Novità di Symantec Endpoint Protection 14.3 RU1

In questa sezione vengono descritte le nuove funzionalità della release corrente.
Funzionalità di protezione
  • Include i nuovi agenti Symantec per Mac e per Linux, i quali possono essere installati e gestiti sia da Symantec Endpoint Protection Manager on-premise che dalla console cloud integrata di Cyber Defense Manager.
  • Blocca le minacce nuove e sconosciute su macOS monitorando i comportamenti dei file in tempo reale. Il nuovo agente Mac include le funzionalità di protezione basata sui comportamenti. La protezione basata sui comportamenti, detta anche SONAR, utilizza l'intelligenza artificiale e il Machine Learning avanzato per la protezione contro gli attacchi Zero Day con il fine di bloccare in modo efficace le nuove minacce.
  • Blocca file eseguibili non attendibili non portatili (PE), come ad esempio i file PDF e gli script non ancora identificati come una minaccia nell'Eccezione di accesso file. Nella politica Eccezioni, fare clic su
    Eccezioni Windows
    >
    Accesso file
    .
  • Impedisce le minacce Web basate sul punteggio di reputazione di una pagina Web. La politica Prevenzione delle intrusioni include il filtraggio della reputazione URL, il quale blocca le pagine Web con punteggi di reputazione inferiori alla soglia specificata. I punteggi di reputazione variano da -10 (non valido) a +10 (buono). L'opzione
    Abilita reputazione URL
    è abilitata per impostazione predefinita.
  • È possibile imporre a Symantec Endpoint Protection di apprendere un'applicazione in base al valore hash dell'applicazione. Nella politica Eccezioni, fare clic su
    Eccezioni Windows
    >
    Applicazione
    >
    Aggiungi un'applicazione per impronta digitale
    .
  • Protegge gli endpoint e gli utenti da attacchi basati sul Web su siti dannosi utilizzando la funzionalità di reindirizzamento del traffico di rete. Il reindirizzamento del traffico di rete reindirizza tutto il traffico di rete (qualsiasi porta) o solo il traffico basato sul Web (porte 80 e 443) al servizio Symantec Web Security, il quale consente o blocca il traffico di rete e l'accesso alle applicazioni SaaS in base alla politica aziendale. La politica Reindirizzamento del traffico di rete dispone di un nuovo metodo di reindirizzamento denominato metodo di tunneling. Il metodo di tunneling reindirizza automaticamente tutto il traffico Internet verso Symantec WSS, in cui il traffico è consentito o bloccato in base alle politiche di Symantec Web Security Service. Il metodo di tunneling è considerato una funzionalità beta. Si consiglia di eseguire test approfonditi con le applicazioni in base alle politiche WSS. Broadcom dispone di un sito Web beta in grado di offrire una guida di verifica e la possibilità di lasciare feedback sulla propria esperienza. Accedere al seguente sito Web utilizzando le credenziali Broadcom: Validate.broadcom.com.
  • La politica Integrazioni è stata rinominata nella politica Reindirizzamento del traffico di rete.
  • Fornisce il supporto per gli eventi con integrazione MITRE in Symantec EDR. Utilizza il framework MITRE ATT&CK per fornire il contesto di ciò che accade nel proprio ambiente.
  • Fornisce il supporto per gli eventi Symantec EDR seguenti, i quali mostrano una maggiore visibilità sugli endpoint:
    • Gli eventi AMSI offrono visibilità sui metodi degli attori delle minacce, i quali possono eludere i tradizionali metodi di interrogazione della riga di comando.
    • Gli eventi ETW forniscono visibilità sugli eventi che si verificano negli endpoint Windows gestiti.
  • Include la possibilità di eseguire sia Windows Defender che Symantec Endpoint Protection sullo stesso computer. La scansione Auto-Protect viene eseguita in seguito a Windows Defender ed è in grado di rilevare eventuali minacce non rilevate da Windows Defender. L'opzione
    Coesistenza con Windows Defender
    garantisce che Auto-Protect venga eseguito in caso di disattivazione di Microsoft Defender. Per disattivare l'opzione, fare clic su Politica di protezione antivirus e antispyware >
    Varie
    > scheda
    Varie
    .
  • L'attenuazione della catena di attacchi è ora supportata per i client a gestione ibrida.
Symantec Endpoint Protection Manager
  • Il database integrato è stato aggiornato al database Microsoft SQL Express. Il database SQL Server Express archivia le politiche e gli eventi di protezione in modo più efficiente rispetto al database integrato predefinito e viene installato automaticamente con Symantec Endpoint Protection Manager.
  • Durante l'installazione o l'aggiornamento di Symantec Endpoint Protection Manager, la procedura guidata di configurazione del server di gestione:
    • Installa automaticamente il contenuto LiveUpdate.
    • Fornisce un'opzione per l'utilizzo del certificato TLS per la comunicazione protetta tra SQL Server e Symantec Endpoint Protection Manager.
  • LiveUpdate utilizza un nuovo motore in
    Symantec Endpoint Protection Manager
    ottimizzato per l'esecuzione sulla console cloud. Il nuovo motore non supporta più il metodo FTP o il metodo LAN per specificare un server LiveUpdate interno per il download del contenuto in Symantec Endpoint Protection Manager.
  • L'opzione
    Disinstalla automaticamente il software per la sicurezza di terze parti esistente
    , non disponibile in 14.3 MP1 è disponibile nuovamente in 14.3 RU1 con una versione aggiornata. Questa opzione viene utilizzata per disinstallare il software per la sicurezza di terze parti. Per accedere a questa opzione, fare clic su pagina
    Amministrazione
    >
    Pacchetti
    >
    Impostazioni di installazione del client
    .
  • La procedura guidata di distribuzione del client utilizzata per la distribuzione dei pacchetti client deve avere le credenziali verificate e deve essere in grado di connettersi a Symantec Endpoint Protection Manager. Se il processo di verifica non riesce, il processo di distribuzione del client si interrompe per mantenere bloccati gli account utente di Active Directory.
  • I registri e i report di Stato del computer consentono ora di selezionare un intervallo per i campi
    Versione client
    e
    Versione IPS
    . Il filtro
    Versione del prodotto
    è stato rinominato in
    Versione client
    .
  • L'opzione
    Disabilita icona nell’area di notifica
    è disponibile per i client in esecuzione su un server terminal e che causano un utilizzo elevato della CPU e della memoria. È possibile disabilitare l'icona dell'area di notifica, nota anche come icona della barra di sistema, per impedire l'esecuzione di più istanze di processi della sessione utente (come SmcGui.exe e ccSvcHost.exe). Per i client in esecuzione su un server terminal, l'opzione
    Disattiva icona dell'area di notifica
    sostituisce l'impostazione della chiave di registro in HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui. Invece di modificare manualmente questa chiave, essa viene gestita tramite la politica. Come procedura ottimale, si consiglia di spostare i client che si trovano su un server terminal nello stesso gruppo prima di effettuare l'aggiornamento. Per i client che non vengono eseguiti su server terminal, mantenere questa opzione deselezionata. L'opzione viene eseguita solo dopo il riavvio del servizio client smc. Attivare questa opzione nella scheda
    Client
    >
    Politiche
    >
    Generale
    > scheda
    Impostazioni generali
    .
  • Le modalità Whitelist e Blacklist sono state aggiornate per riflettere le funzionalità Elementi consentiti ed Elementi non consentiti. Nella pagina
    Client
    > scheda
    Politiche
    > finestra di dialogo
    Blocco del sistema
    , il file dell'applicazione è stato modificato da
    Modalità whitelist
    e
    Modalità blacklist
    a
    Modalità Elementi consentiti
    e
    Modalità Elementi non consentiti
    .
  • Nella pagina
    Amministrazione
    > scheda
    Server
    >
    Configura registrazione esterna
    > scheda
    Generale
    , l'opzione
    Server di registrazione master
    è stata modificata in
    Server di registrazione principale
    .
  • Il tipo di registro
    Sistema
    > registro
    Amministrativo
    e registro di
    Controllo
    elenca il nome del computer.
  • I registri del firewall client vengono raccolti in modo da ridurre il numero di notifiche sulla console cloud.
  • Oracle Java SE è stato sostituito con OpenJDK.
  • Aggiornamento dei componenti di terze parti JQuery a una versione più recente.
Aggiornamenti di client e piattaforme
  • Il client Windows supporta Windows 10 20H2 (Windows 10 versione 2009).
  • Il client Mac supporta macOS 11 (Big Sur) su un processore Intel Core i5 (e versioni successive).
  • I pacchetti di installazione del client Mac di legacy sono stati spostati nella cartella Pacchetti aggiuntivi.
Funzionalità rimosse
  • Le opzioni
    Gravità rischio
    e
    Distribuzione rischio per gravità
    sono state rimosse dalle notifiche e dai report.
  • La scheda
    CASMA
    e il comando
    Analizza
    sono stati rimossi, in quanto questa funzionalità è considera obsoleta a partire dalla versione 14.3.
  • Il client Mac non supporta più macOS 10.13 o 10.14.x.
  • Non è più possibile visualizzare le esclusioni nel registro di sistema. Per 14.3 RU1 (e versioni precedenti), per visualizzare le esclusioni consultare la sezione: Verifica che un client Endpoint abbia escluso automaticamente un'applicazione o una directory
Documentazione
La guida di Symantec Endpoint Protection Manager è ora in linea e contenuta in: Guida all'installazione e all'amministrazione di Symantec Endpoint Protection.
Schema del database
Lo schema del database presenta le seguenti modifiche.
Tabella
Modifica colonna
ALERTS
Aggiunta della colonna ENRICHED_DATA.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Le seguenti colonne sono state rimosse da ciascuna tabella:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Continuazione)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • Tipo della colonna CONTENT modificata da 'image' a 'varbinary'
  • Aggiunta di una colonna indicizzata FILESTREAM_ID
  • Aggiunta di un indice FILESTREAM_ID
  • Le seguenti colonne sono state rimosse:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Le seguenti colonne sono state aggiunte:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Aggiunta della colonna NTR_MESSAGE.
  • Le seguenti colonne sono state rimosse:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Le seguenti colonne sono state aggiunte:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Le seguenti colonne sono state rimosse:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Aggiunta della colonna ENRICHED_DATA.