Nouveautés dans Symantec Endpoint Protection 14.3 RU1

Cette section décrit les nouvelles fonctionnalités de cette version.
Fonctions de protection
  • Inclut le nouvel agent Mac Symantec et l'agent Linux Symantec que vous pouvez installer et gérer à partir de la version sur site de Symantec Endpoint Protection Manager ou de la console cloud Integrated Cyber Defense Manager.
  • Empêche les menaces nouvelles et inconnues sur macOS en surveillant les comportements de fichier en temps réel.Le nouvel agent Mac inclut ces fonctionnalités de protection comportementale. La protection comportementale, ou SONAR, utilise l’intelligence artificielle et l'apprentissage automatique avancé pour une protection Zero Day afin de mettre fin aux nouvelles menaces.
  • Bloque les fichiers exécutables non portables (PE) non approuvés tels que les fichiers PDF et les scripts (par ex. PowerShell, JavaScript, ou VBScript) qui ne sont pas encore identifiés comme une menace.Sous la stratégie Exceptions, cliquez sur
    Windows Exceptions
    >
    File Access
    (Exceptions Windows > Accès au fichier).
  • Empêche les menaces Web basées sur le score de réputation d’une page Web.La politique de prévention d’intrusion inclut le filtrage des URL selon leur réputation, qui bloque les pages Web dont les scores de réputation sont inférieurs à un seuil spécifique.Les scores de réputation sont compris entre -10 (mauvais) et +10 (correct). L’option
    Enable URL Reputation
    (Activer la réputation de l’URL) est activée par défaut.
  • Vous pouvez forcer Symantec Endpoint Protection à apprendre une application en fonction de la valeur de hachage de l’application. Sous la stratégie Exceptions, cliquez sur
    Windows Exceptions
    >
    Application
    >
    Add an Application by Fingerprint
    (Exceptions Windows > Application > Ajouter une application par empreinte digitale).
  • Protège les terminaux clients et les utilisateurs des attaques Web sur des sites malveillants à l’aide de la fonctionnalité Network Traffic Redirection.Network Traffic Redirection redirige tout le trafic réseau (n’importe quel port) ou uniquement le trafic Web (ports 80 et 443) vers Symantec Web Security Service, qui autorise ou bloque le trafic réseau et l’accès aux applications SaaS en fonction de la politique d’entreprise. La politique Network Traffic Redirection comprend une nouvelle méthode de redirection appelée méthode de tunnel. La méthode de tunnel redirige automatiquement tout le trafic Internet vers Symantec WSS, où le trafic est autorisé ou bloqué en fonction des politiques Symantec Web Security Service. La méthode de tunnel est considérée comme une fonctionnalité destinée aux utilisateurs précoces. Vous devez effectuer un test approfondi avec vos applications en fonction de vos stratégies WSS.
  • La stratégie Integrations (Intégrations) a été renommée Network Traffic Redirection (Redirection du trafic réseau).
  • Permet la prise en charge des événements MITRE enrichis dans Symantec EDR. Permet d’utiliser la structure MITRE ATT&CK pour fournir un contexte à ce qui se passe dans votre environnement.
  • Permet la prise en charge des événements Symantec EDR suivants, qui présentent une meilleure visibilité sur les terminaux clients :
    • Les événements AMSI fournissent une visibilité sur les méthodes de détection des individus mal attentionnés qui peuvent échapper aux méthodes d’interrogation de ligne de commande traditionnelles. 
    • Les événements ETW permettent de visualiser les événements qui se produisent sur des terminaux Windows gérés.
  • Inclut la capacité d’exécuter Windows Defender et Symantec Endpoint Protection sur le même ordinateur. L’analyse Auto-Protect s’exécute après Windows Defender et peut détecter toutes les menaces qui échappent à Windows Defender. L’option
    Coexister avec Windows Defender
    permet à la fonctionnalité Auto-Protect de s’exécuter en cas de désactivation de Microsoft Defender. Pour désactiver cette option, accédez à la politique Protection contre les virus et les spywares >
    Divers
    > onglet
    Divers
    .
  • La prévention contre les chaînes d’attaque est désormais prise en charge pour les clients gérés de manière hybride.
 instance de Symantec Endpoint Protection Manager
  • La base de données imbriquée a été mise à jour vers la base de données Microsoft SQL Express.La base de données SQL Server Express stocke les politiques et les événements de sécurité plus efficacement que la base de données imbriquée par défaut et est installée automatiquement avec Symantec Endpoint Protection Manager.
  • Pendant l’installation ou la mise à niveau de Symantec Endpoint Protection Manager, l’Assistant de configuration du serveur de gestion :
    • Installe automatiquement le contenu LiveUpdate. 
    • Fournit une option pour utiliser le certificat TLS pour une communication sécurisée entre SQL Server et Symantec Endpoint Protection Manager.
  • LiveUpdate utilise un nouveau moteur dans
     instance de Symantec Endpoint Protection Manager
    , qui est optimisé pour être exécuté sur la console cloud. Le nouveau moteur ne prend plus en charge la méthode FTP ni la méthode LAN pour spécifier un serveur LiveUpdate interne pour télécharger le contenu vers Symantec Endpoint Protection Manager.
  • L’option
    Automatically uninstall existing third-party security software
    (Désinstaller automatiquement les logiciels de sécurité tiers existants) n’était pas disponible dans la version 14.3 MP1, mais est à nouveau disponible dans la mise à jour de la version 14.3 RU1. Cette option est utilisée pour désinstaller les logiciels de sécurité tiers. Pour accéder à cette option, cliquez sur la page
    Admin
    (Administration) >
    Packages
    >
    Client Install Settings
    (Paramètres d’installation client).
  • L’assistant de déploiement client qui est utilisé pour déployer des packages client doit avoir ses informations d'authentification vérifiées et pouvoir se connecter à Symantec Endpoint Protection Manager. En cas d’échec du processus de vérification, le processus de déploiement client est interrompu pour empêcher le verrouillage des comptes d’utilisateurs Active Directory.
  • Les journaux et rapports d’état de l’ordinateur vous permettent désormais de sélectionner une plage pour les champs
    Client version
    (Version de client) et
    IPS version
    (Version d’IPS).Le filtre
    Product version
    (Version du produit) a été renommé
    Client version
    (Version de client).
  • L’option
    Disable the notification tray icon
    (Désactiver l’icône de la barre d’état des notifications) est disponible pour les clients qui s’exécutent sur un serveur terminal et qui entraînent une utilisation élevée de l’UC et de la mémoire. Vous pouvez désormais désactiver l’icône de zone de notification, également appelée icône de la barre d’état système, pour empêcher l’exécution de plusieurs instances de processus de session d’utilisateur (telles que SmcGui.exe et ccSvcHost.exe).Pour les clients exécutés sur un serveur de terminal, l'option
    Désactiver l'icône de la zone de notification
    remplace le paramètre de clé de registre dans HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui.Au lieu de modifier manuellement cette clé, celle-ci est désormais gérée via la politique.Il est recommandé de déplacer les clients exécutés sur un serveur de terminal vers le même groupe avant d'activer ce paramètre. Dans le cas de clients non exécutés sur un serveur de terminal, laissez ce paramètre désactivé.Cette option prend effet uniquement après le redémarrage du service smc du client.Pour activer cette option, accédez à
    Clients
    > onglet
    Politiques
    >
    Paramètres de sécurité
    > onglet
    Général
    .
  • Mise à jour du mode Liste blanche et Liste noire pour refléter la fonctionnalité d’autorisation et de blocage.Sur la page
    Clients
    > onglet
    Policies
    (Stratégies) > boîte de dialogue
    System Lockdown
    (Verrouillage du système), les listes des fichiers d’application
    Whitelist Mode
    (Mode Liste blanche) et
    Blacklist Mode
    (Mode Liste noire) ont été remplacées par
    Allow Mode
    (Mode vert) et
    Deny Mode
    (Mode exclusion).
  • Sur la page
    Admin
    (Administration) > onglet
    Servers
    (Serveurs) >
    Configure External Logging
    (Configurer la journalisation externe) > onglet
    General
    (Général), l’option
    Master Logging Server
    a été remplacée par
    Primary Logging Server
    .
  • Le type de journal
    système
    > le journal
    administratif
    et le journal d'
    audit
    répertorient le nom de l’ordinateur.
  • Les journaux de pare-feu client sont collectés afin que vous receviez moins de notifications sur la console cloud.
  • Remplacement d’Oracle Java SE par OpenJDK.
  • Mise à jour des composants tiers JQuery vers une version plus récente.
Mises à jour de client et de plate-forme
  • Le client Windows prend en charge Windows 10 20H2 (Windows 10 version 2009) .
  • Le client Mac prend en charge macOS 11 (Big Sur) sur un processeur Intel Core i5 et versions ultérieures.
  • Déplacement des packages d’installation de client Mac hérités vers le dossier AdditionalPackages.
Fonctionnalités supprimées
  • Les options
    Risk severity
    (Gravité du risque) et
    Risk Distribution by Severity
    (Distribution des risques par gravité) ont été supprimées des notifications et des rapports.
  • L’onglet
    CASMA
    et la commande
    Analyze
    (Analyser) ont été supprimés, car cette fonctionnalité devus obsolètes dans la version 14.3.
  • Le client Mac ne prend plus en charge macOS versions 10.13 et 10.14.x.
  • Vous ne pouvez plus afficher les exclusions dans le registre.Dans les versions 14.3 RU1 et antérieures, pour afficher les exclusions, reportez-vous à l'article Verify if an Endpoint Client has Automatically Excluded an Application or Directory (Vérifier si un client Endpoint a automatiquement exclu une application ou un répertoire).
Documentation
L’Aide de Symantec Endpoint Protection Manager est désormais disponible en ligne à l’emplacement suivant : Guide d’administration et d’installation de Symantec Endpoint Protection
Schéma de base de données
Les modifications apportées au schéma de base de données sont les suivantes :
Tableau
Modification de colonne
ALERTES
Ajout de la colonne ENRICHED_DATA.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMANDE
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
RAPPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Les colonnes suivantes ont été supprimées de chaque tableau :
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Suite)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • Remplacement du type de la colonne CONTENT « image » par « varbinary »
  • Ajout d'une colonne indexée FILESTREAM_ID
  • Ajout d'un index FILESTREAM_ID
  • Les colonnes suivantes ont été supprimées :
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Les colonnes suivantes ont été ajoutées :
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Ajout de la colonne NTR_MESSAGE.
  • Les colonnes suivantes ont été supprimées :
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Les colonnes suivantes ont été ajoutées :
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Les colonnes suivantes ont été supprimées :
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Ajout de la colonne ENRICHED_DATA.