Période de publication : 24/11/2020 - 07/12/2020

Configuration minimale requise :

• Agents de sécurité : 6.6.22.311 (Windows) ; 6.2.21.106 (Linux) ; 4.14.96.200096 (macOS)

Note: À partir de cette publication, toutes les mises à jour de GravityZone seront déployées par étapes, qui auront lieu durant la période mentionnée.

Progrès

EDR & Incidents

La nouvelle fonctionnalité Règles de détection personnalisées vous permet de créer des règles pour détecter les événements communs et générer des incidents spécifiques à votre environnement que GravityZone ne pourrait pas considérer comme suspect avec ses technologies de prévention et de threat intel. Elle permet d’améliorer les capacités de l’EDR à générer des alertes et des incidents pour bloquer les violations potentielles dès le tout début d’une attaque.

Vous pouvez désormais :

• Créer votre propre règle de détection
• Visualiser les alertes et incidents générés et les filtrer grâce à une règle personnalisée
• Visualiser les détails de chacune des règles dans le panneau latéral dédié
• Exécuter des actions multiples, y compris modifier, supprimer, dupliquer ou ignorer une règle personnalisée
• Importer une liste de règles
• Recevoir une notification à chaque fois qu'un nouvel incident est déclenché par une règle personnalisée.
• Ajouter des étiquettes et les filtrer afin de faciliter la gestion de vos règles personnalisées

Ajout d’une option pour mettre à jour vos modules EDR Linux via mise à jour du produit lorsque vous configurez des politiques pour un contrôle des modifications plus étroits et les procédures de mise à jour par phase.

La notification Syslog "Nouvel incident" inclut désormais plus d'informations permettant d'enregistrer les données d'un incident EDR sur une plateforme logicielle externe telle que SIEM ou SOAR. Assurez-vous de vérifier de nouveau toute corrélation existante que vous utilisez actuellement et/ou d'ajouter les nouvelles informations relatives aux incidents dans les requêtes de recherche exécutées sur votre SIEM.

Changement des noms des onglets de la page Incidents pour Incidents sur les endpoints et Menaces détectées.

Note: Ces onglets peuvent être différents sur votre produit en fonction de votre licence.

Télémétrie de sécurité

Vous pouvez dorénavant obtenir des données de sécurité brutes sur vos endpoints directement dans une solution SIEM. Utilisez cette fonctionnalité si vous avez besoin d’une analyse plus approfondie et d’effectuer une corrélation avec les événements de sécurité de votre réseau.

Pour alléger la consommation des performances du système et réduire l’empreinte des données exportées, nous filtrons les informations redondantes.

Consultez la nouvelle section Télémétrie générale > de sécurité de la politique de sécurité pour activer et configurer cette fonctionnalité, et consultez la page d'information sur l'endpoint pour vérifier l'état de la connexion entre l'endpoint et la solution SIEM.

Note: Disponible uniquement pour les endpoints Windows et Splunk via HTTPS (TLS 1.2 ou supérieur requis). La télémétrie de sécurité nécessite que l'EDR soit disponible dans GravityZone GravityZone Ultra Security.

Limitation des dégâts des ransomwares

Vous disposez maintenant d’une option pour restaurer à la demande les fichiers chiffrés par une attaque de ransomware. Sélectionnez cette option dans la politique pour les endpoints sur lesquels vous avez besoin d’un meilleur contrôle. En cas d'attaque, consultez la page Activité des ransomwares, à partir de laquelle vous pourrez visualiser les fichiers impactés et lancer une tâche de restauration.

Cette option est disponible pendant 30 jours à compter de l'événement.

Sandbox Analyzer On-Premises

Vous pouvez désormais activer l'envoi d'échantillons par le biais d'un proxy à des instances locales sur la page Sandbox Analyzer > Infrastructure. Pour configurer un proxy, allez dans Configuration > Proxy.

Protection des postes de travail

Suite à la dépréciation des extensions système de macOS, Bitdefender a ajouté la prise en charge des nouvelles API EndpointSecurity et NetworkExtension. Celles-ci garantissent la compatibilité entre Endpoint Security for Mac, GravityZone Control Center et les endpoints sous macOS Big Sur (11.0). Pour en apprendre plus, consultez la documentation de Endpoint Security for Mac.

Plateforme

• Nouvelle tâche de réparation permettant de corriger rapidement les problèmes qui nécessiteraient autrement une réinstallation de l'agent.
• Les options offrant plus de contrôle sur les données que vous envoyez à Bitdefender sont désormais également accessibles dans la section Divers de la fenêtre de configuration du package de l'agent.
• Plusieurs améliorations des contenus.

API publique

• Le lien de téléchargement du kit de l'agent est désormais disponible via getInstallationLinks method.
• La version complète du kit de l'agent peut désormais être récupérée via la méthode downloadPackageZip.
• La nouvelle option de filtrage endpointName de la méthode getEndpointsList vous permet de trouver plus facilement les endpoints présents sur votre réseau.
• Le rapport instantané est désormais accessible par e-mail via la méthode createReport.

Problèmes résolus

Sandbox Analyzer

Dans certaines situations, le portail Sandbox retournait une erreur 404 lorsqu'il essayait d'accéder aux rapports mis en cache après sept jours.

Security for Mobile

L'intégration des appareils iOS dans le MDM a échoué lorsque le mot de passe du certificat d'identité et de signature de profil contenait des caractères spéciaux en bash.

Plateforme

• Le système de mises à jour automatiques générait fréquemment l'erreur "GravityZone n'a pas pu terminer", même lorsqu'aucune mise à jour n'était disponible.
• Les détections bloquées supprimées restaient affichées dans le graphique de rapport.
• Le Centre de contrôle affichait les portlets du Tableau de bord sur une seule ligne lorsque la résolution était supérieure à 1080p et que le navigateur était ajusté à 125 %.
• Les mises à jour hors ligne échouaient si le trafic HTTP était désactivé pour GravityZone.
• La modification de l'adresse du serveur NTP sur la page Centre de contrôle > Configuration n'a eu aucun effet.