Nowości w programie Symantec Endpoint Protection 14.3 RU1

Ta sekcja opisuje nowe funkcje w tej wersji.
Funkcje ochrony
  • Zawiera nowe agenty dla systemu Mac i Linux, które można zainstalować i zarządzać z poziomu lokalnego programu Symantec Endpoint Protection Manager lub zintegrowanej konsoli w chmurze Cyber Defense Manager.
  • Zapobiega nowym i nieznanym zagrożeniom w systemie macOS, monitorując zachowanie plików w czasie rzeczywistym. Nowy agent dla systemu Mac zawiera funkcje ochrony opartej na sposobach działania. Ochrona oparta na sposobach działania (SONAR) wykorzystuje sztuczną inteligencję i zaawansowane uczenie maszynowe do ochrony typu „godzina zero”, aby skutecznie powstrzymać nowe zagrożenia.
  • Blokuje niezaufane nieprzenośne pliki wykonywalne (PE), takie jak pliki PDF i skrypty (jak np. PowerShell, JavaScript, VBScript), które nie zostały jeszcze zidentyfikowane jako zagrożenie. W zasadach wyjątków kliknij pozycję
    Wyjątki systemu Windows
    >
    Dostęp do plików
    .
  • Zapobiega zagrożeniom internetowym na podstawie oceny reputacji strony internetowej. Zasady funkcji Zapobieganie włamaniom obejmuje filtrowanie reputacji adresów URL, które blokuje strony internetowe z oceną reputacji poniżej określonego progu. Oceny reputacji wahają się od -10 (źle) do +10 (dobrze). Opcja
    Włącz reputację adresu URL
    jest domyślnie włączona.
  • Można wymusić, aby program Symantec Endpoint Protection zapamiętywał aplikacje na podstawie wartości skrótu aplikacji. W zasadach wyjątków kliknij pozycję
    Wyjątki systemu Windows
    >
    Aplikacja
    >
    Dodaj aplikację opartą na niepowtarzalnym identyfikatorze
    .
  • Chroni punkty końcowe i użytkowników przed atakami pochodzącymi z Internetu na destrukcyjnych witrynach za pomocą funkcji Przekierowania ruchu sieciowego. Przekierowanie ruchu sieciowego przekierowuje cały ruch sieciowy (dowolny port) lub tylko ruch internetowy (porty 80 i 443) do usługi Symantec Web Security, która zezwala lub blokuje ruch sieciowy i dostęp do aplikacji SaaS na podstawie polityki firmy. Zasada Przekierowania ruchu sieciowego ma nową metodę przekierowania zwaną metodą tunelu. Metoda tunelu automatycznie przekierowuje cały ruch internetowy do usługi Symantec WSS, gdzie ruch jest dozwolony lub blokowany na podstawie zasad Symantec Web Security Service. Metoda tunelu jest uznawana za funkcję w wersji beta. Należy przeprowadzić dokładne testowanie aplikacji w odniesieniu do zasad WSS. Broadcom posiada stronę internetową w wersji beta, która oferuje przewodnik po testach oraz miejsce, gdzie można zostawić opinie na temat własnych doświadczeń. Zaloguj się do następującej witryny sieci Web przy użyciu poświadczeń Broadcom: Validate.broadcom.com
  • Nazwa Zasada integracji została zmieniona na Zasadę przekierowania ruchu sieciowego.
  • Umożliwia obsługę zdarzeń wzbogaconych o rozwiązania MITRE w programie Symantec EDR. Wykorzystanie frameworka MITRE ATT&CK w celu dostarczenia informacji o tym, co aktualnie dzieje się w danym środowisku.
  • Umożliwia obsługę następujących zdarzeń EDR firmy Symantec, które zapewniają szczegółowy wgląd w punktach końcowych:
    • Zdarzenia AMSI zapewniają widoczność metod zagrożyciela, które mogą omijać tradycyjne metody sprawdzania z wiersza poleceń.
    • Zdarzenia ETW zapewniają wgląd w zdarzenia występujące w zarządzanych punktach końcowych systemu Windows.
  • Obejmuje możliwość uruchamiania programu Windows Defender, jak i Symantec Endpoint Protection na tym samym komputerze. Skanowanie Automatycznej ochrony jest uruchamiane po programie Windows Defender i może wykryć wszelkie zagrożenia, które nie zostaną rozpoznane przez Windows Defender. Opcja
    Wspólne działanie z Windows Defender
    gwarantuje, że funkcja Automatycznej ochrony działa w przypadku wyłączenia programu Microsoft Defender. Aby wyłączyć tę opcję, przejdź do zasady Ochrony przed wirusami i programami typu spyware >
    Różne
    > karta
    Różne
    .
  • Ograniczanie łańcucha ataku jest teraz obsługiwane dla klientów zarządzanych hybrydowo.
program Symantec Endpoint Protection Manager
  • Wbudowana baza danych została zaktualizowana do bazy danych programu Microsoft SQL Express. Baza danych programu SQL Server Express przechowuje zasady i zdarzenia zabezpieczeń bardziej efektywnie niż domyślna wbudowana baza danych i jest instalowana automatycznie z Symantec Endpoint Protection Manager.
  • Podczas instalacji lub uaktualnienia programu Symantec Endpoint Protection Manager, Kreator konfiguracji serwera zarządzania:
    • Automatycznie instaluje zawartość usługi LiveUpdate.
    • Udostępnia opcję używania certyfikatu TLS do bezpiecznej komunikacji między programem SQL Server a Symantec Endpoint Protection Manager.
  • Usługa LiveUpdate używa nowego silnika w programie
    program Symantec Endpoint Protection Manager
    , o nazwie LUX, który jest zoptymalizowany do pracy na konsoli w chmurze. Nowy silnik nie obsługuje już metody FTP ani metody LAN umożliwiającej określenie wewnętrznego serwera LiveUpdate w celu pobrania zawartości do programu Symantec Endpoint Protection Manager.
  • Opcja
    Automatycznie odinstaluj istniejące oprogramowanie zabezpieczające innych firm
    , która nie była dostępna w wersji 14.3 MP1, jest ponownie dostępna w wersji 14.3 RU1 z wersją zaktualizowaną. Ta opcja służy do odinstalowywania oprogramowania zabezpieczającego innych firm. Aby uzyskać dostęp do tej opcji, kliknij stronę
    Administrator
    >
    Pakiety
    >
    Ustawienia instalacji klienta
    .
  • Kreator wdrażania klientów, używany do wdrażania pakietów klienckich, musi mieć zweryfikowane poświadczenia i możliwość nawiązania połączenia z programem Symantec Endpoint Protection Manager. Jeśli proces weryfikacji zakończy się niepowodzeniem, proces wdrażania klienta zostaje zatrzymany, aby uniemożliwić zablokowanie kont użytkowników Active Directory.
  • Dzienniki i raporty o stanie komputera umożliwiają teraz wybór zakresu dla pól
    Wersja klienta
    i
    Wersja IPS
    . Nazwa filtru
    Wersja produktu
    została zmieniona na
    Wersja klienta
    .
  • Opcja
    Wyłącz ikonę obszaru powiadomień
    jest dostępna dla klientów, którzy działają na serwerze terminalowym i powodują wysokie zużycie procesora i pamięci. Można teraz wyłączyć ikonę w obszarze powiadomień, zwanej również ikoną zasobnika systemu, aby zapobiec uruchamianiu wielu wystąpień procesów sesji użytkownika (takich jak SmcGui.exe i ccSvcHost.exe). Dla klientów, którzy działają na serwerach terminalowych, opcja
    Wyłącz ikonę obszaru powiadomień
    zastępuje ustawienie klucza rejestru w HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui. Zamiast ręcznej zmiany tego klucza, jest on teraz zarządzany przez zasadę. W ramach najlepszych praktyk należy przed uaktualnieniem przenieść klienty, które są na serwerze terminalowym w tej samej grupie. Dla klientów, którzy nie są uruchamiani na serwerach terminalowych, to ustawienie powinno być wyłączone. Opcja ta jest dostępna tylko po ponownym uruchomieniu usługi smc klienta. Ta opcja jest włączona na stronie
    Klienty
    > karta
    Zasady
    >
    Ogólne
    >
    Ustawienia ogólne
    .
  • Zaktualizowano tryb listy dozwolonych i listy niedozwolonych zgodnie z funkcjonalnością zezwalania i blokowania. Na stronie
    Klienty
    > karta
    Zasady
    > okno dialogowe
    Blokada systemu
    listy plików aplikacji zmieniły się z
    Whitelist Mode
    (Tryb listy dozwolonych) i
    Blacklist Mode
    (Tryb listy niedozwolonych) na
    Allow Mode
    (Tryb zezwalania) i
    Deny Mode
    (Tryb odmowy).
  • Na stronie
    Administrator
    > karta
    Serwery
    >
    Skonfiguruj rejestrowanie zewnętrzne
    > karta
    Ogólne
    , opcja
    Serwer główny rejestrowania
    została zmieniona na
    Podstawowy serwer logowania
    .
  • Typ dziennika
    systemu
    > dziennik
    administracyjny
    i dziennik
    inspekcji
    wyświetla nazwę komputera.
  • Dzienniki zapory sieciowej klienta są gromadzone, dzięki czemu użytkownik otrzymuje mniej powiadomień na konsoli w chmurze.
  • Oprogramowanie Oracle Java SE zastąpiono OpenJDK.
  • Zaktualizowano składniki zewnętrzne JQuery do nowszej wersji.
Aktualizacje klientów i platform
  • Klient systemu Windows obsługuje system Windows 10 20H2 (Windows 10 wersja 2009)
  • Klient systemu Mac obsługuje macOS 11 (Big Sur) z procesorem Intel Core i5 lub nowszym.
  • Przeniesiono starsze pakiety instalacyjne klienta systemu Mac do folderu Dodatkowe pakiety.
Funkcje usunięte
  • Opcje
    Dotkliwość zagrożenia
    i
    Rozkład ryzyka według kryterium dotkliwości
    zostały usunięte z powiadomień i raportów.
  • Karta
    CASMA
    i polecenie
    Analizuj
    zostały usunięte, ponieważ ta funkcja jest nieobsługiwana w wersji 14.3.
  • Klient dla systemu Mac nie obsługuje już systemu macOS 10.13 lub 10.14.x.
  • Nie można już przeglądać wykluczeń w rejestrze. Dla wersji 14.3 RU1 i wcześniejszych, aby wyświetlić wykluczenia, zobacz: Sprawdź, czy klient programu Endpoint automatycznie wykluczył aplikację lub katalog.
Dokumentacja
Pomoc programu Symantec Endpoint Protection Manager jest teraz dostępna online i znajduje się pod adresem: Podręcznik instalacji i podręcznik administratora programu Symantec Endpoint Protection
Schemat bazy danych
Schemat bazy danych zawiera następujące zmiany:
Tabela
Zmiana kolumny
ALERTS
Dodano kolumnę ENRICHED_DATA
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Usunięto następujące kolumny z każdej tabeli:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(Kontynuacja)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • Typ danych kolumny CONTENT zmieniony z image na ‘varbinary’
  • Dodano kolumnę indeksowaną FILESTREAM_ID
  • Dodano indeks FILESTREAM_ID
  • Usunięto następujące kolumny:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Dodano następujące kolumny:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Dodano kolumnę NTR_MESSAGE
  • Usunięto następujące kolumny:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Dodano następujące kolumny:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Usunięto następujące kolumny:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Dodano kolumnę ENRICHED_DATA