Cet article fournit des informations sur les modifications apportées par la mise à jour de Bitdefender GravityZone version 6.1.29-545, publiée le 26 janvier 2017.

Note : Ces notes de publications concernent les fonctionnalités que l'on peut trouver dans votre solution GravityZone.

• Nouvelles fonctionnalités et améliorations
• Problèmes connus
• Limites

Important : Confronté à un monde incluant des menaces toujours plus nombreuses et complexes Bitdefender développe en permanence des technologies avancées innovantes pour les combattre. Certaines de ces technologies ne sont plus prises en charge par les anciennes versions des systèmes d'exploitation. C'est pourquoi à compter du 30 janvier 2017, Bitdefender limitera la protection à l'Antimalware et à l'Advanced Threat Control pour les anciennes versions des systèmes d'exploitation suivant : Windows XP Windows Embedded POSReady 2009 Windows Embedded Standard 2009 Windows XP Embedded avec le Service Pack 2 Microsoft Windows XP Tablet PC Edition Windows Small Business Server (SBS) 2003 Windows Server 2003 R2 Windows Server 2003 avec le Service Pack 1 Windows Home Server

Nouvelles fonctionnalités et améliorations

Bitdefender et Citrix unissent leurs forces pour contrer les menaces avancées visant votre infrastructure

Au travers d’une collaboration sans précédent contre les attaques ciblées, Bitdefender et Citrix ont mis en commun leur expertise en matière de virtualisation et de sécurité. Le résultat est Bitdefender Hypervisor Memory Introspection (HVI) - une solution révolutionnaire qui détecte les activités suspectes en travaillant directement avec la mémoire brute au niveau de l'hyperviseur - un niveau d'introspection auquel les malwares ne peuvent pas échapper.

Bitdefender HVI protège les machines virtuelles installées dans des centres de données contre les menaces avancées et sophistiquées que les moteurs de signatures ne peuvent pas éliminer. HVI impose une isolation forte, assurant une détection en temps réel des attaques et les bloquant à mesure qu'elles se produisent et éliminant immédiatement les menaces.

Que la machine protégée soit un serveur ou un poste de travail, HVI fournit une introspection d'un niveau impossible à atteindre au sein du système d'exploitation invité. En opérant au niveau de l'hyperviseur et à l'aide des fonctionnalités de l'hyperviseur, HVI surmonte les défis techniques de la sécurité traditionnelle pour révéler les activités malveillantes dans les centres de données.

En fonctionnant conjointement à n'importe quelle solution de protection des endpoints (EPP), il fournit une couche de défense inégalée contre les menaces avancées persistantes (APT) touchant votre organisation.

Fonctionnalités

• Protège les machines virtuelles fonctionnant sous XenServer 7 Enterprise Edition ou version supérieure.
• S'intègre à Citrix XenServer afin d'importer l'inventaire des machines virtuelles.
• Déploiement rapide et simple.
• Gestion facile de l'inventaire du réseau, grâce à l'utilisation de filtres et d'éléments visuels permettant d'identifier rapidement les machines qui sont protégées ou qui ont des problèmes de sécurité.
• Politiques de sécurité vous permettant de configurer la protection de la mémoire à deux niveaux :
  • Espace utilisateur, en traitant les processus normaux des applications de l'utilisateur et les attaques, telles que les injections de code, les codes malveillants déballés, les exploits et les détournements de fonction.
  • Espace noyau, en protégeant les processus réservés au noyau du système d'exploitation.
• Mesures correctives pour éliminer ou isoler les menaces détectées.
• Portlet du tableau de bord contenant un graphique facilement interprétable relatif à l'activité de HVI.
• Rapport détaillé présentant les incidents détectés sur votre réseau.
• Notifications pour vous tenir informé lorsque des incidents sont détectés sur votre réseau.

HVI en un coup d'oeil

Mode de licence

• La protection HVI fait l'objet d'une licence distincte. Veuillez contacter votre partenaire Bitdefender si vous souhaitez davantage d'informations commerciales.

Systèmes d'exploitation pris en charge

• HVI est capable de protéger les machines virtuelles de Windows et de Linux.

Installer

• La nouvelle version 6.1.57.4697 de Security Server qui accompagne cette publication comporte la fonctionnalité de protection HVI. Pour activer la fonctionnalité d'introspection, vous devez déployer le Security Server et le Package de complément HVI sur chaque hôte Citrix XenServer 7 Enterprise Edition.

Politique de sécurité

• Les réglages HVI sont accessibles dans la section politique HVI. Vous configurez quels paramètres activer sur les VM critiques de votre environnement. La protection peut être activée pour les processus critiques en mode utilisateur et pour les structures en mode noyau.
• Les paramètres des politiques permettent d'intercepter, de bloquer ou d'enregistrer uniquement les attaques afin de les empêcher d'interférer avec la pile mémoire, en injectant des outils de réparation si nécessaire.
• Les réglages de la protection HVI peuvent être appliqués sur les machines virtuelles à la volée.

Classement des endpoints

• Vous avez la possibilité de classer les machines virtuelles selon qu'elles sont protégées par HVI ou bien par HVI et Bitdefender Endpoint Security Tools.

Détails de l'ordinateurs

• La fenêtre affichant les informations relatives à l'ordinateur, récemment repensée, vous permet de voir en un coup d'oeil le statut de votre endpoint avec tous les modules actifs et sous licence.

Rapports

• Un nouveau Rapport d'activité HVI qui fournit l'historique de l'incident : horodatage de l'attaque, informations générales relatives aux autorisations, type d'incident ainsi que source et cible de l'attaque. Un portlet connexe est également disponible.
• Les informations relatives à la protection HVI sont également présentes dans les prochains rapports existants : applications bloquées, état des modules de l'endpoint, audit de sécurité, état de la mise à jour, état de la protection du réseau de machines virtuelles et état du réseau.

Important : Le rapport d'état de la protection des Machines Virtuelles du réseau a été refondu pour offrir des informations plus complètes. Avec cette évolution, les rapports programmés existants ne sont désormais plus affichés dans la Control Center. Ainsi, vous devez sauvegarder des copies de sauvegarde des instances générées et recréer les rapports.

Notifications

• HVI envoie des notifications concernant son activité via laControl Center GravityZone, e-mail et Syslog.

API de GravityZone

• Les API de GravityZone contiennent également des informations relatives aux machines virtuelles protégées par HVI.

Problèmes connus

• Les machines virtuelles déployées et auxquelles a été assignée une politique HVI alors que le Security Server était suspendu ne deviennent pas gérées après la reprise du Security Server. Dans ce cas, vous devez redémarrer le Security Server.
• Initialiser HVI sur un large volume de machines virtuelles sur un hôte peut entraîner un manque de réponse de certaines machines pouvant aller jusqu'à une minute.
• Les machines virtuelles Linux sans les tools XenServer sont affichées dans la Control Center comme des OS Windows.
• Dans certains cas le rapport d'Etat du Security Server affiche l'état précis de l'appliance avec quelques minutes de retard.
• L'export du fichier CSV du rapport HVI Activity incluant des paramètres d'intervalle maximal peut ne pas fonctionner. Bitdefender recommande de réduire l'intervalle du rapport si cela se produit.
• Le rapport d'Etat du module du Endpoint affiche l'état du module HVI comme étant indisponible au lieu de désactivé pour les machines sur lesquelles sont installés à la fois Bitdefender Endpoint Security Tools et HVI, mais HVI est désactivé dans la politique.
• La protection de processus avec des noms contenant des caractères spéciaux n'est pas prise en charge. La protection HVI ne fonctionne pas correctement dans ce cas de figure.
• Certaines catégories d'application ne sont pas localisées dans la section HVI > Espace Utilisateur de la politique.

Limites

• Pour bénéficier de la protection HVI, vous devez déployer le Security Server à distance à partir de la page Réseau de la Control Center GravityZone. N'installez pas localement le package Security Server disponible sur la page Packages.
• HVI est disponible sur le dernier package Security Server depuis la console d'administration. Vous devriez redéployer les Security Server existant sur chaque hôte Citrix XenServer si la protection HVI est souhaitée.
• Dans les environnements GravityZone intégrés à Active Directory, les machines virtuelles inscrites dans l'Active Directory et protégées uniquement par HVI apparaissent comme non managées dans le vue Ordinateurs et Machines Virtuelles de la page Réseau.
• Les prérequis d'HVI sont disponibles dans la fenêtre de détails uniquement depuis la vue Machines Virtuelles de la page Réseau. La vue Ordinateurs et Machines Virtuelles ne s'affiche que lorsque le Package de complément est périmé.
• Les sessions SSH via des connections distantes peuvent s’interrompre (time out) lorsque les paramètres d'HVI sont modifiés, selon les outils utilisés. Une reconnexion est nécessaire pour continuer à travailler à partir de machines distantes.
• HVI ne s'installe que sur les déploiements standalone de Security Server. Si vous déployez le Security Server comme un rôle de l'appliance GravityZone, HVI ne sera pas disponible.
• Les machines protégées par HVI peuvent ne pas répondre pendant quelques secondes si le Security Server est surchargé. Pour éviter ce type de situations, Bitdefender recommande d'activer la notification Security Server surchargé et d'ajouter des ressources quand la charge est élevée.
• Lorsqu'il est forcé à s'arrêter, le Security Server n'a pas le temps de mettre à jour l'état des machines virtuelles protégées et elles s'affichent toujours comme étant managées. La situation est résolue dès que le Security Server est de nouveau en ligne.
• Windows Driver Verifier ralentit les machines virtuelles sur lesquelles HVI est activé. Il est recommandé de le désactiver lors de l'utilisation d'HVI.