不可用的“
    自动卸载现有第三方安全软件
    ”选项在 14.3 RU1 中再次可用,并具有更新版本。此选项用于卸载第三方安全软件。要访问此选项,请单击“
    管理员
    ”页面>“
    软件包
    ”>“
    客户端安装设置
    ”。
  • 用于部署客户端软件包的客户端部署向导必须已验证凭据并能够连接到 Symantec Endpoint Protection Manager。如果验证过程失败,客户端部署过程将停止,以防止 Active Directory 用户帐户被锁定。
  • “计算机状态”日志和报告现在允许您为“
    客户端版本
    ”和“
    IPS 版本
    ”字段选择范围。“
    产品版本
    ”筛选已重命名为“
    客户端版本
    ”。
  • 禁用通知区域图标
    ”选项可用于在终端服务器上运行并导致高 CPU 使用率和内存使用率的客户端。现在可以禁用通知区域图标(也称为系统任务栏图标),以防止用户会话进程(如 SmcGui.exe 和 ccSvcHost.exe)的多个实例运行。对于在终端服务器上运行的客户端,“
    禁用通知区域图标
    ”选项会覆盖 HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui 中的注册表项设置。此注册表项由策略管理,取代了手动更改。作为最佳实践,请在升级之前,将位于终端服务器上的客户端移动到同一组中。对于不在终端服务器上运行的客户端,请使该选项保持禁用。此选项仅在客户端 smc 服务重新启动后才有效。在“
    客户端
    ”>“
    策略
    ”选项卡>“
    常规
    ”>“
    常规设置
    ”选项卡上启用此选项。
  • 更新了白名单和黑名单模式,以反映允许和禁止功能。在“
    客户端
    ”页面>“
    策略
    ”选项卡>“
    系统锁定
    ”对话框上,应用程序文件列表已从“
    白名单模式
    ”和“
    黑名单模式
    ”更改为“
    允许模式
    ”和“
    拒绝模式
    ”。
  • 在“
    管理员
    ”页面>“
    服务器
    ”选项卡>“
    配置外部日志
    ”>“
    常规
    ”选项卡上,“
    主日志服务器
    ”选项已更改为“
    主日志记录服务器
    ”。
  • 系统
    ”日志类型>“
    管理
    ”日志和“
    审核
    ”日志列出计算机名称。
  • 系统收集客户端防火墙日志,以便您在云控制台上收到较少的通知。
  • 使用 OpenJDK 替代了 Oracle Java SE。
  • 将第三方组件 JQuery 更新到较新版本。
客户端和平台更新
  • Windows 客户端支持 Windows 10 20H2(Windows 10 版 2009)
  • Mac 客户端在 Intel Core i5 及更高处理器上支持 macOS 11 (Big Sur)。
  • 已将旧版 Mac 客户端安装包移到 AdditionalPackages 文件夹。
已删除的功能
  • 风险严重性
    ”和“
    按严重性显示风险分布
    ”选项已从通知和报告中删除。
  • CASMA
    ”选项卡和“
    分析
    ”命令已删除,因为此功能在 14.3 中已弃用。
  • Mac 客户端不再支持 macOS 10.13 或 10.14.x。
  • 您无法在注册表中再查看排除项。对于 14.3 RU1 及更早版本,要查看排除项,请参阅:验证端点客户端是否已自动排除应用程序或目录
文档
Symantec Endpoint Protection Manager 帮助现已联机,位于:Symantec Endpoint Protection 安装和管理指南
数据库架构
数据库架构具有以下更改。
列更改
警报
增加了 ENRICHED_DATA 列。
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
从每个表中删除了以下列:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(待续)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • CONTENT 列的类型从“image”更改为“varbinary”
  • 增加了 FILESTREAM_ID 索引列
  • 增加了 FILESTREAM_ID 索引
  • 删除了以下列:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
增加了以下列:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • 增加了 NTR_MESSAGE 列。
  • 删除了以下列:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
增加了以下列:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
删除了以下列:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
增加了 ENRICHED_DATA 列。