Pièges 3.3.3 changements comportement par défaut
11304
Created On 09/25/18 19:03 PM - Last Modified 06/08/23 06:30 AM
Resolution
Avec la sortie de la nouvelle version de point de terminaison des pièges 3.3.3 viennent quelques changements au comportement par défaut et quelques questions traitées--S'il vous plaît examiner ci-dessous.
Modifications du comportement par défaut dans 3.3.3
Les modifications apportées à la stratégie de protection d'exploit réduisent maintenant la quantité de réglage fin nécessaire lorsque vous déployez le logiciel Endpoint Security Manager hors boîte.
Auparavant, la politique de protection des exploits utilisait une approche hyper-sensible pour empêcher les exploits. Bien que cela a fourni la meilleure couverture possible, cela a également causé des pièges pour empêcher le comportement de certaines applications légitimes.
Commençant par les pièges 3.3.3, la politique de protection d'exploit tire désormais parti des capacités de protection multicouches et contient des règles qui s'utilisent comme une combinaison de différents modules au lieu de leurs capacités individuelles. Cette approche permet une politique de protection de l'exploitation par défaut plus indulgente tout en offrant les mêmes capacités globales de détection, de protection et de prévention. Pour fournir cette approche, la politique de certains modules est affinée et ajustée pour mieux distinguer les comportements légitimes et malveillants. De plus, les modules qui ne sont plus pertinents dans les nouveaux systèmes d'exploitation sont désactivés.
Après la mise à niveau vers cette version du gestionnaire de sécurité de point de terminaison, examinez la stratégie actuelle et supprimez
toutes les règles définies par l'utilisateur en conflit. Cela garantit que les modifications apportées à la stratégie par défaut prendront effet.
Les modifications apportées à la stratégie par défaut sont détaillées ci-dessous:
- Les processus suivants ne sont plus protégés par défaut (pour la liste complète, consultez protection des processus):
Après la mise à niveau vers cette version du gestionnaire de sécurité de point de terminaison, examinez la stratégie actuelle et
supprimez le processus des règles définies par l'utilisateur. Ensuite, à partir de la page gestion des processus, changez
le type de protection pour chaque processus répertorié ci-dessous pour non protégé (voir afficher, modifier ou supprimer un processus).
Questions abordées dans les pièges 3.3.3
Le tableau suivant répertorie les problèmes qui sont résolus dans la version d'interruptions ™ 3.3.3. Pour les nouvelles fonctionnalités introduites dans les pièges 3,3, ainsi que les problèmes connus et les limitations, voir pièges 3,3 informations de mainlevée.
| Identificateur d'émission | Description |
|---|---|
| CYV-8722 | Correction d'un problème avec l'outil VDI où les interruptions localisaient le nom du service de transfert intelligent en arrière-plan (bits) dans certains systèmes d'exploitation non anglais. Avec ce correctif, l'exigence de localisation est supprimée. |
| CYV-8658 | Correction d'un problème sur les machines exécutant les deux pièges et McAfee solidcore qui a causé l'Injection de thread à cesser de répondre. Avec ce correctif, l'agent désactive maintenant l'Injection de thread sur les machines avec McAfee solidcore. |
| CYV-8634 | Correction d'un problème empêchant les utilisateurs de supprimer des processus protégés lorsque le processus était lié à une règle inactive. Avec ce correctif, lorsque vous mettez à niveau le serveur ESM et que la règle a été supprimée de la stratégie par défaut, le serveur ESM supprime la règle et la classifie comme historique dans la base de données, ce qui vous permet de supprimer un processus protégé qui n'est plus lié à une règle. |
| CYV-8561 | Correction d'un problème sur les ordinateurs exécutant les deux interruptions et McAfee solidcore où l'exécution de la commande CYTOOL Runtime stop pour désactiver la protection lorsque la protection de service est activée a provoqué l'affichage d'une erreur système fatale si les interruptions n'ont pas pu charger cyinjct. Fichiers X. |
| CYV-8331 | Correction d'un problème dans lequel la spécification d'un chemin réseau qui incluait des caractères génériques dans la liste blanche du processus enfant provoquait une lenteur dans le temps de réponse de l'agent. |
| CYV-8276 | Correction d'un problème avec le mécanisme Regex qui a provoqué des correspondances inutiles Lorsque vous avez configuré une condition pour correspondre à laversion logicielle. |
| CYV-8200 | Correction d'un problème où les exécutables avec des métadonnées non valides ont corrompu le fichier de cache local, ce qui a provoqué des interruptions pour supprimer l'historique de verdict complet après un redémarrage. Avec ce correctif, lorsque les métadonnées sont non valides, les interruptions l'écrivent dans le cache comme N/A. |
| CYV-8115 | Correction d'un problème dans lequel l'exportation d'un ou plusieurs événements de sécurité vers un fichier séparé par des virgules (CSV) a donné lieu à un fichier corrompu. |
| CYV-7956 | Correction d'un problème qui empêchait les interruptions de décrypter une licence lorsqu'elle était émise à une machine qui utilisait des paramètres régionaux turcs mais incluait des caractères anglais dans son nom. |
| CYV-7921 | Correction d'un problème qui a amené le serveur ESM à signaler un message d'erreur incorrect dans les journaux du serveur lorsque SQL Server était inaccessible. |
| CYV-7664 | Correction d'un problème sur les ordinateurs exécutant les deux interruptions et McAfee solidcore qui a provoqué le processus de commande (cmd. exe) à cesser de répondre après une défaillance d'injection. |
Pour les renseignements sur les casiers 3,3 ou les notes de version complètes, veuillez visiter https://www.paloaltonetworks.com/documentation/33/Endpoint/Endpoint-Release-Notes/traps-3-3-Release-information.