Новые возможности Symantec Endpoint Protection 14.3 RU1

В этом разделе описаны новые компоненты этого выпуска.
Компоненты защиты
  • Включает новые агенты Symantec для Mac и для Linux, которые можно установить и настроить из локального экземпляра Symantec Endpoint Protection Manager или из интегрированной облачной консоли Cyber Defense Manager.
  • Предотвращает новые и неизвестные угрозы на macOS, отслеживая особенности поведения файлов в режиме реального времени. Новый агент для Mac включает в себя эти возможности защиты на основе анализа поведения. Защита на основе анализа поведения (SONAR) использует искусственный интеллект и современные технологии машинного обучения для защиты от угроз нулевого дня.
  • Блокирует ненадежные непереносимые исполняемые файлы (PE), например PDF-файлы и сценарии (например, (PowerShell, JavaScript, and VBScript), которые еще не определены как угрозы. В политике исключений нажмите
    Исключения Windows
    >
    Доступ к файлам
    .
  • Предотвращает веб-угрозы на основе оценки репутации веб-страницы. Политика предотвращения вторжений включает фильтрацию URL-адресов, которая блокирует веб-страницы с оценкой репутации ниже определенного порогового значения. Оценки репутации могут варьироваться от -10 (плохая репутация) до +10 (хорошая репутация). Параметр
    Включить репутацию URL-адреса
    включен по умолчанию.
  • Можно настроить в Symantec Endpoint Protection принудительное получение данных о приложении из значения хэша приложения. В политике Исключений нажмите
    Исключения Windows
    >
    Приложение
    >
    Добавить приложение по идентификационному коду
    .
  • Защищает конечные точки и пользователей от веб-атак на вредоносных сайтах с использованием функции перенаправления сетевого трафика. Функция перенаправления сетевого трафика перенаправляет весь сетевой трафик (любой порт) или только веб-трафик (порты 80 и 443) в службу Symantec Web Security Service, которая разрешает или блокирует сетевой трафик и доступ к приложениям SaaS на основе корпоративной политики. Политика перенаправления сетевого трафика предусматривает новый метод перенаправления, так называемое туннелирование. При туннелировании весь интернет-трафик автоматически перенаправляется в Symantec WSS, где его передача разрешается или блокируется в зависимости от политик Symantec Web Security Service. Метод туннелирования на данный момент находится на этапе бета-тестирования. Необходимо тщательно протестировать его работу с приложениями при использовании политик WSS. Broadcom предоставляет бета-версию веб-сайта, где доступно руководство по тестированию, а также можно оставить отзывы о новой функции. Войдите на следующий веб-сайт, используя учетные данные Broadcom: Validate.broadcom.com.
  • Политика интеграции переименована в политику перенаправления сетевого трафика.
  • Обеспечивает поддержку событий с учетом контекста MITRE в Symantec EDR. Используйте систему MITRE ATT&CK, чтобы предоставить контекст происходящего в вашей среде.
  • Поддерживает следующие события Symantec EDR, которые обеспечивают расширенную визуализацию конечных точек:
    • События AMSI обеспечивают визуализацию тех методов злоумышленников, которые могут остаться незамеченными при использовании традиционных способов опроса командной строки.
    • События ETW обеспечивают визуализацию событий, происходящих на управляемых конечных точках Windows.
  • Включает функцию запуска «Защитника Windows» и Symantec Endpoint Protection на одном компьютере. Сканирование с использованием автоматической защиты запускается вслед за «Защитником Windows» и может обнаруживать любые угрозы, которые он пропускает. Параметр
    Совместное использование с «Защитником Windows»
    гарантирует, что автоматическая защита продолжит работать после отключения «Защитника Microsoft». Чтобы отключить этот параметр, нажмите «Политика защиты от вирусов и программ-шпионов» >
    Прочее
     > вкладка
    Прочее
    .
  • Обрыв цепочки атаки теперь поддерживается для клиентов с гибридным управлением.
Symantec Endpoint Protection Manager
  • В качестве встроенной базы данных теперь используется база Microsoft SQL Express. База данных SQL Server Express хранит политики и события безопасности более эффективно, чем встроенная база данных по умолчанию, и устанавливается автоматически вместе с Symantec Endpoint Protection Manager.
  • Во время установки или обновления Symantec Endpoint Protection Manager мастер настройки сервера управления выполняет следующие действия.
    • Автоматически устанавливает содержимое LiveUpdate.
    • Предоставляет возможность использовать сертификат TLS для безопасной связи между SQL Server и Symantec Endpoint Protection Manager.
  • LiveUpdate использует в
    Symantec Endpoint Protection Manager
    новый модуль, который оптимизирован для выполнения в облачной консоли. Новый механизм больше не поддерживает методы FTP или LAN, позволяющие указать внутренний сервер LiveUpdate для загрузки содержимого в Symantec Endpoint Protection Manager.
  • Параметр
    Автоматическое удаление существующего стороннего программного обеспечения безопасности
    , который был недоступен в версии 14.3 MP1, теперь обновлен и добавлен в версию 14.3 RU1. Этот параметр используется для удаления стороннего программного обеспечения безопасности. Чтобы получить доступ к нему, перейдите на страницу
    Администратор
    >
    Пакеты
    >
    Параметры установки клиента
    .
  • Мастер развертывания клиентов, используемый для развертывания клиентских пакетов, должен иметь проверенные учетные данные, а также иметь возможность подключиться к Symantec Endpoint Protection Manager. Если проверка не пройдена, процесс развертывания клиента будет прерван, чтобы не допустить блокировки учетных записей пользователей Active Directory.
  • Теперь в разделе "Журналы и отчеты о состоянии компьютеров" можно выбрать диапазон для полей
    Версия клиента
    и
    Версия IPS
    . Имя фильтра
    Версия продукта
    изменено на
    Версия клиента
    .
  • Опция
    Не показывать значок в области уведомлений
    доступна для клиентов, которые работают на сервере терминалов и интенсивно потребляют ресурсы ЦП и памяти. Теперь вы можете отключить показ значка в области уведомлений (на панели задач), чтобы предотвратить запуск нескольких экземпляров процесса пользовательского сеанса (например, SmcGui.exe и ccSvcHost.exe). Для клиентов, запущенных на сервере терминалов, параметр
    Отключить значок в области уведомлений
    переопределяет параметр ключа реестра в HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui. Теперь этот ключ управляется с помощью политики, а не вручную. Перед обновлением рекомендуется переместить клиенты, которые находятся на сервере терминалов в одной группе. Если клиенты не запущены на сервере терминалов, данный параметр включать не нужно. Этот параметр действует только после перезапуска службы smc клиента. Включить этот параметр можно в разделе
    Клиенты
    > вкладка
    Политики
    >
    Общие
    > вкладка
    Общие настройки
    .
  • Обновлен режим белого списка и черного списка в соответствие с функциями разрешения и блокировки. На странице
    Клиенты
    > вкладка
    Политики
    > диалоговое окно
    Блокировка системы
    списки файлов приложений изменены с
    Режим белого списка
    и
    Режим черного списка
    на
    Режим разрешенных элементов
    и
    Режим запрещенных элементов
    .
  • На странице
    Администратор
    > вкладка
    Серверы
    >
    Настроить внешние журналы
    > вкладка
    Общие
    параметр
    Главный сервер ведения журналов
    изменен на
    Основной сервер ведения журналов
    .
  • Журнал
    Система
     > журнал
    Администрирование
    и журнал
    Аудит
    содержат имя компьютера.
  • Выполняется сбор данных журналов брандмауэра клиента, чтобы в облачной консоли отображалось меньше уведомлений.
  • Oracle Java SE заменен на OpenJDK.
  • Сторонние компоненты JQuery заменены на более новые версии.
Обновления клиентов и платформы
  • Клиент Windows поддерживает Windows 10 20H2 (Windows 10 версии 2009).
  • Клиент Mac поддерживает macOS 11 (Big Sur) на базе процессора Intel Core i5 и более поздней модели.
  • Устаревшие пакеты установки клиентов Mac перемещены в папку «Дополнительные пакеты».
Удаленные компоненты
  • Параметры
    Серьезность угрозы
    и
    Распределение угроз по степени серьезности
    удалены из уведомлений и отчетов.
  • Вкладка
    CASMA
    и команда
    Анализ
    удалены, так как эта функция в версии 14.3 уже не поддерживается.
  • Клиент Mac больше не поддерживает macOS 10.13 или 10.14.x.
  • Просматривать исключения в реестре стало невозможно. Информацию о просмотре исключений в версии 14.3 RU1 или более ранней см. в разделе Проверка автоматического исключения приложения или каталога клиентом Endpoint.
Документация
Справка Symantec Endpoint Protection Manager теперь доступна в сети и находится по ссылке Руководство по установке и администрированию Symantec Endpoint Protection.
Схема базы данных
В схему базы данных внесены следующие изменения.
Таблица
Изменение столбца
ПРЕДУПРЕЖДЕНИЯ
Добавлен столбец ENRICHED_DATA.
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
Из каждой таблицы удалены следующие столбцы:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVER
(продолжение)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • Тип столбца CONTENT изменен с image на varbinary
  • Добавлен индексированный столбец FILESTREAM_ID
  • Добавлен индекс FILESTREAM_ID.
  • Удалены следующие столбцы:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
Добавлены следующие столбцы:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • Добавлен столбец NTR_MESSAGE.
  • Удалены следующие столбцы:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
Добавлены следующие столбцы:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
Удалены следующие столбцы:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
Добавлен столбец ENRICHED_DATA.