Новые возможности Symantec Endpoint Protection (SEP) 14.0.1 (14 RU1)

Возможности защиты
  • Облачное управление с помощью облачного портала Symantec Endpoint Protection
    : Symantec Endpoint Protection 14.1 включает в себя облачный портал управления, который расширяет возможности Symantec Endpoint Protection по обнаружению и устранению возникающих угроз в вашей среде. Облачный портал предоставляет подробные данные о безопасности сети на экранах информационной панели, отображая подозрительные файлы на всех ваших устройствах. Symantec Endpoint Protection Manager легко подключается к облаку посредством внутреннего моста. Кроме того, можно работать с интерфейсом облачного портала напрямую.
    Справка по данным компонентам доступна на облачном портале.
    • Обнаружение и блокирование обнаруженных подозрительных объектов с помощью политики интенсивной защиты:
      параметры политики интенсивной защиты предполагают настройку нескольких модулей для повышения качества обнаружения. Обнаруженные угрозы могут заноситься в журнал с большей интенсивностью, что позволяет более точно узнать, какие файлы будут выявляться и блокироваться. Отражение гипотетических ситуаций в журнале позволяет заранее заносить в белый список возможные ложные срабатывания до того, как вы решите блокировать обнаружения. При применении этой политики некоторые параметры в Symantec Endpoint Protection Manager игнорируются. Например, в политике "Интенсивная защита" игнорируются настройки Bloodhound из политики "Защита от вирусов и программ-шпионов".
    • Улучшенная поддержка сред с низкой пропускной способностью:
      облачный портал определяет, будут ли клиенты Symantec Endpoint Protection 14.0.1 получать обновления реже, если они находятся в среде с более медленными сетями. В режиме низкой пропускной способности можно использовать политику интенсивной защиты для расширенной настройки безопасности конечных точек. Эти обновления включают в себя антивирусную программу, SONAR и описания IPS. Усовершенствования в среде с низкой пропускной способностью также предполагают автоматическое снижение объема данных, отправляемых для телеметрии. Режим низкой пропускной способности выключен по умолчанию.
    • Интегрированный контроль ложноположительных результатов:
      вы можете разрешить (добавить в белый список) или заблокировать (добавить в черный список) файлы из нескольких представлений.
  • Дополнительные функции предупреждения последствий использования эксплойтов памяти:
    предупреждение последствий использования эксплойтов памяти помогает операционной системе блокировать принципиально новые типы атак, независимо от сбоев, ошибок или уязвимостей в программном обеспечении. Предупреждение последствий использования эксплойтов памяти мгновенно блокирует эксплойты, вместо того чтобы ожидать получения исправлений от поставщика, а затем настраивать расписание для применения этих исправлений. Версия 14.0.1 содержит следующие изменения:
    • Универсальное предупреждение последствий использования эксплойтов переименовано в предупреждение последствий использования эксплойтов памяти.
    • Предупреждение последствий использования эксплойтов памяти и предотвращение вторжений являются отдельными политиками.
    • Предупреждение последствий использования эксплойтов памяти предоставляет средства для более тонкой настройки тестирования и устранения неполадок, возникающих в связи с ложными срабатываниями.
    • Некоторые новые методы предупреждения последствий использования эксплойтов памяти
    • Команда удаленного включения или выключения предупреждения последствий использования эксплойтов памяти в клиенте Windows изменилась с smc -enable -gem/smc -disable -gem на smc -enable -mem/smc -disable -mem.
  • Политика исключений может исключать обнаружение с учетом сертификата файла (Windows):
    вы можете добавить исключения для отдельных сертификатов, чтобы клиент Window не сканировал подписанные файлы и не обнаруживал их как подозрительные. Например, программа, разработанная внутри вашей компании, может использовать самоподписанный сертификат. Исключение этого сертификата из сканирования предотвращает воздействие автоматической защиты, Download Insight, SONAR и других вариантов сканирования или подписание файлов в качестве подозрительных.
  • Обновленная интеграция EDR с Symantec Advanced Threat Protection:
    Endpoint Symantec Advanced Threat Protection: Endpoint (ATP) — это локальное виртуальное устройство, способное обнаруживать новейшие угрозы на конечных точках вашей сети. ATP: Endpoint предоставляет ценные данные, позволяющие быстро анализировать угрозы и реагировать на них. Модуль ATP предоставляет Endpoint Detection and Response (EDR) для прямой связи с зарегистрированными клиентскими компьютерами. EDR существенно сокращает время, требуемое клиентским компьютерам для получения команд, предоставляющих сведения об исправлении поврежденных файлов и запросах поиска свидетельств компрометации (evidence of compromise, EOC). Новая версия компонента EDR позволяет собирать события на клиентском компьютере. EDR содержит сведения о файлах, процессах, реестрах и сетевых соединениях. Эти данные отправляются в консоль ATP: Endpoint. Последняя версия EDR требует наличия продукта ATP: Endpoint 3.0, но не требует лицензирования в Symantec Endpoint Protection. Свежие данные EDR можно загрузить с помощью LiveUpdate.
  • Symantec Endpoint Protection Deception:
    модуль Deception используется для обнаружения действий злоумышленников в конечной точке с помощью поддельных данных. Данный подход основан на предположении, что злоумышленник уже обошел первичную оборону сети и начал исследование среды. Злоумышленник пытается найти важные активы, такие как учетные данные контроллера домена или базы данных. Благодаря Deception вы можете быстрее обнаружить попытки вторжения. Вы можете загрузить образец поддельных данных через FileConnect в каталог Инструменты в виде полного файла установки либо в качестве автономной загрузки.
  • Advanced Machine Learning (AML) для клиентов Mac:
    модуль AML теперь работает с облачной системой Symantec для аналитики угроз в режиме реального времени на клиентах Mac. AML позволяет Symantec Endpoint Protection обнаруживать вредоносные программы на этапе предварительного выполнения, тем самым останавливая обширные классы известных и неизвестных вредоносных программ.
Компоненты сервера управления
  • Параметр включения уведомлений в Symantec Endpoint Protection Manager и клиенте Windows был переименован из "Показывать уведомления о предотвращении вторжений" в "Показать уведомления о предотвращении вторжений и предупреждении последствий использования эксплойтов памяти". В версиях 12.1.6.x и более ранних этот параметр работает только в отношении уведомлений IPS.
  • В журналах состояния компьютера и быстрых отчетах параметр Предупреждение последствий использования эксплойтов сети и хоста выключено изменился на Брандмауэр выключен, а Превентивная защита от угроз выключена — на Модуль SONAR выключен. Для доступа к журналу откройте вкладку
    Мониторы > Журналы > тип журнала Состояние компьютера > Дополнительные параметры > Параметры соответствия требованиям
    . Для доступа к быстрым отчетам откройте вкладку
    Отчеты > Быстрые отчеты > тип отчета Состояние компьютера > Дополнительные параметры > Параметры соответствия требованиям
    .
  • Параметр смешанного режима Включить/Выключить предупреждение последствий использования эксплойтов сети и хоста
    был переименован во
    Включить/Выключить защиту от сетевых угроз
    . В версиях 14 MPx на вкладке Парам. упр-я клиентом/сервером для смешанного режима содержится неправильное название команды
    Включить/Выключить предупреждение последствий использования эксплойтов сети и хоста
    . Эта команда предназначена только для брандмауэра и системы предотвращения вторжений (защита от сетевых угроз) и не применяется для предупреждения последствий использования эксплойтов памяти.
Требования к системе
В Symantec Endpoint Protection 14.0.1 добавлена поддержка следующих функций:
  • SQL Server 2016 SP1 для использования с Symantec Endpoint Protection Manager
  • macOS 10.13 (High Sierra)
  • Windows 10 Fall Creators Update 2017 (32- или 64-разрядный выпуск)
  • Поддержка браузеров: Mozilla Firefox 5.x–56.x, Google Chrome 61.0.x
Установка клиента
  • Мастер развертывания клиентов содержит метки столбцов имени хоста и IP-адреса:
    для установки новых клиентов с помощью принудительной установки выполняется поиск доступных компьютеров в сети. Ранее доступные компьютеры в этом списке отображались в произвольном порядке. Теперь можно упорядочить отображение компьютеров в алфавитном или числовом порядке, используя новые столбцы Имя хоста и IP-адрес. Таким образом можно быстрее найти компьютеры для установки клиентов. Эти метки отображаются в мастере развертывания клиента. На панели Выбор компьютера выберите Поиск в сети и затем нажмите Найти компьютеры.
  • Пароль, необходимый для удаления клиента Mac:
    теперь можно настроить обязательный ввод пользователем пароля для удаления клиента Mac.
  • Начиная с версии macOS 10.13 требуется авторизация ядра Symantec Endpoint Protection:
    в MacOS 10.13 добавлено требование безопасности, которое предусматривает авторизацию расширений ядра. В Symantec Endpoint Protection 14.0.1 добавлена поддержка macOS 10.13. Если требуется авторизация расширения ядра, вам будет предложено выполнить ее во время установки клиента Mac. Если вы не предоставите авторизацию для расширения ядра, клиент Mac не сможет функционировать должным образом. Для авторизации расширения ядра нажмите Разрешить на панели системных настроек Защита и безопасность. Учетные данные администратора предоставлять не нужно. Авторизацию расширения ядра достаточно выполнить один раз. В случае удаления и повторной установки клиента или обновления операционной системы до версии 10.13 с установленной версией 14 повторная авторизация не требуется. Авторизация ядра необходима, даже если вы используете удаленную принудительную отправку. Это дополнительное действие необходимо выполнить после использования удаленной принудительной отправки для развертывания Symantec Endpoint Protection.
  • Переименован параметр "Добавить установочный пакет клиента":
    в версии 14 параметр "Включить последнее содержимое в пакет установки клиента" был ошибочно изменен на "Включить описания вирусов в пакет установки клиента". Чтобы более точно описать действие этого параметра, он был переименован в Включить новые типы содержимого в пакет установки клиента.
Команды REST API
  • Интерфейсы REST API Symantec Endpoint Protection Manager обеспечивают программное взаимодействие с Symantec Endpoint Protection. Этот набор интерфейсов REST API подключается к Symantec Endpoint Protection Manager и выполняет соответствующие операции из Symantec Advanced Threat Protection: Endpoint (ATP) и Symantec Web Gateway (SWG). API-интерфейсы используются при отсутствии доступа к Symantec Endpoint Protection Manager. Примечание. Если Symantec Endpoint Protection Manager зарегистрирован на облачном портале, использование команд REST API для управления элементами, которыми управляет облачный портал, не поддерживается.
  • Документация доступна на сервере Symantec Endpoint Protection Manager по следующему адресу, где SEPM-IP является IP-адресом сервера Symantec Endpoint Protection Manager: https://SEPM-IP:8446/sepm/restapidocs.html
Удаленные или неподдерживаемые функции
  • Объявлено об окончании жизненного цикла Endpoint Protection 12.1.x:
    3 апреля 2017 года компания Symantec объявила о прекращении предоставления Endpoint Protection 12.1.x. В этот день начинается процесс постепенного прекращения поддержки всех выпущенных версий 12.1. Эти выпущенные версии включают обновления выпуска и профилактические исправления.
  • Удалена возможность отправки угроз, помещенных в карантин, в Symantec Security Response вручную:
    в версии 14 и более ранних версиях можно вручную отправлять угрозы, помещенные в карантин, с клиентов Windows специалистам Security Response. Начиная с версии 14.0.1 такие образцы можно отправлять только автоматически на сервер центрального карантина.
  • В Symantec Endpoint Protection Manager флажок
    Разрешить клиентским компьютерам вручную отправлять помещенные в карантин объекты в Symantec Security Response
    находился на странице политики
    Защита от вирусов и программ-шпионов на вкладке Карантин > Общие
    .
  • В клиенте Windows нажмите выберите
    Показать карантин
    . Кнопка
    Отправить
    и элемент контекстного меню
    Отправить
    были удалены.
  • Удалена поддержка Mac OS X 10.9
  • Параметры политики целостности хоста для Mac:
    политики целостности хоста для Mac требовали установки клиента Symantec Network Access Control On-Demand для Mac. Symantec Network Access Control больше не предоставляется, и его использование с Symantec Endpoint Protection 14.x не поддерживается. Хотя параметры Mac все еще доступны в пользовательском интерфейсе, они не поддерживаются.