Symantec Endpoint Protection 14.3 RU1 の新機能

このセクションでは、このリリースの新機能を説明します。
保護機能
  • 新しい Symantec Mac エージェントと Symantec Linux エージェントが含まれており、オンプレミスの Symantec Endpoint Protection Manager または Integrated Cyber Defense Manager クラウドコンソールのいずれかからインストールして管理することができます。
  • ファイルの動作をリアルタイムで監視することで、macOS の新しい未知の脅威を防止します。新しい Mac エージェントには、これらの動作保護機能が含まれています。動作保護 (または SONAR) は、人工知能と高度な機械学習を使用してゼロデイ保護を行い、新たな脅威を効果的に阻止します。
  • 脅威としてまだ識別されていない PDF ファイルやスクリプト(たとえば、PowerShell、JavaScript、および VBScript)などの信頼できない非ポータブル実行可能(PE)ファイルを遮断します。[例外ポリシー]で、
    [Windows の例外]
    >
    [ファイルアクセス]
    をクリックします。
  • Web ページの評価スコアに基づいて Web の脅威を防止します。侵入防止ポリシーには、評価スコアが特定のしきい値を下回る Web ページをブロックする URL 評価フィルタが含まれます。評価スコアの範囲は、-10 (不良) から +10 (良好) です。
    [URL 評価を有効にする]
    オプションは、デフォルトで有効になっています。
  • Symantec Endpoint Protection に、アプリケーションのハッシュ値に基づいてアプリケーションを学習させることができます。[例外ポリシー]で、
    [Windows の例外]
    >
    [アプリケーション]
    >
    [フィンガープリントによるアプリケーションの追加]
    をクリックします。
  • ネットワーク トラフィック リダイレクト機能を使用して、Web ベースの悪質なサイトに対する攻撃からエンドポイントとユーザを保護します。ネットワーク トラフィック リダイレクトは、すべてのネットワーク トラフィック (すべてのポート) または Web ベースのトラフィック (ポート 80 と 443) を Symantec Web Security Service にリダイレクトし、企業ポリシーに基づいてネットワーク トラフィックと SaaS アプリケーション アクセスを許可またはブロックします。ネットワーク トラフィック リダイレクト ポリシーには、トンネル方式と呼ばれる新しいリダイレクト方法があります。トンネル方式では、すべてのインターネット トラフィックを Symantec WSS に自動的にリダイレクトします。WSS では、Symantec Web Security Service ポリシーに基づいてトラフィックが許可または遮断されます。このトンネル方式は、早期採用リリース機能です。WSS ポリシーに対してアプリケーションの徹底的なテストを実行する必要があります。
  • 統合ポリシーは、ネットワークトラフィックリダイレクトポリシーに名前が変更されました。
  • Symantec EDR で MITRE エンリッチ イベントのサポートを提供します。MITRE ATT&CK フレームワークを活用して、環境内で発生している状況を把握できます。
  • 以下の Symantec EDR イベントをサポートすることで、エンドポイントの可視性が向上します。
    • AMSI イベントによって、従来のコマンドライン問い合わせ手法を回避できる脅威アクター手法を可視化できます。 
    • ETW イベントによって、管理対象の Windows エンドポイントで発生しているイベントを可視化できます。
  • 同じコンピュータで Windows Defender と Symantec Endpoint Protection の両方を実行する機能が含まれます。Auto-Protect スキャンは Windows Defender の後で実行し、Windows Defender で見つからない脅威を検出できます。
    [Windows Defender と共存]
    オプションを使用すると、Microsoft Defender が無効になっている場合に Auto-Protect が実行されます。このオプションを無効にするには、[ウイルスとスパイウェアの対策ポリシー] >
    [その他]
    >
    [その他]
    タブをクリックします。
  • 攻撃チェーン緩和機能がハイブリッド管理クライアントでサポートされるようになりました。
つの Symantec Endpoint Protection Manager
  • 埋め込みデータベースが Microsoft SQL Express データベースに更新されました。SQL Server Express データベースはデフォルトの埋め込みデータベースよりも効率的にポリシーとセキュリティ イベントを格納し、Symantec Endpoint Protection Manager と共に自動的にインストールされます。
  • Symantec Endpoint Protection Manager のインストール中またはアップグレード中に、管理サーバ設定ウィザードが以下を実行します。
    • LiveUpdate コンテンツを自動的にインストールします。 
    • SQL Server と Symantec Endpoint Protection Manager 間の安全な通信に TLS 証明書を使うオプションを提供します。
  • LiveUpdate は
    つの Symantec Endpoint Protection Manager
    の新しいエンジンを使用します。このエンジンは、クラウド コンソールでの実行に最適化されています。この新しいエンジンでは、Symantec Endpoint Protection Manager にコンテンツをダウンロードする社内の LiveUpdate サーバーの指定で FTP 方式または LAN 方式がサポートされなくなりました。
  • 14.3 MP1 で使用できなかった
    [既存のサードパーティのセキュリティソフトウェアを自動的にアンインストール]
    オプションは、更新されたバージョンの 14.3 RU1 で再度使用できるようになりました。このオプションは、サードパーティ製セキュリティソフトウェアをアンインストールするために使用されます。このオプションにアクセスするには、
    [管理]
    ページ >
    [パッケージ]
    >
    [クライアントインストールの設定]
    をクリックします。
  • クライアント パッケージの配備に使うクライアント配備ウィザードは、資格情報を検証して Symantec Endpoint Protection Manager に接続できる必要があります。検証プロセスが失敗した場合、クライアント配備プロセスは停止し、Active Directory ユーザーアカウントがロックされないようにします。
  • コンピュータ状態ログおよびレポートで、
    [クライアントのバージョン]
    および
    [IPS のバージョン]
    フィールドの範囲を選択できるようになりました。
    [製品のバージョン]
    フィルタは、
    [クライアントのバージョン]
    に名前が変更されました。
  • [通知領域アイコンを無効にする]
    オプションは、端末サーバー上で実行されており、高い CPU 使用率とメモリ使用率の原因となっているクライアントで使用できます。ユーザ セッション プロセス (SmcGui.exe や ccSvcHost.exe など) の複数インスタンスが実行されないようにするために、通知領域アイコン (システム トレー アイコンとも呼ばれます) を無効にすることができるようになりました。ターミナルサーバーで動作するクライアントの場合、
    [通知領域アイコンを無効にする]
    オプションによって、HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui のレジストリキー設定が上書きされます。このキーは手動で変更する代わりに、ポリシーによって管理されるようになりました。ベストプラクティスとして、アップグレード前に、ターミナルサーバー上にあるクライアントを同じグループ内に移動します。ターミナルサーバーで実行されないクライアントの場合、この設定を無効のままにします。このオプションは、クライアント smc サービスが再起動した後にのみ適用されます。このオプションは、
    [クライアント]
    >
    [ポリシー]
    タブ >
    [全般]
    >
    [全般の設定]
    タブで有効にします。
  • 許可と遮断の機能を反映するようにホワイトリスト モードとブラックリスト モードを更新しました。
    [クライアント]
    ページ >
    [ポリシー]
    タブ >
    [システムロックダウン]
    ダイアログボックスで、アプリケーションファイルのリストが
    [ホワイトリストモード]
    および
    [ブラックリストモード]
    から
    [許可モード]
    および
    [拒否モード]
    に変更されました。
  • [管理]
    ページ >
    [サーバー]
    タブ >
    [外部ログ記録を設定]
    >
    [全般]
    タブで、
    [マスターログ記録サーバー]
    オプションが
    [一次ログ記録サーバー]
    に変更されました。
  • システム
    ログの種類] > [
    管理
    ログと
    監査
    ログ]にコンピュータ名が表示されます。
  • クライアントファイアウォールのログが収集され、クラウドコンソールでの通知が少なくなります。
  • Oracle Java SE が OpenJDK に置き換えられました。
  • サードパーティ コンポーネント JQuery を新しいバージョンに更新しました。
クライアントおよびプラットフォームの更新
  • Windows クライアントは、Windows 10 20H2 (Windows 10 バージョン 2009) をサポートしています
  • Mac クライアントは、Intel Core i5 プロセッサ以降で macOS 11 (Big Sur) をサポートします。
  • レガシー Mac クライアントのインストールパッケージは AdditionalPackages フォルダに移動されました。
削除済みの機能
  • [リスクの重大度]
    および
    [重大度別のリスク分布 (Risk Distribution by Severity)]
    オプションは、通知およびレポートから削除されました。
  • この機能は 14.3 で非推奨になったため、
    [CASMA]
    タブおよび
    Analyze
    コマンドは削除されました。
  • Mac クライアントは、macOS 10.13 または 10.14.x をサポートしなくなりました。
  • レジストリ内の除外項目を表示できなくなりました。14.3 RU1 以前で除外項目を表示するには、「エンドポイントクライアントがアプリケーションまたはディレクトリを自動的に除外したかどうかの確認」を参照してください。
マニュアル
Symantec Endpoint Protection Manager のヘルプはオンラインになり、「Symantec Endpoint Protection インストールガイドおよび管理者ガイド」からアクセスできます。
データベーススキーマ
データベーススキーマには以下の変更があります。
テーブル
列の変更
警告
ENRICHED_DATA 列が追加されました。
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
各テーブルから以下の列が削除されました。
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(続き)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • CONTENT 列のタイプが「image」から「varbinary」に変更されました
  • FILESTREAM_ID インデックスが付いた列が追加されました
  • FILESTREAM_ID インデックスが追加されました
  • 以下の列が削除されました。
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
以下の列が追加されました。
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • NTR_MESSAGE 列が追加されました。
  • 以下の列が削除されました。
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
以下の列が追加されました。
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
以下の列が削除されました。
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
ENRICHED_DATA 列が追加されました。