Neuheiten bei Symantec Endpoint Protection 14.3 RU1

In diesem Abschnitt werden die neuen Funktionen dieser Version beschrieben.
Schutzfunktionen
  • Die neuen Agents Symantec Mac Agent und Symantec Linux Agent können entweder über den lokalen Symantec Endpoint Protection Manager oder die Integrated Cyber Defense Manager-Cloud-Konsole installiert und verwaltet werden.
  • Verhindert neue und unbekannte Bedrohungen auf macOS durch die Überwachung von Dateiverhaltensweisen in Echtzeit. Der neue Mac-Agent enthält diese Verhaltensschutzfunktionen. Der Verhaltensschutz (SONAR) nutzt künstliche Intelligenz und Advanced Machine Learning für Zero-Day-Schutz, um neue Bedrohungen effektiv zu stoppen.
  • Blockiert nicht vertrauenswürdige, nicht portable ausführbare Dateien (PE) wie PDF-Dateien und Skripte (z. B. PowerShell, JavaScript und VBScript), die noch nicht als Bedrohung identifiziert werden. Klicken Sie in der Ausnahmerichtlinie auf
    Windows-Ausnahmen
    >
    Dateizugriff
    .
  • Verhindert Webbedrohungen basierend auf der Reputationswertung einer Webseite. Die Angriffsschutzrichtlinie enthält URL-Reputationsfilterung, die Webseiten mit Reputationswerten unter einem bestimmten Schwellenwert blockiert. Die Reputationsbewertungen reichen von -10 (schlecht) bis +10 (gut). Die Option
    URL-Reputation aktivieren
    ist standardmäßig aktiviert.
  • Sie können erzwingen, dass Symantec Endpoint Protection sich eine Anwendung basierend auf dem Hash-Wert der Anwendung merkt. Klicken Sie in der Ausnahmerichtlinie auf
    Windows-Ausnahmen
    >
    Anwendung
    >
    Anwendung nach Fingerabdruck hinzufügen
    .
  • Schützt Endgeräte und Benutzer vor webbasierten Angriffen auf bösartige Websites mit der Funktion "Umleitung des Netzwerkdatenverkehrs". Die Funktion "Umleitung des Netzwerkdatenverkehrs" leitet den gesamten Netzwerkverkehr (beliebiger Port) oder nur webbasierten Datenverkehr (Ports 80 und 443) an den Symantec Web Security Service um, der Netzwerkverkehr und SaaS-Anwendungszugriff abhängig von der Unternehmensrichtlinie zulässt oder blockiert. Für die Umleitung des Netzwerkdatenverkehrs gibt es eine neue Umleitungsmethode namens "Tunnelmethode". Mit der Tunnelmethode wird der gesamte Internetverkehr an den Symantec Web Security Service (WSS) weitergeleitet. Dort wird der Verkehr anhand der Richtlinien für den Symantec WSS entweder zugelassen oder blockiert. Die Tunnelmethode gilt als Beta-Funktion. Sie sollten dafür gründliche Tests mit Ihren Anwendungen für Ihre WSS-Richtlinien durchführen. Broadcom bietet eine Beta-Website mit einem Testleitfaden und der Möglichkeit, Feedback zu hinterlassen. Melden Sie sich mit Ihren Broadcom-Zugangsdaten auf der folgenden Website an: Validate.broadcom.com
  • Die Integrationsrichtlinie wurde in "Richtlinie für Network Traffic Redirection" umbenannt.
  • Unterstützt MITRE-angereicherte Ereignisse in Symantec EDR. Diese Verbesserung ermöglicht es Ihnen, das MITRE ATT&CK-Framework zu verwenden, um Kontext für Vorgänge in Ihrer Umgebung zu erhalten.
  • Unterstützung für die folgenden Symantec EDR-Ereignisse, die mehr Einblick in die Endgeräte erlauben:
    • AMSI-Ereignisse bieten Einblick in Angriffsmethoden, die herkömmliche Abfragemethoden für Befehlszeilen umgehen können.
    • ETW-Ereignisse bieten Einblick in Ereignisse auf verwalteten Windows-Endgeräten.
  • Sie können Windows Defender und Symantec Endpoint Protection auf demselben Computer ausführen. Der Auto-Protect-Scan wird nach Windows Defender ausgeführt und kann alle Bedrohungen erkennen, die Windows Defender nicht erkannt hat. Die Option
    Kann mit Windows Defender zusammen verwendet werden
    stellt sicher, dass Auto-Protect ausgeführt wird, wenn Microsoft Defender deaktiviert ist. Zum Deaktivieren der Option klicken Sie auf die Richtlinie für Viren- und Spyware-Schutz und auf die Registerkarte
    Verschiedenes
    >
    Verschiedenes
    .
  • Die Angriffskettenverhinderung wird jetzt für hybrid-verwaltete Clients unterstützt.
Symantec Endpoint Protection Manager
  • Die eingebettete Datenbank wurde auf die Microsoft SQL Express-Datenbank aktualisiert. Die SQL Server Express-Datenbank speichert Richtlinien und Sicherheitsereignisse effizienter als die eingebettete Standarddatenbank und wird automatisch mit Symantec Endpoint Protection Manager installiert.
  • Während der Installation oder des Upgrades von Symantec Endpoint Protection Manager führt der Management-Server-Konfigurationsassistent Folgendes durch:
    • Installiert LiveUpdate-Content automatisch.
    • Stellt eine Option zur Verwendung eines TLS-Zertifikats für die sichere Kommunikation zwischen SQL Server und dem Symantec Endpoint Protection Manager bereit.
  • LiveUpdate nutzt eine neue Engine in
    Symantec Endpoint Protection Manager
    , die für die Ausführung auf der Cloud-Konsole optimiert ist. Die FTP- oder LAN-Methode zum Angeben eines internen LiveUpdate-Servers, um Inhalte auf Symantec Endpoint Protection Manager herunterzuladen, wird von der neuen Engine nicht mehr unterstützt.
  • Die Option
    Vorhandene Sicherheitssoftware anderer Hersteller automatisch deinstallieren
    , die in 14.3 MP1 nicht verfügbar war, ist in 14.3 RU1 in einer aktualisierten Version wieder verfügbar. Diese Option wird verwendet, um Sicherheitssoftware von Drittanbietern zu deinstallieren. Klicken Sie zum Aufrufen dieser Option auf die Seite
    Admin
    >
    Pakete
    >
    Einstellungen für Clientinstallationen
    .
  • Der Client-Bereitstellungsassistent, der zum Bereitstellen von Clientpaketen verwendet wird, muss über verifizierte Zugangsdaten verfügen und eine Verbindung zum Symantec Endpoint Protection Manager herstellen können. Wenn die Überprüfung fehlschlägt, wird der Client-Bereitstellungsprozess angehalten, um zu verhindern, dass Active Directory-Benutzerkonten gesperrt werden.
  • Über die Computerstatus-Protokolle und -Berichte können Sie jetzt einen Bereich für die Felder
    Client-Version
    und
    IPS-Version
    auswählen. Der Filter
    Produktversion
    wurde in
    Client-Version
    umbenannt.
  • Die Option
    Taskleistensymbol deaktivieren
    ist für Clients verfügbar, die auf einem Terminalserver ausgeführt werden und zu einer hohen CPU-Auslastung und Speicherauslastung führen. Sie können nun das Symbol für den Benachrichtigungsbereich (auch als Taskleistensymbol bezeichnet) deaktivieren, um zu verhindern, dass mehrere Instanzen von Benutzersitzungsprozessen (wie SmcGui.exe und ccSvcHost.exe) ausgeführt werden. Für Clients, die auf einem Terminalserver ausgeführt werden, wird mit der Option
    Taskleistensymbol deaktivieren
    die Einstellung des Registrierungsschlüssels in "HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui" überschrieben. Dieser Schlüssel wird jetzt nicht mehr manuell geändert, sondern über eine Richtlinie verwaltet. Als Best Practice sollten Sie Clients, die sich auf einem Terminalserver befinden, in dieselbe Gruppe verschieben, bevor Sie ein Upgrade durchführen. Für Clients, die nicht auf einem Terminalserver ausgeführt werden, lassen Sie diese Einstellung deaktiviert. Diese Option wird erst aktiviert, nachdem der smc-Dienst des Clients neu gestartet wurde. Sie aktivieren diese Option auf der Registerkarte
    Clients
    >
    Richtlinien
    >
    Allgemein
    >
    Allgemeine Einstellungen
    .
  • Der Positivlistenmodus und Blacklist-Modus wurden entsprechend der Zulassen- und Blockierungsfunktionen aktualisiert. Auf der Seite
    Clients
    auf der Registerkarte
    Richtlinien
    im Dialogfeld
    Systemsperre
    haben sich die Listen der Anwendungsdateien von
    Positivlistenmodus
    und
    Blacklist-Modus
    zu
    Zulassungsmodus
    und
    Verweigerungsmodus
    geändert.
  • Auf der Seite
    Admin
    auf der Registerkarte
    Server
    >
    Externe Protokollierung konfigurieren
    >
    Allgemein
    hat sich die Option
    Master-Protokollierungs-Server
    zu
    Primärer Protokollierungs-Server
    geändert.
  • Der Protokolltyp
    System
    > das Protokoll
    Administrativ
    und das Protokoll
    Prüfung
    listet den Computernamen auf.
  • Client-Firewall-Protokolle werden erfasst, damit Sie weniger Benachrichtigungen in der Cloud-Konsole erhalten.
  • Oracle Java SE wurde durch OpenJDK ersetzt.
  • Die Drittanbieterkomponenten von JQuery wurden auf eine neuere Version aktualisiert.
Client- und Plattform-Updates
  • Der Windows-Client unterstützt Windows 10 20H2 (Windows 10-Version 2009).
  • Der Mac-Client unterstützt macOS 11 (Big Sur) auf einem Intel Core i5-Prozessor und höher.
  • Die veralteten Mac-Clientinstallationspakete wurden in den Ordner "AdditionalPackages" verschoben.
Entfernte Funktionen
  • Die Optionen
    Risikoschweregrad
    und
    Risikoverteilung nach Schweregrad
    wurden aus Benachrichtigungen und Berichten entfernt.
  • Die Registerkarte
    CASMA
    und der Befehl
    Analysieren
    wurden entfernt, da diese Funktion in 14.3 nicht mehr unterstützt wird.
  • macOS 10.13 und 10.14.x werden nicht mehr vom Mac-Client unterstützt.
  • Sie können keine Ausnahmen mehr in der Registrierung anzeigen. Informationen zur Anzeige von Ausnahmen in Version 14.3 RU1 und früher finden Sie unter: Überprüfen, ob ein Endpoint-Client eine Anwendung oder ein Verzeichnis automatisch ausgeschlossen hat.
Dokumentation
Die Symantec Endpoint Protection Manager-Hilfe finden Sie jetzt online: Symantec Endpoint Protection – Installations- und Administratorhandbuch
Datenbankschema
Das Datenbankschema umfasst die folgenden Änderungen.
Tabelle
Spaltenänderung
ALERTS
Die Spalte ENRICHED_DATA wurde hinzugefügt.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Die folgenden Spalten wurden aus jeder Tabelle entfernt:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Fortsetzung)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • Die Spalte CONTENT wurde vom Typ "image" zu "varbinary" geändert.
  • Die indizierte Spalte FILESTREAM_ID wurde hinzugefügt.
  • Der Index FILESTREAM_ID wurde hinzugefügt.
  • Folgende Spalten wurden entfernt:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Die folgenden Spalten wurden hinzugefügt:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Die Spalte NTR_MESSAGE wurde hinzugefügt.
  • Folgende Spalten wurden entfernt:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Die folgenden Spalten wurden hinzugefügt:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Folgende Spalten wurden entfernt:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Die Spalte ENRICHED_DATA wurde hinzugefügt.