Trampas 3.3.3 cambia el comportamiento predeterminado
11372
Created On 09/25/18 19:03 PM - Last Modified 06/08/23 06:30 AM
Resolution
Con el lanzamiento de la nueva versión de Endpoint de traps 3.3.3 vienen algunos cambios en el comportamiento por defecto y algunas cuestiones abordadas--por favor revise abajo.
Cambios en el comportamiento predeterminado en 3.3.3
Los cambios en la Directiva de protección contra ataques ahora reducen la cantidad de ajuste preciso que se requiere cuando se implementa el software Endpoint Security Manager fuera de la caja.
Anteriormente, la política de protección de vulnerabilidades utilizaba un enfoque hipersensible para prevenir las vulnerabilidades. Aunque esto proporcionó la mejor cobertura posible, esto también causó trampas para prevenir el comportamiento de algunas aplicaciones legítimas.
Comenzando con las trampas 3.3.3, la política de protección de vulnerabilidades ahora aprovecha las capacidades de protección multicapa y contiene reglas que utilizan como una combinación de diferentes módulos en lugar de sus capacidades individuales. Este enfoque permite una política de protección contra ataques por defecto más indulgente al mismo tiempo que proporciona las mismas capacidades de detección, protección y prevención generales. Para proporcionar este enfoque, la política de algunos módulos es refinada y ajustada para distinguir mejor entre comportamientos legítimos y maliciosos. Además, los módulos que ya no son relevantes en los sistemas operativos más recientes están deshabilitados.
Después de actualizar a esta versión del administrador de seguridad de Endpoint, revise la Directiva actual y elimine las reglas definidas por el usuario que estén en
conflicto. Esto asegura que los cambios en la directiva predeterminada tengan efecto.
A continuación se detallan los cambios realizados en la directiva predeterminada:
- Los siguientes procesos ya no están protegidos por defecto (para la lista completa, consulte protección de procesos):
Después de actualizar a esta versión del administrador de seguridad de Endpoint, revise la Directiva actual y
elimine el proceso de cualquier regla definida por el usuario. A continuación, en la página gestión de procesos, cambie
el tipo de protección de cada proceso que se enumera a continuación para desprotegerlo (consulte ver , modificar o eliminar un proceso).
Cuestiones abordadas en las trampas 3.3.3
En la tabla siguiente se enumeran los problemas que se fijan en la versión 3.3.3 de traps ™. Para ver las nuevas características introducidas en las trampas 3,3, así como problemas conocidos y limitaciones, consulte la información de la versión de traps 3,3.
| Identificador de emisión | Descripción |
|---|---|
| CYV-8722 | Se ha corregido un problema con la herramienta VDI, donde las trampas localizaban el nombre del servicio de transferencia inteligente de fondo (bits) en algunos sistemas operativos que no son ingleses. Con esta corrección, se elimina el requisito de localización. |
| CYV-8658 | Se ha corregido un problema en los equipos que ejecutaban ambas trampas y McAfee Solidcore que provocaba que la inyección de hilo dejara de responder. Con esta corrección, el agente desactiva ahora la inyección de subprocesos en equipos con McAfee Solidcore. |
| CYV-8634 | Se ha corregido un problema que impedía a los usuarios eliminar los procesos protegidos cuando el proceso estaba vinculado a una regla inactiva. Con esta corrección, cuando se actualiza el servidor ESM y se quita la regla de la directiva predeterminada, el servidor ESM quita la regla y la clasifica como histórica en la base de datos, lo que permite eliminar un proceso protegido que ya no está vinculado a una regla. |
| CYV-8561 | Se ha corregido un problema en los equipos que ejecutaban ambas trampas y McAfee Solidcore donde se ejecutaba el comando cytool Runtime STOP para deshabilitar la protección cuando se habilitaba la protección de servicio, provocando que los equipos mostraran un error de sistema fatal si las capturas no se cargaban cyinjct. Archivos X. |
| CYV-8331 | Se ha corregido un problema en el que especificar una ruta de red que incluía comodines en la lista blanca del proceso secundario causó lentitud en el tiempo de respuesta del agente. |
| CYV-8276 | Se ha corregido un problema con el mecanismo Regex que causó coincidencias irrelevantes cuando se configuró una condición para que coincida con la versión de software. |
| CYV-8200 | Se ha corregido un problema en el que los ejecutables con metadatos no válidos corrompieron el archivo de caché local, lo que causó que las trampas eliminaran el historial completo del veredicto después de reiniciar. Con esta corrección, cuando los metadatos no son válidos, las capturas lo escriben en la memoria caché como N/A. |
| CYV-8115 | Se ha corregido un problema en el que exportar uno o más eventos de seguridad a un archivo separado por comas (CSV) resultó en un archivo corrupto. |
| CYV-7956 | Se ha corregido un problema que impedía a las trampas desencriptar una licencia cuando se emitió a una máquina que usaba configuración regional turca, pero incluía caracteres ingleses en su nombre. |
| CYV-7921 | Se ha corregido un problema que provocaba que el servidor ESM notificara un mensaje de error incorrecto en los registros del servidor cuando no se podía alcanzar el servidor SQL. |
| CYV-7664 | Se ha corregido un problema en los equipos que ejecutaban las trampas y los Solidcore de McAfee que provocaban que el proceso de comando (cmd. exe) dejara de responder después de un error de inyección. |
Para las trampas 3,3 información de la versión o las notas de la versión completa, por favor visite https://www.paloaltonetworks.com/documentation/33/Endpoint/Endpoint-Release-Notes/traps-3-3-Release-Information.