Veröffentlichungsdatum: 5. November 2019

• Mindestversion BEST: 6.6.14.198
• Mindestversion Security Server Multi-Platform: 6.1.73.9218

Neue Funktionen

Network Attack Defense

Eine brandneue, leistungsstarke Technologie speziell für die Erkennung von Netzwerkangriffsverfahren, die den Zugriff auf bestimmte Endpunkte ermöglichen sollen, so z. B. Brute-Force-Angriffe, Netzwerk-Exploits, Passwortdiebstahl.

Die Einstellungen der Network Attack Defense sind im neuen Richtlinienabschnitt Netzwerkschutz verfügbar. Eine Benachrichtigung informiert Sie über Vorfälle in Ihrem Netzwerk, während der Bericht Netzwerkvorfälle weitere Informationen über diese Funde liefert.

Beachten Sie: Um das Modul Network Attack Defense nutzen zu können, müssen Sie es auf den Endpunkten installieren. Führen Sie bei bestehenden Installationen eine Client neu konfigurieren-Aufgabe durch, wobei Network Attack Defense ausgewählt sein muss. Bearbeiten Sie für neue Installationen das Installationspaket, sodass es dieses Modul umfasst.

Sandbox Analyzer On-Premises

Ihr eigener Sandbox Analyzer von Bitdefender ist da! Hervorgegangen aus der Cloud-Version wird der neue Sandbox Analyzer On-Premises als virtuelle Appliance ausgeliefert, die auf einem ESXi-Hypervisor bereitgestellt wird. Der integrierte Installer gewährleistet eine einfache Bereitstellung und Konfiguration und dank der Integration mit der GravityZone-Konsole erfolgt die Verwaltung über die zentrale Benutzeroberfläche.

Die On-Premises-Version von Sandbox Analyzer bietet Ihnen die folgenden Funktionen und Möglichkeiten:

• Auslieferung als virtuelle Appliance mit integriertem grafischem Installer.
• Vorkonfigurierte Integration mit der GravityZone-Konsole für Verwaltung, Konfiguration und Bereitstellung.
• Unterstützung von benutzerdefinierten Detonationsumgebungen (Golden Images).
• Integration mit spezifischen Sensoren (Endpunktsensor, Netzwerksensor und ICAP-Sensor), die in der Lage sind, verdächtige Stichproben aus Dateisystemen, Netzwerkdatenströmen und ICAP-Datenverkehr automatisch zu übertragen.
• Unterstützt drei Detonationsprofile (Gering, Mittel und Hoch), die ein Gleichgewicht zwischen dem Analysedurchsatz der Sandbox-Umgebung und der Aggressivität der für jede Stichprobe durchgeführten Analyse ermöglichen. Detonationsprofile sind für die automatische Übermittlung über Sensoren, die manuelle Übermittlung und die Übermittlung über API verfügbar.
• Möglichkeit, Stichproben über die Berichtsschnittstelle erneut zu übermitteln.
• Detaillierte Detonationsberichte mit Informationen zu Malware-Klassifizierung, Verhaltensanalyse und Zeitachsenansicht.
• REST-basierte API zur Integration mit Sicherheitslösungen von Drittanbietern.

Weitere Einzelheiten finden Sie unter www.bitdefender.de im Abschnitt Sandbox Analyzer.

Remoteproblembehandlung

Über den neuen Reiter Problembehebung im Endpunkt-Informationsfenster können Sie per Fernzugriff einfache und erweiterte Protokolle abrufen. Sie können eine Debug-Sitzung starten, so dass GravityZone die Protokolle erfasst, während das Problem reproduziert wird. Dies hilft unserem technischen Support, eine eingehende Analyse des Problems durchzuführen und es so schneller zu lösen.

Sie können die gesammelten Daten auf einer Netzwerkfreigabe, auf dem Zielendpunkt oder auf beiden speichern.

Lokalisierung

Wir sprechen jetzt auch Chinesisch!

妈妈说：“今天能完成的事，不要留到明天。”

儿子回答：“好吧，把全蛋糕给我，我今天都吃光了吧。”

Sie können die GravityZone-Benutzeroberfläche ab sofort bei Bedarf auch auf vereinfachtes Chinesisch umstellen.

Systemstatus

Das Control Center umfasst ab sofort den Abschnitt Systemstatus, in dem Sie Echtzeit-Statusinformationen zu den wichtigsten Kennzahlen Ihrer GravityZone Umgebung einsehen können.

Verbesserungen

Sicherheit

Wir haben eine Option zur Erstellung eines VPN-Clusters hinzugefügt, um eine sicherere Kommunikation zwischen den Diensten auf den GravityZone-Appliances zu ermöglichen. Sie können diese Option über das GravityZone-Appliance-Menü aktivieren.

Installieren

• Die Integration neuer Module in die bereitgestellten Agenten ist ist Kinderleicht. Wir haben den Prozess der Neukonfiguration flexibler gestaltet.
• Sie können bei Bedarf die Bitdefender-Sicherheitsagenten installieren, ohne die Sicherheitssoftware von anderen Anbietern zu entfernen. So kommt es zu keinen Schutzlücken und die Bereitstellung wird beschleunigt. Bitte beachten Sie, dass dies auf eigene Gefahr geschieht. Manche Sicherheitslösungen können die Installation von Bitdefender beeinträchtigen. Sobald Sie durch Bitdefender geschützt sind, können Sie bereits installierte Sicherheitslösungen manuell entfernen.

Netzwerk-Inventar

Sagen Sie auf Wiedersehen zu ungenutzten virtuellen Maschinen in Ihrem Netzwerkinventar. Über die Konfigurationsseite können Sie ab sofort automatische Bereinigungsaufgaben planen.

Richtlinien

• Der neue Abschnitt Malware-Schutz > Bei Ausführung dient der Advanced Threat Control und dem Schutz vor dateilosen Angriffen.
• Netzwerkschutz ist ein weiterer neuer Richtlinienabschnitt, über den Sie die Network Attack Defense-Technologie nutzen und die Funktionen der Inhalts-Steuerung aufrufen können.
• Die Inhaltssteuerung wurde ebenfalls grundlegend überarbeitet:
  • Die ehemaligen Bereiche Datenverkehr, Web, Identitätsschutz und Anwendungen wurden in die neuen Bereiche Allgemein, Inhalts-Steuerung und Internet-Schutz überführt.
  • Über den Bereich Netzwerkangriffe können Sie Network Attack Defense-Technologie nutzen und entsprechende Einstellungen vornehmen.
  • Die neue Option Globale Ausschlüsse im Abschnitt Allgemein ersetzt die zuvor getrennten Ausschlüsse Datenverkehr-Scan und Phishing-Schutz. Während des Updates werden die bestehenden Richtlinien automatisch in die neuen globalen Ausschlüsse migriert.
• Netzwerkschutz ersetzt das bisherige Modul der Inhalts-Steuerung in den Einstellungen der Vererbungsregeln.
• Die GravityZone-Berichte protokollieren auch weiterhin die Funktionen der Inhalts-Steuerung, enthalten aber auch Informationen der Network Attack Defense.
• Standortbasierte Richtlinien kennen ab sofort auch den Hostnamen. Sie können Zuordnungsregeln auf Grundlage des Hostnamens des Endpunktes festlegen.

Erweiterter Exploit-Schutz

• Es stehen drei neue Erkennungsverfahren zur Verfügung: VBScript Generic, Shellcode EAF (Export Address Filtering) und Emerging Exploits. Diese Funde werden ab sofort in den Berichten Sicherheitsüberprüfung und Blockierte Anwendungen aufgeführt.
• Die Benutzeraktivität umfasst ab sofort Protokolle zum erweiterten Exploit-Schutz.

Patch-Verwaltung

• Es wurde eine Option hinzugefügt, die Verschiebung des Neustarts auf maximal 48 Stunden nach der Installation neuer Patches zu begrenzen. Nach Ablauf der festgelegten Zeitspanne erfolgt automatisch ein Neustart der Endpunkte. Endpunktbenutzer werden per Benachrichtigung darüber informiert.
• Sie finden diese neue Option in der Richtlinie unter den modularen Einstellungen Benachrichtigungen > Benachrichtigung über Endpunktneustart.

Sandbox Analyzer Cloud

• Die Ergebnisse der Detonationsanalyse stehen mit neuen, detaillierten Berichten im HTML-Format zur Verfügung. Diese Berichte enthalten Details wie: Malware-Klassifizierung, Ansicht auf Prozessebene, Netzwerkaktivität, Zeitachsenansicht, Registrierungsschlüssel und aufgerufene Mutex-Objekte, Änderungen am Dateisystem, IOC-Attribute.
• Der Filter-Bereich ist ab sofort standardmäßig erweitert, so dass auch Erstbenutzer schnell alle Optionen finden können, die für die Übermittlung verfügbar sind.
• In der Filterkategorie Art der Einreichung wurde die Option Automatisch in Endpunktsensor umbenannt..

Beachten Sie: Diese Funktionen stehen auch für Sandbox Analyzer On-Premises zur Verfügung.

HVI

• Eine neue Benutzerbereich-Richtlinienoption verhindert ab sofort, dass schädliche DLL-Dateien innerhalb eines geschützten Prozesses geladen werden. Diese Option ist standardmäßig in allen Überwachungsmodi (Aggressiv, Normal und Tolerant) aktiviert.
•  
• Die Standardwerte für geschützte Benutzerbereichprozesse wurden wie folgt geändert:
  • Die Prozesse thunderbird*, Firefox*, chromium* und MicrosoftEdge* wurden zu Browser hinzugefügt.
  •  
  • Der Explorer-Prozess wurde zu Betriebssystem hinzugefügt.
  • Die Prozesse Apache und apache2 wurden zu Web-Dienste hinzugefügt.
  •  
  • Der Prozess Safari wurde aus Browser entfernt.
• Der Bericht HVI-Aktivität enthält nun die Quell- und Ziel-IP-Adressen sowie TCP-Ports für aktive Netzwerkverbindungen, die im Zusammenhang mit einem Vorfall stehen.

  Aktivieren Sie dazu in den Richtlinieneinstellungen des HVI-Benutzerbereichs die Option Netzwerkverbindungsdetails.

• Folgende Details zu HVI-Ereignissen wurden in den Sicherheitsüberprüfungsbericht aufgenommen: Angriffsquelle und -ziel sowie Aktionsstatus.
• Die E-Mail-Benachrichtigung "Speicherverletzung erkannt" fasst ab sofort identische Vorfälle, die innerhalb einer Stunde erkannt wurden, zusammen.

  Beachten Sie: Vorfälle gelten als identisch, wenn sie die gleiche Angriffsquelle, das gleiche Ziel, die gleiche Verletzungsart und die gleiche durchgeführte Aktion aufweisen.

• Virtuelle Maschinen, die nach einer Bereinigungsaktionen neu gestartet werden müssen, werden im Netzwerkinventar mit einem eigenen Symbol gekennzeichnet.
• Zusätzliche Informationen in den Security Server-Details:
  • Im Abschnitt HVI-Voraussetzungen werden die Version des Bitdefender-Ergänzungspakets sowie die Version und der Lizenzstatus von Citrix Hypervisor angezeigt.
  • Der Abschnitt Produkt zeigt eine Warnung an, wenn die Wissensdatenbank veraltet ist.

Benachrichtigungen

• Es wurde eine Blockierte Geräte-Benachrichtigung hinzugefügt, die Sie benachrichtigt, wenn ein blockiertes Gerät eine Verbindung zum Endpunkt herstellt. Diese Benachrichtigung kann in den Benachrichtigungseinstellungen konfiguriert werden.
• Die Malware-Schutz-Benachrichtigung wird ab sofort während des Scans für jedes erkannte Malware-Ereignis ausgelöst.

Berichte

Der Bericht Status der Endpunktmodule enthält ab sofort auch Informationen zum Sandbox Analyzer und zu HyperDetect.

Integrationen

Ab sofort auch mit NSX-T 2.5 kompatibel. Dies beinhaltet auch agentenlose Malware-Scans für virtuelle Linux-Maschinen.

Öffentliche API

• Alle anderen GravityZone-Berichte sind ab sofort ebenfalls über die API abrufbar.
• Wir haben einige weitere Verbesserungen vorgenommen:
  • La méthode createReconfigureClientTask ab sofort in der API Netzwerk
  • getManagedEndpointDetails gibt alle installierten Module eines verwalteten Endpunkts zurück
  • getInstallationLinks gibt die Installationslinks für ein Paket zurück
  • getQuarantineItemsList umfasst neue Filteroptionen.
• Sandbox Analyzer On-Premises umfasst verschiedene API-Methoden zur Überwachung der Detonationsinfrastruktur, zur Verwaltung der Stichprobenübermittlung und zum Herunterladen von Analyseberichten. Weitere Einzelheiten finden Sie im GravityZone-API-Leitfaden (On-Premises).

Gelöste Probleme

Richtlinien

Durch Deaktivierung der Option Sichtbarkeit von Endpunktproblemen im Abschnitt Benachrichtigungen werden nicht auch alle Unterfunktionen deaktiviert.

Automatisches Update

Automatische Produkt-Updates konnten bei der Konfiguration bestimmter Zeitzonen und Intervalle nicht gestartet werden.

Netzwerk

In der Ansicht Mobilgeräte wurde beim Erstellen einer Integration mit der Option Synchronisation mit Benutzerdefinierten Gruppen der Active Directory-Bestand nicht angezeigt.