Novidades da Descoberta de política do 6.2.0
- O administrador do site pode exibir e tomar medidas sobre as solicitações de Descoberta de política vindas apenas de seus hosts, não dos hosts aos quais o usuário conectado não tem acesso.
- Agora são geradas observações para operações de arquivos baseadas em caminhos de rede. O administrador pode descobrir políticas de diretórios confiáveis para essas observações. As observações recebidas de compartilhamentos de rede são listadas na página Policy Discovery (Descoberta de política) com a atividade Network Path Execution (Execução de caminho de rede).
- Novos recursos foram adicionados à Descoberta de política para facilitar o melhor gerenciamento das solicitações de Descoberta de política.
- A página Policy Discovery agora tem filtros adicionais para atividade, nível de confiança e nome de sistema.
- O administrador agora pode definir regras de políticas personalizadas além daquelas sugeridas pela opção Policy Discovery (Descoberta de política)->Actions (Ações)->“Create Custom Policy (Criar política personalizada)&rdquo. Para isso, todas as guias de políticas agora são visíveis, uma nova ação Clear and define rules (Limpar e definir regras) foi adicionada e detalhes de solicitações agora estão disponíveis na página Create Custom Policy.
- Na página de detalhes Policy Discovery, a soma de verificação binária é mostrada sob a seção Binary Properties (Propriedades binárias).
- A classificação das colunas User Name (Nome do usuário), Host Name (Nome do host) e Binary Path (Caminho binário) e a localização rápida no nome do host foram adicionadas à página de detalhes Policy Discovery.
- O administrador pode criar regras de políticas personalizadas diretamente a partir de eventos de ameaça. Com essa finalidade, uma ação Create Custom Policy (Criar política personalizada) é exibida em relação a eventos como gravação negada, execução negada, modificação de pacote impedida e eventos de proteção de memória. A partir dessa ação, o administrador pode revisar os detalhes do evento e criar regras de políticas adequadas.
Para obter mais detalhes sobre esses itens, consulte o MACC 6.2.0 Product Guide (Guia do produto do MACC 6.2.0).
Novidades sobre o modo de observação da versão 6.1.2
Novidades
- O recurso de modo de observação foi substancialmente aprimorado para a escalabilidade a partir desta versão.
- A página Policy Discovery (Descoberta de política) foi introduzida para a criação de políticas para eventos de Observations (Observações) e Self Approval (Autoaprovação).
- Existem também algumas mudanças importantes na opção de menu Observation mode (Modo de observação):
- As interfaces do usuário dos recursos Self Approval e Observation mode foram mescladas para criar uma única página Policy Discovery (Descoberta de política).
- A observação e a autoaprovação para o mesmo aplicativo terão uma entrada candidata a política. Você pode fazer uma busca detalhada em uma linha específica para verificar se há solicitações de autoaprovação ou detalhes de observação.
O que mudou?
- O recurso de modo de observação foi substancialmente aprimorado para a escalabilidade a partir desta versão. Como resultado, os administradores verão um impacto imediato na quantidade e na qualidade de observações que serão reduzidas nas versões do Application Control a partir de agora.
- Algumas das alterações mudarão os fluxos de trabalho em torno deste recurso:
- O item de menu Observation mode (Modo de observação) se tornou obsoleto.
- A análise de descoberta de regras agora é feita nos pontos de extremidade para garantir que apenas os eventos necessários sejam entregues ao ePO.
- A Process Tree (Árvore do processo) não está disponível na interface do usuário de Descoberta de política. Os eventos gerados para criar a árvore do processo (Process Created, Processo criado) estavam dentre os principais fatores de contribuição das observações nas versões anteriores do Application Control.
- Eventos idênticos (para o mesmo binário e a mesma atividade) de vários hosts estão consolidados em uma única linha na Descoberta de política, permitindo o processamento eficiente de solicitações e reduzindo a sobrecarga. No entanto, essa consolidação impacta o mecanismo de criação de políticas da página Events (Eventos) que estava disponível nas versões anteriores.
- O foco agora mudou para a descoberta de candidatos de política que são agentes de alterações para o conteúdo da lista branca. Isso garante que os processos certos recebam os privilégios de Atualizador. Portanto, em vez de ver observações sobre eventos EXECUTION_DENIED para novos arquivos, eventos equivalentes serão vistos para a adição de arquivos ou para a lista branca.
- Não são geradas observações para operações de arquivos baseadas em caminhos de rede.
- São criadas regras de permissão de execução temporária na primeira chamada a novos conteúdos nos pontos de extremidade. Isso evita a geração de novas observações sobre execuções repetidas.
- Foi implementado um mecanismo de armazenamento em cache para o modo Enable (Ativar) para que não sejam geradas solicitações de observação repetidas para o mesmo binário.
- O grupo de regras Global Self-Approval Rules (Regras globais de autoaprovação) foi renomeado para Global Rules (Regras globais).
- Vários grupos de regras relacionados à antiga implementação de Observações se tornaram obsoletos, e foi adicionado o sufixo Deprecated (Obsoleto) aos nomes dos grupos de regras. Por exemplo, Global Observation Rules (Deprecated) (Regras de observação globais (Obsoleto).
O que acontecerá durante os upgrades de versões anteriores à 6.1.2?
- O item de menu Observation mode (Modo de observação) ainda estará disponível, mas será realçado como Deprecated (Obsoleto).
- As solicitações de autoaprovação criadas em versões anteriores serão preenchidas na interface do usuário de Policy Discovery (Descoberta de política).
O que acontecerá durante instalações novas do MAC 6.1.2 Extension?
- Apenas a página Policy Discovery (Descoberta de política) será exibida.
- Todas as solicitações de autoaprovação e as observações criadas nos modos Observation (Observação) ou Enable (Ativar) serão exibidas nessa página.
- Apenas pontos de extremidade com a versão 6.1.2 (e posteriores) serão capazes de relatar observações nessa interface do usuário.
- Todos os pontos de extremidade com a versão 6.1.0 e compilações posteriores serão capazes de relatar solicitações de autoaprovação nessa interface do usuário.
Nas versões futuras, o que acontecerá com as regras adicionadas aos grupos de regras obsoletos?
Sempre que esses grupos de regras forem removidos, todas as regras de política relevantes incluídas nos grupos de regras obsoletos serão preservadas e migradas para outros grupos de regras.
Por que o link "Show Suggestions" (Mostrar sugestões) não está presente na página Events (Eventos) de novas observações?
Antes da versão 6.1.2:
- As observações e os eventos tinham um mapeamento de um para um.
- A página Events (Eventos) incluía o link Show Suggestions (Mostrar sugestões) para as observações geradas no modo Enable (Ativar), que permitia ao usuário descobrir regras de políticas.
A partir da versão 6.1.2 e posteriores:
- A página Policy Discovery (Descoberta de política) serve como um console centralizado para descobrir regras de políticas, independentemente do modo em que o ponto de extremidade esteja sendo executado.
- A página Policy Discovery (Descoberta de política) consolida eventos idênticos (para o mesmo binário e a mesma atividade) de vários hosts em um único registro, permitindo o processamento eficiente de solicitações e reduzindo a sobrecarga.
Portanto, o mecanismo de descoberta de política unificado reduz a necessidade do link Show Suggestions, e ele foi removido como parte do reprojeto do recurso.
Quais eventos são gerados com a versão 6.1.2 no modo de observação e no modo Ativar?
Consulte a tabela abaixo para ver os eventos gerados no fluxo de trabalho dos modos de observação e Ativar.
Tipo de evento |
Modo |
Operações |
Negar execução (sem caminho de rede) |
Ativar |
Gerar observação para "Auth by Checksum" (Autorização por soma de verificação) |
Observação |
- Blindar o binário/script
- Permitir operação
- Sem observação
|
Negar gravação |
Ativar |
Gerar observação para "Updater by Name" (Atualizador por nome) |
Observação |
- Gerar observação
- Permitir operação
|
Negar execução (caminho de rede) |
Ativar |
Sem observação |
Observação |
Sem observação |
Negação de controle de pacote |
Ativar |
Gerar observação para "Updater by Checksum" (Atualizador por soma de verificação) |
Observação |
- Gerar observação
- Permitir operação
|
Ativo X negação |
Ativar |
Gerar observação para certificado |
Observação |
- Gerar observação
- Permitir operação
|
NX de proteção de memória/Sequestro de processo |
Ativar |
Gerar observação para desvio de atributo |
Observação |
- Gerar observação
- Permitir operação
|
Executável extraindo arquivos MSI |
Ativar |
Gerar observação para "Updater by Checksum" (Atualizador por soma de verificação) |
Observação |
- Gerar observação
- Permitir operação
|
Executável extraindo arquivos binários (exe/dll/driver) e arquivos de script |
Ativar |
Gerar observação para "Updater by Name" (Atualizador por nome) |
Observação |
- Gerar observação
- Permitir operação
|