Symantec Endpoint Protection 14.3 RU1 的新功能?

本節描述此版本中的新功能。
防護功能
  • 包括可以從內部部署 Symantec Endpoint Protection Manager 或 Integrated Cyber Defense Manager 雲端主控台安裝和管理的新 Symantec Mac Agent 和 Symantec Linux Agent。
  • 通過即時監控檔案行為,以防止 macOS 上的新威脅和未知威脅。新的 Mac Agent 包括這些行為防護功能。行為防護或 SONAR 使用人工智慧和進階機器學習進行零時差防護,以有效阻止新的威脅。
  • 攔截尚未識別為威脅但被視為不可信的非可攜式可執行檔 (PE),如 PDF 檔案和程序碼 (例如 PowerShell、JavaScript 和 VBScript)。在「例外」政策中,按下「
    Windows 例外
    」>「
    檔案存取
    」。
  • 根據網頁的信譽分數防止網路威脅。入侵預防策略包括 URL 信譽過濾,其會攔截信譽分數低於特定臨界值的網頁。信譽分數範圍從 -10 (差) 到 +10 (好)。「
    啟用 URL 信譽
    」選項預設為啟用。
  • 您可以強制 Symantec Endpoint Protection,根據應用程式的雜湊值來探索應用程式。在「例外」政 策中,按下「
    Windows 例外
    」>「
    應用程式
    」>「
    透過指紋新增應用程式
    」。
  • 使用網路流量重新導向功能保護端點和使用者免於遭受惡意網站上的網頁式攻擊。網路流量重新導向將所有的網路流量 (任何通訊埠) 或僅網頁式流量 (通訊埠 80 和 443) 重新導向到 Symantec Web Security Service,該服務會根據企業政策允許或攔截網路流量和 SaaS 應用程式存取。網路流量重新導向政策具有新的重新導向方法,稱為通道方法。通道方法會自動將所有網際網路流量重新導向到 Symantec WSS,其會根據 Symantec Web Security Service 政策允許或攔截流量。通道方法被視為 Beta 版功能。您應該針對 WSS 政策利用應用程式執行徹底測試。Broadcom 擁有一個 Beta 版網站,提供測試指南和留下您體驗回饋的地方。使用您的 Broadcom 憑證登入以下網站:Validate.broadcom.com
  • 整合政策已重新命名為網路流量重新導向政策。
  • 為 Symantec EDR 中 MITRE 豐富的活動提供支援。利用 MITRE ATT&CK 架構,為環境中發生的情況提供起因。
  • 為以下 Symantec EDR 事件提供支援,這些事件可提高端點的能見度:
    • AMSI 事件可讓您看見威脅行動者方法,這些方法可以避開傳統的指令行審訊方法。
    • ETW 事件可讓您看見受管 Windows 端點上發生的事件。
  • 包括在同一台電腦上執行 Windows Defender 和 Symantec Endpoint Protection 的功能。自動防護掃描在 Windows Defender 之後執行,並且可以檢測 Windows Defender 遺漏的任何威脅。「
    與 Windows Defender 共存
    」選項確保「自動防護」可在 Microsoft Defender 停用時執行。若要停用此選項,請按一下「病毒和間諜軟體防護」政策 >「
    其他
    」>「
    其他
    」標籤。
  • 混合管理的用戶端現在支援攻擊鏈結緩和。
Symantec Endpoint Protection Manager
  • 內嵌式資料庫已更新至 Microsoft SQL Express 資料庫。SQL Server Express 資料庫比預設內嵌式資料庫更有效地儲存政策和安全性事件,並隨 Symantec Endpoint Protection Manager 一起自動安裝。
  • 在安裝或升級 Symantec Endpoint Protection Manager 期間,管理伺服器組態精靈:
    • 自動安裝 LiveUpdate 內容。
    • 提供了使用 TLS 憑證進行 SQL Server 和 Symantec Endpoint Protection Manager 之間安全通訊的選項。
  • LiveUpdate 會在
    Symantec Endpoint Protection Manager
    中使用新引擎,該引擎已最佳化,可在雲端主控台上執行。新的引擎不再支援 FTP 方法或 LAN 方法,以指定內部 LiveUpdate 伺服器將內容下載至 Symantec Endpoint Protection Manager。
  • 未在 14.3 MP1 中提供的「
    自動解除安裝現有的第三方安全軟體
    」選項,重新在版本已更新的 14.3 RU1 中提供。此選項用來解除安裝第三方安全軟體。若要存取此選項,請按下「
    管理員
    」頁面 >「
    套件
    」>「
    用戶端安裝設定
    」。
  • 用於部署用戶端套件的用戶端部署精靈必須驗證其憑證,並能夠連線到 Symantec Endpoint Protection Manager。如果驗證程序失敗,用戶端部署程序將停止,以防 Active Directory 使用者帳戶遭到鎖定。
  • 電腦狀態日誌和報告現在可讓您為「
    用戶端版本
    」和「
    IPS 版本
    」欄位選取一個範圍。「
    產品版本
    」過濾器已重新命名為「
    用戶端版本
    」。
  • 在終端端伺服器上執行並導致高 CPU 使用率和記憶體使用量的用戶端,可以使用「
    停用通知匣圖示
    」選項。您現在可以停用通知區域圖示 (也稱為系統匣圖示),以防止使用者階段作業程序 (如 SmcGui 和 ccSvcHost .exe) 的多個實例執行。對於在終端伺服器上執行的用戶端,「
    停用通知區域圖示
    」選項會覆寫 HKLM\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\LaunchSMCGui 中的登錄機碼設定。此機碼現在是透過政策進行管理,而不是手動進行變更。最佳實務準則是先將終端伺服器上的用戶端移至相同群組,再進行升級。對於未在終端伺服器上執行的用戶端,請將此設定保持停用狀態。此選項僅在重新啟動用戶端 smc 服務後才會發生。您可以在「
    用戶端
    」>「
    政策
    」標籤 >「
    一般
    」>「
    一般設定
    」標籤上啟用此選項。
  • 更新了許可清單和攔截清單模式,以反映允許和攔截功能。在「
    用戶端
    」頁面 >「
    政策
    」標籤 >「
    系統鎖定
    」對話方塊中,應用程式檔案清單已從「
    許可清單模式
    」和「
    黑名單模式
    」變更為「
    允許模式
    」和「
    拒絕模式
    」。
  • 在「
    管理員
    」頁面 >「
    伺服器
    」標籤 >「
    架構外部記錄
    」>「
    一般
    」標籤上,「
    主要日誌伺服器
    」選項已變更「
    主要日誌伺服器
    」。
  • 系統
    」日誌類型 >「
    管理
    」日誌,以及「
    稽核
    」日誌列出電腦名稱。
  • 系統會收集用戶端防火牆日誌,以便您在雲端主控台上不常收到通知。
  • 已將 Oracle Java SE 取代為 OpenJDK。
  • 將第三方元件 JQuery 更新至較新版本。
用戶端和平臺更新
  • Windows 用戶端支援 Windows 10 20H2 (Windows 10 版本 2009)
  • Mac 用戶端支援 Intel Core i5 處理器及更新版本上的 macOS 11 (Big Sur)。
  • 將舊版 Mac 用戶端安裝套件移至 AdditionalPackages 資料夾。
已移除的功能
  • 風險嚴重性
    」和「
    風險分佈 (依嚴重性)
    」選項已從通知和報告中移除。
  • 已移除
    CASMA
    標籤和
    「分析」
    指令,因為 14.3 已棄用此功能。
  • Mac 用戶端不再支援 macOS 10.13 或 10.14.x。
  • 您無法再於登錄中檢視排除項目。對於 14.3 RU1 和更早版本,若要檢視排除項目,請參閱:確認 Endpoint 用戶端是否已自動排除應用程式或目錄
說明文件
Symantec Endpoint Protection Manager 説明現已上線,位於:Symantec Endpoint Protection 安裝與管理指南
資料庫綱要
資料庫綱要具有以下變更。
表格
欄變更
警示
已新增 ENRICHED_DATA 欄。
AGENT_BEHAVIOR_LOG1
AGENT_BEHAVIOR_LOG2
AGENT_PACKET_LOG_1
AGENT_PACKET_LOG_2
AGENT_SECURITY_LOG_1
AGENT_SECURITY_LOG_2
AGENT_SYSTEM_LOG_1
AGENT_SYSTEM_LOG_2
AGENT_TRAFFIC_LOG_1
AGENT_TRAFFIC_LOG_2
BASIC_METADATA
COMMAND
COMPUTER_APPLICATION
ENFORCER_CLIENT_LOG_1
ENFORCER_CLIENT_LOG_2
ENFORCER_SYSTEM_LOG_1
ENFORCER_SYSTEM_LOG_2
ENFORCER_TRAFFIC_LOG_1
ENFORCER_TRAFFIC_LOG_2
IDENTITY_MAP
LAN_DEVICE_DETECTED
LAN_DEVICE_EXCLUDED
LEGACY_AGENT
LOCAL_METADATA
LOG_CONFIG
REPORTS
SEM_APPLICATION
SEM_CLIENT
SEM_COMPUTER
SEM_JOB
SEM_SVA_CLIENT
SEM_SVA_COMPUTER
SERVER_ADMIN_LOG_1
SERVER_ADMIN_LOG_2
SERVER_CLIENT_LOG_1
SERVER_CLIENT_LOG_2
從每個資料表中移除了下列欄:
RESERVED_INT1
RESERVED_INT2
RESERVED_BIGINT1
RESERVED_BIGINT2
RESERVED_CHAR1
RESERVED_CHAR2
RESERVED_VARCHAR1
RESERVED_BINARY
SERVER_ENFORCER_LOG_1
SERVER_ENFORCER_LOG_2
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
SERVER_SYSTEM_LOG_1
SERVER_SYSTEM_LOG_2
SYSTEM_STATE
V_AGENT_BEHAVIOR_LOG
V_AGENT_PACKET_LOG
V_AGENT_SECURITY_LOG
V_AGENT_SYSTEM_LOG
V_AGENT_TRAFFIC_LOG
V_DOMAINS
V_ENFORCER_CLIENT_LOG
V_ENFORCER_SYSTEM_LOG
V_ENFORCER_TRAFFIC_LOG
V_GROUPS
V_LAN_DEVICE_DETECTED
V_LAN_DEVICE_EXCLUDED
V_SEM_COMPUTER
V_SERVER_ADMIN_LOG
V_SERVER_CLIENT_LOG
V_SERVER_ENFORCER_LOG
V_SERVER_SYSTEM_LOG
V_SERVERS
(續)
BINARY_FILE
SERVER_POLICY_LOG_1
SERVER_POLICY_LOG_2
V_SERVER_POLICY_LOG
  • CONTENT 欄的類型已從 'image' 變更為 ‘varbinary’
  • 已新增 FILESTREAM_ID 索引欄
  • 已新增 FILESTREAM_ID 索引
  • 已移除以下欄:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
INVENTORYREPORT
已新增以下欄:
  • PRODUCTVERSIONFROM
  • PRODUCTVERSIONTO
  • IDS_VERSIONFROM
  • IDS_VERSIONTO
SEM_AGENT
  • 已新增 NTR_MESSAGE 欄
  • 已移除以下欄:
    • RESERVED_INT1
    • RESERVED_INT2
    • RESERVED_BIGINT1
    • RESERVED_BIGINT2
    • RESERVED_CHAR1
    • RESERVED_CHAR2
    • RESERVED_VARCHAR1
    • RESERVED_BINARY
SEM_AGENT_VERSION
已新增以下欄:
  • VERSION
  • FORMATTED_VERSION
  • REFRESH_USN
  • AGENT_VERSION_FORMAT_REFRESH
  • VERSION1
  • ntec.com/sep/14/whats_new_all
  • VERSION2
  • VERSION3
  • VERSION4
SEM_SVA
已移除以下欄:
  • RESERVED_INT1
  • RESERVED_INT2
  • RESERVED_BIGINT1
  • RESERVED_BIGINT2
  • RESERVED_CHAR1
  • RESERVED_CHAR2
  • RESERVED_VARCHAR1
V_ALERTS
已新增 ENRICHED_DATA 欄。