Date de publication : 05/11/2019

• Version minimum de BEST : 6.6.14.198
• Version minimum de Security Server Multi-Platform: 6.1.73.9218

Nouvelles fonctionnalités

Network Attack Defense

Une toute nouvelle technologie qui se concentre sur la détection des techniques d’attaque du réseau conçues pour obtenir l’accès à des endpoints spécifiques, telles que les attaques par force brute, les exploits réseau et les voleurs de mots de passe.

Les réglages de Network Attack Defense sont accessibles dans la section Protection du réseau de la politique. Une notification spéciale vous informe des incidents sur votre réseau, tandis que le rapport Incidents réseau fournit plus d’informations sur ces détections.

Note: Pour utiliser le module Network Attack Defense, vous devez l'installer sur les endpoints. Pour les installations existantes, lancez une tâche Reconfigurer le client en sélectionnant Network Attack Defense. Pour les nouveaux déploiements, modifiez le package d'installation pour inclure ce module.

Sandbox Analyzer On-Premises

Le Sandbox Analyzer de Bitdefender est désormais disponible pour vos installations sur site ! Inspiré de la version Cloud, le nouveau Sandbox Analyzer On-Premises est livré sous forme d'appliance virtuelle déployable sur un hyperviseur ESXI. L'installateur intégré permet un déploiement et une configuration faciles. De plus, cette solution étant intégrée à la console GravityZone, la gestion se fait depuis une console unique.

Fonctionnalités et avantages du Sandbox Analyzer on-Premises :

• Appliance virtuelle avec installateur graphique intégré.
• Intégration simple à la console GravityZone pour le déploiement, la configuration et la gestion.
• Aide pour la création de configurations personnalisées de détonation (Golden images).
• Intégration de capteurs spécifiques (capteur de l’endpoint, capteur réseau et capteur ICAP) capable d’envoyer automatiquement les échantillons suspects du système de fichiers, des flux réseau et du trafic ICAP.
• Prise en charge de trois profils de détonation (Faible, Moyen et Élevé), qui permettent d'ajuster l’équilibre entre la vitesse de l’analyse dans l’environnement de la sandbox et l’agressivité de l’analyse exécutée sur chaque échantillon. Les profils de détonations sont disponibles pour l’envoi automatique via les capteurs, l’envoi manuel et l’envoi via l’API.
• Capacité à envoyer de nouveau des échantillons depuis l’interface de reporting.
• Rapports d'élimination détaillés contenant des informations sur la typologie des malwares, une analyse des comportements et une chronologie des événements.
• API REST pour l'intégration de solutions de sécurité tierces

Pour plus d'informations, rendez-vous sur la page Sandbox Analyzer du site www.bitdefender.fr.

Dépannage à distance

La page d’informations sur l’endpoint comprend un nouvel onglet Dépannage depuis lequel vous pouvez recueillir à distance des journaux basiques comme avancés. Vous pouvez lancer une session de débogage pour que GravityZone collecte les journaux pendant la reproduction du problème. Cela aidera nos spécialistes du support technique à réaliser une analyse approfondie du problème et donc à trouver plus rapidement une solution.

Vous pouvez enregistrer les données collectées sur un partage réseau, sur l’endpoint cible ou sur les deux.

Localisation

À partir de maintenant, nous parlons chinois !

妈妈说：“今天能完成的事，不要留到明天。”

儿子回答：“好吧，把全蛋糕给我，我今天都吃光了吧。”

Vous pouvez, si vous le souhaitez, passer l'interface de GravityZone en chinois simplifié.

État du système

Le Control Center inclut désormais la section État du système, qui affiche en temps réel les informations relatives à l'état pour les principaux indicateurs de votre environnement GravityZone.

Progrès

Solutions de sécurité

Nous avons ajouté une option permettant de créer un cluster VPN pour une communication plus sécurisée entre les services sur les appliances GravityZone. Vous pouvez activer cette option à partir du menu de l'appliance GravityZone.

Installer

• Intégrer de nouveaux modules aux agents déployés, c’est un peu comme jouer avec de la pâte à modeler. Nous avons rendu le processus de reconfiguration plus flexible.
• Vous pouvez choisir d’installer des agents de sécurité Bitdefender sans supprimer le logiciel de sécurité d’autres prestataires. Une solution qui évite de ne pas être protégé pendant quelque temps et qui accélère le déploiement. N’oubliez pas, cette option est à vos propres risques. Certaines solutions de sécurité peuvent affecter l’installation de Bitdefender. Une fois protégé par Bitdefender, vous pouvez désinstaller manuellement toute solution de sécurité préalablement installée.

Inventaire Réseau

Dites au revoir aux machines virtuelles inutilisées de votre inventaire réseau. La page Configuration vous permet de planifier des tâches de nettoyage automatique.

Politiques

• La nouvelle section Antimalware > À l’exécution, regroupe Advanced Threat Control et Fileless Attack Protection.
• La Protection du réseau - autre nouveauté de la section de politique - intègre la nouvelle technologie Network Attack Defense et les fonctionnalités du Contrôle de contenu.
• Le Contrôle de contenu a d’ailleurs été lui aussi largement modifié :
  • Les anciennes sections Trafic, Web, Protection des données et Applications ont été réorganisées et sont dorénavant dénommées Général, Contrôle de contenu et Protection web.
  • La nouvelle section Network Attack Defense comprend la technologie Network Attack Defense et ses réglages.
  • La nouvelle option Exclusions globales, dans la section Général, remplace les anciennes exclusions Analyse du trafic et Antiphishing. Pendant la mise à jour, les politiques existantes seront automatiquement migrées vers les nouvelles exclusions globales.
• Protection réseau remplace le module Contrôle de contenu dans les réglages Règles d'héritage.
• Les rapports de GravityZone vous permettent de suivre en continu les fonctionnalités de Contrôle de contenu et incluent des informations sur Network Attack Defense.
• Les politiques basées sur un emplacement prennent dorénavant en compte le nom de l’hôte. Vous pouvez définir des règles d'affectation en fonction du nom d’hôte de l’endpoint.

Anti-exploit avancé

• Trois nouvelles techniques de détection sont disponibles : VBScript générique, EAF (Export Address Filtering) Shellcode et exploits émergents. Ces détections seront dorénavant présentes dans les rapports Audit de sécurité et Applications bloquées.
• L'Activité de l'utilisateur inclut désormais des journaux en lien avec l'Anti-exploit avancé.

Gestion des correctifs

• Ajout de l'option de limiter le report d'un redémarrage à maximum 48 heures à partir de l'installation de nouveaux patchs. Une fois la période expirée, les endpoints redémarreront automatiquement. Les utilisateurs des endpoints recevront une notification sur cette action.
• Vous trouverez cette nouvelle option dans la politique, dans les réglages modulaires des Notifications > Notification de redémarrage des endpoints.

Sandbox Analyzer Cloud

• Les résultats des analyses des détonations sont disponibles sous forme de rapport avec un nouveau format HTML riche en informations. Ces rapports contiennent des informations telles que : la classification des malwares, la vue du niveau du processus, l’activité du réseau, la vue par ligne de temps, les clés de registre et objets mutex consultés, les modifications de systèmes de fichiers et les attributs IOC.
• La zone Filtres est développée par défaut, pour que les utilisateurs débutants puissent découvrir toutes les options disponibles avec les cards de soumission.
• Dans la catégorie de filtrage Type de soumission, l’option Automatique a été renommée Capteur de l’endpoint.

Note: Ces fonctionnalités sont également incluses à Sandbox Analyzer On-Premises.

HVI

• Nouvelle option de l'Espace utilisateur pour empêcher le chargement de fichiers DLL malveillants dans un processus protégé. Cette option et activée par défaut dans tous les modes de surveillance (agressif, normal et permissif).
• Modification des paramètres par défaut pour les processus protégés de l'Espace utilisateur, comme suit :
  • Ajout des processus thunderbird*, Firefox*, chromium* et MicrosoftEdge* aux Navigateurs.
  • Ajout du processus Explorer au Système d'exploitation.
  •  
  • Ajout des processus Apache et apache2 aux Services Web.
  • Retrait du processus Safari des Navigateurs.
• Le rapport d'activité HVI indique maintenant les adresses IP source et de destination ainsi que les ports TCP pour les connexions réseau actives en rapport à l'incident.

  Pour cela, activez l'option Informations détaillées sur les connexions réseau dans les paramètres de la politique Espace utilisateur HVI.

• Ajout des informations suivantes sur les événements de HVI dans le rapport Audit de sécurité : source et cible de l'attaque et état de l'action.
• La notification par e-mail de Détection de violation de mémoire regroupe dorénavant les incidents détectés pendant une même heure.

  Note: Les incidents sont considérés comme étant identiques si la source et la cible de l'attaque, ainsi que le type de violation et l'action réalisée sont identiques.

• Les machines virtuelles devant être redémarrées après une action de réparation sont indiquées par une icône spéciale dans l'inventaire réseau.
• Plus d'informations sont disponibles dans les détails de Security Server :
  • La section Prérequis de HVI affiche la version du pack complémentaire de Bitdefender et la version de Citrix Hypervisor ainsi que les informations relatives aux licences.
  • Un avertissement apparait dans la section Produit lorsque la base de connaissances est périmée.

Notifications

• Une notification concernant les Appareils bloqués a été ajoutée, qui vous alerte chaque fois qu'un appareil se connecte à l'endpoint. Vous pouvez configurer cette notification dans les Options de notification.
• La notification Antimalware est désormais déclenchée lors de l'analyse chaque fois qu'un évènement impliquant un malware est détecté.

Rapports

Le rapport État des modules de l'endpoint inclut désormais des informations relatives à Sandbox Analyzer et à HyperDetect.

Intégrations

Ajout de la compatibilité avec NSX-T 2.5, qui inclut l'analyse antimalware sans agent pour les machines virtuelles Linux.

API publique

• Tous les rapports de GravityZone sont maintenant également disponibles via API.
• Nous avons apporté quelques autres améliorations :
  • La méthode createReconfigureClientTask est entrée dans l'API réseau.
  • getManagedEndpointDetails retourne tous les modules installés sur l’endpoint géré
  • getInstallationLinks permet d'obtenir des liens d'installation pour un package
  • getQuarantineItemsList dispose de nouvelles options de filtrage.
• Sandbox Analyzer On-Premises propose plusieurs méthodes sur API pour contrôler les infrastructures de détonation, gérer la soumission des échantillons et télécharger les rapports d'analyse. Pour plus d'informations consultez le Guide des API GravityZone (On-Premises).

Problèmes résolus

Politiques

Désactiver l’option Visibilité des problèmes de l’endpoint dans la section Notifications de la politique ne désactive pas les sous-fonctionnalités.

Mise à jour automatique

Des mises à jour produit automatiques n'ont pas pu être lancées lors de la configuration de certains fuseaux horaires et intervalles de temps.

Réseau

La fenêtre Appareils mobiles n'a pas pu afficher l'Inventaire Active Directory lors de la création d'une intégration pour laquelle l'option Synchroniser avec les groupes personnalisés était activée.