Symantec Endpoint Protection 14.3 RU1의 새로운 기능mote

이 섹션에서는 이 릴리스의 새로운 기능을 설명합니다.
보호 기능
  • 온-프레미스 Symantec Endpoint Protection Manager 또는 통합 사이버 방어 관리자 클라우드 콘솔에서 설치하고 관리할 수 있는 새로운 Symantec Mac Agent와 Symantec Linux Agent를 포함합니다.
  • 파일 동작을 실시간으로 모니터링하여 macOS에서 새로운 위협 요소와 알려지지 않은 위협 요소를 차단합니다. 새로운 Mac Agent에는 이러한 행동 보호 기능이 포함되어 있습니다. 행동 보호 기능, 즉 SONAR는 제로 데이 차단을 위해 인공 지능 및 고급 시스템 학습을 사용하여 새로운 위협 요소를 효과적으로 차단합니다.
  • 아직 위협 요소로 식별되지 않은 PDF 파일 및 스크립트(예: PowerShell, JavaScript 및 VBScript)와 같은 신뢰할 수 없는 PE(Portable Executable)가 아닌 파일을 차단합니다. 예외 정책에서
    Windows 예외
    >
    파일 액세스
    를 누르십시오.
  • 웹 페이지의 평판 점수를 기준으로 웹 위협 요소를 차단합니다. 침입 차단 정책에는 평판 점수가 특정 임계값 미만인 웹 페이지를 차단하는 URL 평판 필터링이 포함되어 있습니다. 평판 점수는 -10(나쁨)에서 +10(좋음)까지입니다.
    URL 평판 실행
    옵션은 기본적으로 실행됩니다.
  • Symantec Endpoint Protection이 응용 프로그램의 해시 값을 기준으로 응용 프로그램을 학습하도록 할 수 있습니다. 예외 정책에서
    Windows 예외
    >
    응용 프로그램
    >
    핑거프린트로 응용 프로그램 추가
    를 누르십시오.
  • 네트워크 트래픽 리디렉션 기능을 사용하여 악성 사이트에 대한 웹 기반 공격으로부터 엔드포인트와 사용자를 보호합니다. 네트워크 트래픽 리디렉션은 엔터프라이즈 정책에 따라 네트워크 트래픽과 SaaS 응용 프로그램 액세스를 허용하거나 차단하는 Symantec Web Security Service로 모든 네트워크 트래픽(모든 포트) 또는 웹 기반 트래픽(포트 80 및 443)을 리디렉션합니다. 네트워크 트래픽 리디렉션 정책에는 터널 방법이라는 새로운 리디렉션 방법이 사용됩니다. 터널 방법은 모든 인터넷 트래픽을 자동으로 Symantec Web Security Service(WSS)로 리디렉션하며, Symantec WSS에서는 Symantec WSS 정책에 따라 트래픽이 허용 또는 차단됩니다. 터널 방법은 베타 기능으로 간주됩니다. 따라서 사용하는 응용 프로그램으로 WSS 정책에 대한 철저한 테스트를 수행해야 합니다. Broadcom에는 테스트 가이드와 사용자 경험에 대한 피드백을 남길 수 있는 공간을 제공하는 베타 웹 사이트가 있습니다. Broadcom 인증 정보를 사용하여 웹 사이트 Validate.broadcom.com(영문)에 로그온하십시오.
  • 통합 정책은 네트워크 트래픽 리디렉션 정책이라는 이름으로 변경되었습니다.
  • Symantec EDR에서 MITRE 강화 이벤트에 대한 지원을 제공합니다. MITRE ATT&CK 프레임워크를 활용하여 사용자 환경에서 발생하는 상황에 대한 컨텍스트를 제공합니다.
  • 다음과 같이 엔드포인트를 보다 구체적으로 파악할 수 있도록 하는 Symantec EDR 이벤트에 대한 지원을 제공합니다.
    • AMSI 이벤트는 위협 행위자가 기존의 명령줄 조사 방법을 회피하는 데 사용하는 방법을 파악할 수 있게 해 줍니다.
    • ETW 이벤트는 중앙 관리 Windows 엔드포인트에서 발생하는 이벤트를 파악할 수 있게 해 줍니다.
  • 동일한 시스템에서 Windows Defender와 Symantec Endpoint Protection를 모두 실행할 수 있는 기능이 포함되어 있습니다. Windows Defender 다음에 자동 보호 검사가 실행되어 Windows Defender가 놓친 위협 요소를 탐지할 수 있습니다.
    Windows Defender와 동시 사용
    옵션을 선택하면 Microsoft Defender가 실행 중지되더라도 자동 보호 기능이 실행될 수 있습니다. 이 옵션을 실행 중지하려면 바이러스 및 스파이웨어 차단 정책 >
    기타
    >
    기타
    탭을 누르십시오.
  • 이제 하이브리드 관리 클라이언트에 대한 공격 체인 완화가 지원됩니다.
Symantec Endpoint Protection Manager
  • 내장 데이터베이스가 Microsoft SQL Express 데이터베이스로 업데이트되었습니다. SQL Server Express 데이터베이스는 정책 및 보안 이벤트를 기본 내장 데이터베이스보다 더 효율적으로 저장하며 Symantec Endpoint Protection Manager와 함께 자동으로 설치됩니다.
  • Symantec Endpoint Protection Manager를 설치 또는 업그레이드하는 동안 관리 서버 구성 마법사는 다음을 수행합니다.
    • 자동으로 LiveUpdate 컨텐츠를 설치합니다.
    • SQL Server와 Symantec Endpoint Protection Manager 간의 보안 통신을 위해 TLS 인증서를 사용하는 옵션을 제공합니다.
  • LiveUpdate는 클라우드 콘솔에서 실행되도록 최적화된
    Symantec Endpoint Protection Manager
    의 새로운 엔진을 사용합니다. 새 엔진은 더 이상 Symantec Endpoint Protection Manager에 컨텐츠를 다운로드하는 내부 LiveUpdate 서버를 지정하는 FTP 방법이나 LAN 방법을 지원하지 않습니다.
  • 14.3 MP1에서는 사용할 수 없었던
    기존 타사 보안 소프트웨어 자동 제거
    옵션을 14.3 RU1에서 업데이트된 버전으로 다시 사용할 수 있게 되었습니다. 이 옵션은 타사 보안 소프트웨어를 제거하는 데 사용됩니다. 이 옵션에 액세스하려면
    관리
    페이지 >
    패키지
    >
    클라이언트 설치 설정
    을 누르십시오.
  • 클라이언트 패키지를 배포하는 데 사용되는 클라이언트 배포 마법사는 인증 정보를 확인하고 Symantec Endpoint Protection Manager에 연결할 수 있어야합니다. 확인 프로세스에 실패할 경우에는 Active Directory 사용자 계정이 잠기지 않도록 클라이언트 배포 프로세스가 중지됩니다.
  • 이제 시스템 상태 로그 및 리포트에서
    클라이언트 버전
    IPS 버전
    필드의 범위를 선택할 수 있습니다.
    제품 버전
    필터는
    클라이언트 버전
    이라는 이름으로 변경되었습니다.
  • 터미널 서버에서 실행되어 CPU 사용량과 메모리 사용량이 많은 클라이언트에 대해
    알림 영역 아이콘 실행 중지
    옵션을 사용할 수 있습니다. 이제 사용자 세션 프로세스(예: SmcGui.exe 및 ccSvcHost.exe)의 인스턴스가 여러 개 실행되지 않도록 하려는 경우 시스템 트레이 아이콘이라고도 하는 알림 영역 아이콘을 실행 중지할 수 있습니다. 터미널 서버에서 실행되는 클라이언트의 경우
    알림 영역 아이콘 실행 중지
    옵션을 사용하면 HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui의 레지스트리 키 설정을 덮어씁니다. 이 키를 수동으로 변경하는 대신 이 설정은 이제 정책을 통해 관리됩니다. 업그레이드하기 전에 터미널 서버에 있는 클라이언트를 동일한 그룹으로 이동하는 것이 가장 좋습니다. 터미널 서버에서 실행되지 않는 클라이언트의 경우 이 설정을 실행 중지한 상태로 유지하십시오. 이 옵션은 클라이언트 smc 서비스가 재시작 된 후에만 발생합니다.
    클라이언트
    >
    정책
    탭 >
    일반
    >
    일반 설정
    탭에서 이 옵션을 실행할 수 있습니다.
  • 허용 및 차단 기능을 반영하도록 허용 목록 및 차단 목록 모드를 업데이트했습니다.
    클라이언트
    페이지 >
    정책
    탭 >
    시스템 잠금
    대화 상자의 응용 프로그램 파일 목록이
    허용 목록 모드
    (Whitelist Mode)와
    차단 목록 모드
    (Blacklist Mode)에서
    허용 모드
    거부 모드
    로 변경되었습니다.
  • 관리
    페이지 >
    서버
    탭 >
    외부 로그 기록 구성
    >
    일반
    탭에서
    마스터 로그 서버
    옵션이
    기본 로그 서버
    로 변경되었습니다.
  • 시스템
    로그 유형 >
    관리
    로그 및
    감사
    로그에 컴퓨터 이름이 나열됩니다.
  • 클라이언트 방화벽 로그가 수집되므로 클라우드 콘솔에서 받는 통지가 줄었습니다.
  • Oracle Java SE가 OpenJDK로 대체되었습니다.
  • 타사 구성 요소 JQuery를 최신 버전으로 업데이트했습니다.
클라이언트 및 플랫폼 업데이트
  • Windows 클라이언트는 Windows 10 20H2(Windows 10 버전 2009)를 지원합니다.
  • Mac 클라이언트는 Intel Core i5 프로세서 이상의 macOS 11(Big Sur)을 지원합니다.
  • 기존 Mac 클라이언트 설치 패키지를 AdditionalPackages 폴더로 옮겼습니다.
제거된 기능
  • 통지 및 리포트에서
    위험 요소 심각도
    심각도별 위험 요소 분포
    옵션이 제거되었습니다.
  • CASMA
    탭과
    분석
    명령은 14.3에서 예고된 대로 제거되었습니다.
  • Mac 클라이언트는 더 이상 macOS 10.13 또는 10.14.x를 지원하지 않습니다.
  • 레지스트리에서 더 이상 제외를 볼 수 없습니다. 14.3 RU1 이하 버전의 경우 제외를 보려면 다음을 참조하십시오. Verify if an Endpoint Client has Automatically Excluded an Application or Directory(영문)
문서
Symantec Endpoint Protection Manager 도움말은 이제 온라인으로 제공되며 Symantec Endpoint Protection 설치 및 관리 설명서에 있습니다.
데이터베이스 스키마
데이터베이스 스키마에는 다음과 같은 변경 사항이 있습니다.
테이블
열 변경 사항
알림
ENRICHED_DATA 열이 추가되었습니다.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
각 테이블에서 다음 열이 제거되었습니다.
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(계속)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • CONTENT 열의 유형이 'image'에서 'varbinary'로 변경되었습니다.
  • FILESTREAM_ID 인덱싱 열이 추가되었습니다.
  • FILESTREAM_ID 인덱스가 추가되었습니다.
  • 다음 열이 제거되었습니다.
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
다음 열이 추가되었습니다.
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • NTR_MESSAGE 열이 추가되었습니다.
  • 다음 열이 제거되었습니다.
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
다음 열이 추가되었습니다.
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
다음 열이 제거되었습니다.
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
ENRICHED_DATA 열이 추가되었습니다.