Symantec Endpoint Protection (SEP) 14.0.1 (14 RU1) 的新功能

防護功能
  • 使用 Symantec Endpoint Protection 雲端入口網站的雲端式管理:
    Symantec Endpoint Protection 14.1 包含的雲端入口網站提供雲端式管理,可擴展 Symantec Endpoint Protection 功能,以偵測並矯正您環境中的新興威脅。雲端入口網站透過可洞察裝置間可疑檔案的儀表板檢視,提高了網路安全態勢的可見度。Symantec Endpoint Protection Manager 透過內部橋接器無縫連線到雲端。您也可以直接存取雲端入口網站的介面。
    您可以在雲端入口網站中存取這些功能的雲端入口網站說明。
    • 使用密集型防護政策搜尋並攔截可疑偵測:
      密集型防護政策設定調整了多個引擎來提升偵測效能。您可以選擇用更高的密集度記錄偵測,以便您可以看到在該層級會偵測並攔截哪些檔案。模擬記錄可協助您在決定攔截偵測之前,主動將任何誤報加入許可清單。套用此政策後,將會忽略 Symantec Endpoint Protection Manager 中的部分設定。例如,「密集型防護」政策會忽略「病毒和間諜軟體防護」政策中的 Bloodhound 設定。
    • 增強了對低頻寬環境的支援:
      雲端入口網站可控制位於較慢網路上的 Symantec Endpoint Protection 14.0.1 用戶端,是否降低接收更新的頻率。在低頻寬模式下,您可以使用密集型防護政策更好地調整端點上的安全性。這些更新包括病毒、SONAR 以及 IPS 定義檔。低頻寬改善還包括自動減少遙測傳送資料。低頻寬預設為關閉。
    • 整合式誤報管理:
      您可以從多個檢視中允許 (許可清單) 或攔截 (黑名單) 檔案。
  • 其他記憶體攻擊緩和功能:
    記憶體攻擊緩和可增強作業系統阻止零時差攻擊的能力,不論這類攻擊是來自軟體的瑕疵、錯誤還是弱點。記憶體攻擊緩和會立即處理攻擊,而非等待廠商提供修補程式,然後再排程套用修補程式的時間。14.0.1 版包含下列變更:
    • 「防一般攻擊程式」重新命名為「記憶體攻擊緩和」。
    • 記憶體攻擊緩和與入侵預防政策是不同的政策。
    • 記憶體攻擊緩和包含更多微調控制,可讓您測試並疑難排解以避免誤報。
    • 記憶體攻擊緩和的一些新緩和技術
    • 遠端啟用或停用 Windows 用戶端上「記憶體攻擊緩和」的指令已從 smc -enable -gem 和 smc -disable -gem 變更為 smc -enable -mem 和 smc -disable -mem。
  • 例外政策可以根據檔案的憑證排除偵測 (Windows):
    您可以針對個別憑證新增例外,以防止 Windows 用戶端掃描已簽署的檔案並將其偵測為可疑檔案。例如,公司內部開發的工具會使用自我簽署憑證。從掃描排除此憑證可防止自動防護、下載鑑識、SONAR 或其他掃描將其簽署的檔案偵測為可疑檔案。
  • 與更新的 EDR 與 Symantec Advanced Threat Protection 的整合:
    Endpoint Symantec Advanced Threat Protection: Endpoint (ATP) 是內部部署虛擬硬體裝置,用於偵測網路中端點上的進階威脅。ATP: Endpoint 提供可執行動作的資料,以便您能快速分析和回應威脅。ATP 模組提供端點偵測和回應 (EDR),可與已註冊的用戶端電腦直接通訊。EDR 大幅縮短了用戶端電腦接收有害證據 (EOC) 搜尋和檔案矯正指令的時間。新版 EDR 元件允許在用戶端電腦上收集事件。EDR 包括有關檔案、程序、登錄和網路連線的資訊。此資料會傳送到 ATP: Endpoint 主控台。最新版本的 EDR 需要 ATP: Endpoint 3.0 產品,並且在 Symantec Endpoint Protection 本身並未授權。您可以透過 LiveUpdate 下載最新 EDR 內容。
  • Symantec Endpoint Protection 欺敵:
    欺敵可用於偵測端點中使用「欺敵」的對抗活動。此方法的基礎假設為攻擊者已違反網路的主要防禦並在環境中執行偵察。攻擊者會尋找重要資產,例如網域控制器或資料庫憑證。透過「欺敵」,您可以更快速地偵測滲透嘗試。您可以透過 FileConnect 在完整安裝檔案的 Tools 目錄中下載範例欺詐,或作為獨立式下載進行。
  • 適用於 Mac 用戶端的進階機器學習 (AML):
    AML 引擎現在適用於 Mac 用戶端上的賽門鐵克即時雲端式威脅情報。AML 使 Symantec Endpoint Protection 能够在预执行阶段检测恶意软件,从而停止已知和未知的各大类恶意软件。
管理伺服器功能
  • 在 Symantec Endpoint Protection Manager 和 Windows 用戶端上啟用通知的選項,已從「顯示入侵預防通知」變更為「顯示入侵預防和記憶體攻擊緩和通知」。在版本 12.1.6.x 及更早版本中,此選項僅適用於 IPS 通知。
  • 在「電腦狀態日誌」和「快速報告」中,「防網路和主機刺探利用關閉」已變更為「防火牆關閉」,「主動型威脅防護關閉」已變更為「SONAR 關閉」。若要存取日誌,請按下
    「監視器」>「日誌」標籤 >「電腦狀態」日誌類型 >「其他設定」>「合規性選項」
    。若要存取快速報告,請按下
    「報告」>「快速報告」標籤 >「電腦狀態」報告類型 >「其他設定」>「合規性選項」
  • 啟用/停用防網路和主機侵入
    」混合模式設定已重新命名為「
    啟用/停用網路威脅防護
    」。在 14 MPx 版中,混合模式的「用戶端/伺服器控制設定」標籤中,「
    啟用/停用防網路和主機侵入
    」指令的命名不正確。這個指令只適用於防火牆和入侵預防系統 (網路威脅防護),不適用於記憶體攻擊緩和。
系統需求
Symantec Endpoint Protection 14.0.1 已新增支援:
  • 與 Symantec Endpoint Protection Manager 搭配使用的 SQL Server 2016 SP1
  • macOS 10.13 (High Sierra)
  • Windows 10 Fall Creators Update (2017) (32 位元、64 位元)
  • 瀏覽器支援:Mozilla Firefox 5.x 至 56.x、Google Chrome 61.0.x
用戶端安裝
  • 「用戶端部署精靈」包含「主機名稱」和「IP 位址」欄標籤:
    若要使用遠端推送安裝新用戶端,請在您的網路中搜尋可用電腦。之前,可用電腦清單按隨機順序顯示。現在,您可以使用新的「主機名稱」和「IP 位址」欄,依字母或數字順序對電腦進行排序。這樣您便可以更快找到要安裝用戶端的電腦。標籤顯示在「用戶端部署精靈」中。在「電腦選取」面板中,按下「搜尋網路」,然後按下「尋找電腦」。
  • 解除安裝 Mac 用戶端需要密碼:
    您現在可以要求使用者輸入密碼來解除安裝 Mac 用戶端。
  • 需要 Symantec Endpoint Protection 核心授權 (自 macOS 10.13 起)
    :MacOS 10.13 新增了授權核心延伸的安全需求。Symantec Endpoint Protection 14.0.1 已新增對 macOS 10.13 的支援:如果核心延伸需要授權,會在安裝 Mac 用戶端期間提示您。如果您未授權核心延伸,Mac 用戶端無法正常運作。若要授權核心延伸,請在「安全性與隱私權」系統喜好設定中按下「允許」。您不需要提供管理員憑證。只需授權核心延伸一次。如果解除安裝並重新安裝用戶端,或將作業系統升級至 10.13 (已安裝 14 版本),則不需要重新授權。即使使用「遠端推送」時,也需要核心授權。使用「遠端推送」部署 Symantec Endpoint Protection 之後,必須採取此額外步驟。
  • 用於新增用戶端安裝套件的選項已重新命名:
    在 14 版中,「在用戶端安裝套件中包括最新內容」選項已錯誤地變更為「在用戶端安裝套件中包括病毒定義檔」。為了更準確地描述此選項,此選項已變更為「包括用戶端安裝套件中的新內容類型」。
REST API 指令
  • Symantec Endpoint Protection Manager REST API 啟用以程式設計方式與 Symantec Endpoint Protection 互動。這一組 REST API 會從 Symantec Advanced Threat Protection: Endpoint (ATP) 和 Symantec Web Gateway (SWG) 連線到 Symantec Endpoint Protection Manager,並從中執行作業。如果您無權存取 Symantec Endpoint Protection Manager,請使用這些 API。注意:如果已向雲端入口網站註冊 Symantec Endpoint Protection Manager,則不支援使用 REST API 指令來管理該雲端入口網站管理的內容。
  • 文件位於 Symantec Endpoint Protection Manager 伺服器上的下列位址,其中 SEPM-IP 是 Symantec Endpoint Protection Manager 伺服器的 IP 位址:https://SEPM-IP:8446/sepm/restapidocs.html
移除或不支援的功能
  • 宣布 Endpoint Protection 12.1.x 的生命週期結束:
    2017 年 4 月 3 日,賽門鐵克宣布 Endpoint Protection 12.1.x 的生命週期結束。生命週期結束日期會啟動導致 12.1 的所有發行版本結束支援的程序。這些發行版本包括發行更新和維護修正程式。
  • 已移除手動將隔離的威脅傳送到賽門鐵克安全機制應變中心的選項:
    在 14 版及更早版本中,您可以將隔離所中的威脅從 Windows 用戶端手動傳送到安全機制應變中心團隊。從 14.0.1 版開始,您可以將這些範例自動傳送到中央隔離所伺服器。
  • 在 Symantec Endpoint Protection Manager 中,「
    允許用戶端電腦手動傳送已隔離的項目至賽門鐵克安全機制應變中心
    」選項位於
    「病毒和間諜軟體防護」政策 >「隔離所」>「一般」
    標籤中。
  • 在 Windows 用戶端上,按下「
    檢視隔離所
    」。「
    傳送
    」選項和右鍵「
    傳送
    」功能表項目已移除。
  • 移除了對 Mac OS X 10.9 的支援
  • Mac 的主機完整性政策選項:
    適用於 Mac 的主機完整性政策要求安裝適用於 Mac 的 Symantec Network Access Control On-Demand 用戶端。Symantec Network Access Control 生命週期已結束,並且不支援搭配 14.x 使用。雖然 Mac 選項仍在使用者介面中,但它們不受支援。