Novedades en Symantec Endpoint Protection 14.3 RU1

En esta sección se describen las nuevas funciones de esta versión.
Funciones de protección
  • Incluye el nuevo Agente de Symantec para Mac y el nuevo Agente de Symantec para Linux que se pueden instalar y administrar desde Symantec Endpoint Protection Manager en las instalaciones o desde la consola en la nube de Integrated Cyber Defense Manager.
  • Evita las amenazas nuevas y desconocidas en macOS supervisando el comportamiento de los archivos en tiempo real.El nuevo Agente para Mac incluye estas funcionalidades de protección del comportamiento. La protección del comportamiento, o SONAR, utiliza inteligencia artificial y aprendizaje automático avanzado para la protección de día cero para detener las nuevas amenazas con eficacia.
  • Bloquea los archivos ejecutables no portables (PE) en los que no se puede confiar como, por ejemplo, archivos PDF y scripts (como PowerShell, JavaScript y VBScript) que aún no se han identificado como amenazas.En la política excepciones, haga clic en
    Excepciones de Windows
    >
    Acceso a archivos
    .
  • Evita las amenazas web en función de la puntuación de la reputación de una página web.La política de prevención de intrusiones incluye el filtrado de la reputación de las direcciones URL, lo que bloquea las páginas web con puntuaciones de la reputación por debajo de un umbral específico.Los puntuaciones de reputación van desde el -10 (mala) hasta el +10 (buena). La opción
    Activar reputación de direcciones URL
    está activada de forma predeterminada.
  • Se puede forzar Symantec Endpoint Protection para que aprenda una aplicación basada en el valor hash de la aplicación. En la política de excepciones, haga clic en
    Excepciones de Windows
    >
    Aplicación
    >
    Agregar una aplicación por huella digital
    .
  • Protege endpoints y usuarios contra ataques basados en Web en sitios maliciosos usando la función Redirección de tráfico de red.La redirección de tráfico de red redirecciona todo el tráfico de red (cualquier puerto) o solo el tráfico basado en Web (puertos 80 y 443) a Symantec Web Security Service, que permite o bloquea el tráfico de red y el acceso a las aplicaciones de SaaS en función de la política empresarial. La política de la redirección de tráfico de red tiene un nuevo método de redirección llamado método de túnel. El método de túnel redirige automáticamente todo el tráfico de Internet a Symantec WSS, en el que se permite o se bloquea el tráfico en función de las políticas de Symantec Web Security Service. El método de túnel se considera una función de lanzamiento de usuario pionero. Se debe realizar una prueba exhaustiva con las aplicaciones en las políticas de WSS.
  • Se ha cambiado el nombre de la política de integraciones a la política de redireccionamiento del tráfico de red.
  • Proporciona compatibilidad con eventos enriquecidos con MITRE en Symantec EDR. Aprovecha el marco MITRE ATT&CK para proporcionar contexto sobre lo que sucede en el entorno.
  • Proporciona compatibilidad para los siguientes eventos de Symantec EDR, que exponen más visibilidad en los endpoints:
    • Los eventos de AMSI proporcionan visibilidad de los métodos de actor de amenazas que pueden eludir los métodos de interrogación de la línea de comandos tradicionales. 
    • Los eventos de ETW proporcionan visibilidad de los eventos que ocurren en puntos finales de Windows administrados.
  • Incluye la capacidad de ejecutar Windows Defender y Symantec Endpoint Protection en el mismo equipo. El análisis de Auto-Protect se ejecuta después de Windows Defender y puede detectar cualquier amenaza que Windows Defender no identifique. La opción
    Coexistencia con Windows Defender
    garantiza que Auto-Protect se ejecute en caso de que se deshabilite Microsoft Defender. Para deshabilitar la opción, haga clic en la ficha de la política Protección antivirus y antispyware >
    Varios
    >
    Varios
    .
  • La mitigación de cadenas de ataques ahora se admite para los clientes administrados de forma híbrida.
Symantec Endpoint Protection Manager
  • La base de datos integrada se ha actualizado a la base de datos de Microsoft SQL Express.La base de datos de SQL Server Express almacena las políticas y los eventos de seguridad de forma más eficiente que la base de datos integrada predeterminada y se instala automáticamente con Symantec Endpoint Protection Manager.
  • Durante la instalación o actualización de Symantec Endpoint Protection Manager, el Asistente para la configuración del servidor de administración realiza lo siguiente:
    • Instala automáticamente el contenido de LiveUpdate. 
    • Proporciona una opción para usar el certificado TLS para la comunicación segura entre SQL Server y Symantec Endpoint Protection Manager.
  • LiveUpdate utiliza un nuevo motor en
    Symantec Endpoint Protection Manager
    , que se ha optimizado para ejecutarse en la consola en la nube. El nuevo motor ya no admite el método FTP o el método LAN para especificar un servidor interno de LiveUpdate para descargar contenido a Symantec Endpoint Protection Manager.
  • La opción
    Desinstalar automáticamente el software de seguridad de terceros existente
    que no estaba disponible en 14.3 MP1 está disponible de nuevo en 14.3 RU1 con una versión actualizada. Esta opción se utiliza para desinstalar el software de seguridad de terceros. Para acceder a esta opción, haga clic en la página
    Administrador
    >
    Paquetes
    >
    Valores de configuración de instalación de clientes
    .
  • El Asistente de implementación del cliente que se usa para implementar los paquetes del cliente debe verificar las credenciales y debe poder conectarse a Symantec Endpoint Protection Manager. Si se produce un error en el proceso de verificación, el proceso de implementación del cliente se detiene para evitar que se bloqueen las cuentas de usuario de Active Directory.
  • Los registros e informes de estado del equipo ahora permiten seleccionar un intervalo para los campos
    Versión del cliente
    y
    Versión de IPS
    .Se ha cambiado el nombre del filtro
    Versión del producto
    a
    Versión del cliente
    .
  • La opción
    Desactivar el icono de la bandeja de notificación
    está disponible para los clientes que se ejecutan en un servidor de terminal y que provocan un uso elevado de la CPU y el uso de la memoria. Ahora se puede deshabilitar el icono del área de notificación, también conocido como el icono de la bandeja del sistema, para evitar que se ejecuten varias instancias de procesos de sesión de usuario (como SmcGui.exe y ccSvcHost.exe).Para los clientes que se ejecutan en un servidor de Terminal Server, la opción
    Deshabilitar el icono del área de notificaciones
    anula la configuración de la clave de registro en HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui.En lugar de cambiar manualmente esta clave, ahora se administra mediante una política.Como práctica recomendada, mueva a los clientes que están en un servidor de Terminal Server en el mismo grupo antes de habilitar esta configuración. Para los clientes que no se ejecutan en un servidor de Terminal Server, mantenga esta opción sin seleccionar.Esta opción solo ocurre después de que se reinicia el servicio smc del cliente.Esta opción se activa en
    Clientes
    > ficha
    Políticas
    > ficha
    General
    >
    Configuración general
    .
  • Se ha actualizado el modo de lista blanca y lista negra para reflejar la funcionalidad de permitir y bloquear.En la página
    Clientes
    > ficha
    Políticas
    > cuadro de diálogo
    Bloqueo de sistema
    , las listas del archivo de aplicación han cambiado del
    Modo de lista blanca
    y
    Modo de lista negra
    al
    Modo de aceptación
    y
    Modo de denegación
    .
  • En la página
    Administrador
    > ficha
    Servidores
    >
    Configuración de registro externo
    >
    General
    , la opción
    Servidor de registro maestro
    ha cambiado a
    Servidor de registro principal
    .
  • El tipo de registro
    Sistema
    > Registro
    administrativo
    y el registro de
    auditoría
    enumera el nombre del equipo.
  • Los registros del firewall del cliente se recopilan para que se obtengan menos notificaciones en la consola en la nube.
  • Se ha reemplazado Oracle Java SE con OpenJDK.
  • Se han actualizado los componente de otros fabricantes de JQuery a una versión más reciente.
Actualizaciones del cliente y de la plataforma
  • El cliente de Windows es compatible con Windows 10 20H2 (Windows 10 versión 2009)
  • El cliente de Mac admite macOS 11 (Big Sur) en un procesador Intel Core i5 y versiones posteriores.
  • Se han movido los paquetes de instalación de clientes de Mac de versiones anteriores a la carpeta AdditionalPackages.
Funciones eliminadas
  • Las opciones
    Gravedad del riesgo
    y
    Distribución de riesgos por gravedad
    se han eliminado de las notificaciones y los informes.
  • La ficha
    CASMA
    y el comando
    Analyze
    se han eliminado, ya que esta funcionalidad se ha rechazado en la versión 14.3.
  • El cliente de Mac ya no admite macOS 10.13 o 10.14.x.
  • Ya no es posible ver exclusiones en el registro.En la versión 14.3 RU1 y anteriores, para ver las exclusiones consulte: Verify if an Endpoint Client has automatically Excluded an Application or Directory (Verificar si un cliente de endpoints ha excluido automáticamente una aplicación o un directorio).
Documentación
La ayuda de Symantec Endpoint Protection Manager ahora está en línea y se encuentra en la Guía de instalación y administración de Symantec Endpoint Protection.
Esquema de la base de datos
El esquema de la base de datos tiene los cambios siguientes.
Tabla
Cambio de columna
ALERTS
Se ha agregado la columna ENRICHED_DATA.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Se han eliminado las columnas siguientes de cada tabla:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Continuación)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • La columna CONTENT ha cambiado su tipo de "image" a "varbinary"
  • Se ha agregado una columna indexada FILESTREAM_ID
  • Se ha agregado un índice FILESTREAM_ID
  • Se han eliminado las columnas siguientes:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Se han agregado las siguientes columnas:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Se ha agregado la columna NTR_MESSAGE.
  • Se han eliminado las columnas siguientes:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Se han agregado las siguientes columnas:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Se han eliminado las columnas siguientes:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Se ha agregado la columna ENRICHED_DATA.