6.2.0 策略探索中有哪些新功能?
- 站点管理功能可以限制用户只能查看和处理从自己的主机上提交的策略探索请求,而不能查看和处理从登录用户无权访问的主机上提交的请求。
- 现在可以针对基于网络路径的文件操作生成观察。管理员可以探索这些观察的受信任目录策略。从网络共享收到的观察列于“策略探索”页面,其活动为网络路径执行。
- 策略探索中增加了一些新功能,可方便用户更好地管理策略探索请求。
- “策略探索”页面现在添加了一些针对活动、信任级别和系统名称的额外过滤器。
- 除了使用策略探索->操作->“创建自定义策略”选项所建议的策略规则之外,管理员现在还可以设置自定义策略规则。为实现此目的,所有策略选项卡现在都对用户可见,另外还添加了一个新操作 - 清除和定义规则,并且现在“创建自定义策略”页面中会提供请求详细信息。
- 在“策略探索”详细信息页面,二进制校验和显示在“二进制属性”部分下面。
- 在“策略探索”详细信息页面中添加了按“用户名”、“主机名”和“二进制文件路径”这几列排序的功能,还添加了根据“主机名”进行快速查找的功能。
- 管理员可以直接基于威胁事件创建自定义策略规则。为实现此目的,系统会针对各种事件(例如写入被拒绝、执行已被拒绝、已禁止包修改和内存保护事件),显示相应的创建自定义策略操作。从此操作中,管理员可以查看事件详细信息并相应地创建策略规则。
有关这些项目的更多详细信息,请参阅《MACC 6.2.0 Product Guide》(MACC 6.2.0 产品手册)。
6.1.2 观察模式中有哪些新功能?
有哪些新功能?
- 在此版本中,观察模式功能的扩展性得到了大幅改进。
- 策略探索页面引入了为观察事件和自批准事件创建策略的功能。
- 此外,观察模式菜单选项中也做了一些重要的更改:
- 自批准和观察模式 UI 已合并为一个策略探索页面。
- 相同应用程序的观察和自批准将只会包含一个策略候选条目。您可以深入查询特定的某一行,了解自批准请求或观察详细信息。
有哪些变化?
- 在此版本中,观察模式功能的扩展性得到了大幅改进。因此,从本版本开始,管理员将可以看到 Application Control 中观察数量和质量的降低所带来的直观影响。
- 有些更改将会改变此功能的工作流:
- 观察模式菜单项现已弃用。
- 规则探索分析现在是在端点上进行,以确保仅将所需事件传递到 ePO。
- 进程树在“策略探索”UI 中不可用。在以前的 Application Control 版本中,为创建进程树而生成的事件(进程已创建)是主要的观察事件。
- 在“策略探索”中,来自多个主机的相同事件(相同的二进制文件和活动)会合并成一行,以便能高效处理请求并降低开销。不过,如此合并对以前版本所提供的从“事件”页面创建策略的机制会产生影响。
- 现在,侧重点变为发现策略候选,即白名单内容的更改代理。这可以确保为适当的进程授予更新程序权限。因此,现在不再针对新文件的 EXECUTION_DENIED 事件显示观察,而是针对新添加到白名单的文件显示同等的事件。
- 不会针对基于网络路径的文件操作生成观察。
- 临时执行允许在端点上首次调用新内容时创建规则。这会禁止对重复的执行生成新观察。
- 针对启用模式实施了一项缓存机制,如此,就不会对相同的二进制文件生成重复的观察请求。
- 全局自批准规则规则组已重命名为全局规则。
- 弃用了与旧观察实施相关的多个规则组,并在这些规则组名称后添加了 Deprecated 后缀。例如,Global Observation Rules (Deprecated)。
从早于 6.1.2 的版本升级会发生什么情况?
- 观察模式菜单项将仍然可用,但会突出显示为已弃用。
- 以前的版本中提交的自批准请求会填充到策略探索 UI 中。
进行 MAC 6.1.2 扩展的全新安装期间会发生什么情况?
- 只会显示策略探索页面。
- 在观察或启用模式下提交的所有自批准请求和观察都会显示在此页面中。
- 只有安装了 6.1.2(及更高版本)的端点可以在此 UI 中报告观察。
- 安装了 6.1.0 及更高内部版本的所有端点都可在此 UI 中报告自批准请求。
在未来的版本中,添加到弃用规则组的规则会发生什么情况?
每次删除这些规则组时,弃用规则组中包含的所有相关策略规则都将保留并迁移到其他规则组。
为什么在“事件”页面中,新观察的“显示建议”链接不见了?
在早于 6.1.2 的版本中:
- 观察和事件之间的映射是一对一的。
- “事件”页面中包含“启用”模式下针对观察生成的显示建议链接,以允许用户探索策略规则。
在 6.1.2 及更高版本中:
- 无论端点是在什么模式下运行,“策略探索”页面都充当着探索策略规则的集中式控制台。
- “策略探索”页面将来自多个主机的相同事件(相同的二进制文件和活动)合并为单个记录,以便能高效处理请求并降低开销。
如此,这种统一的策略探索机制消除了对“显示建议”链接的需求,因此,在重新设计该功能时,便删除了该链接。
在 6.1.2 中,以观察模式和启用模式运行分别会生成什么事件?
请参阅下表,了解观察模式和启用模式的工作流中生成的事件。
| 事件类型 |
模式 |
操作 |
| 拒绝执行(非网络路径) |
启用 |
针对“按校验和授权”生成观察 |
| 观察 |
|
| 拒绝写入 |
启用 |
生成观察“按名称的更新程序” |
| 观察 |
|
| 拒绝执行(网络路径) |
启用 |
无观察 |
| 观察 |
无观察 |
| 拒绝包控制 |
启用 |
针对“按校验和的更新程序”生成观察 |
| 观察 |
|
| 拒绝 Active X |
启用 |
针对证书生成观察 |
| 观察 |
|
| 内存保护 NX/进程劫持 |
启用 |
针对属性绕过生成观察 |
| 观察 |
|
| 可执行解压缩 MSI 文件 |
启用 |
针对“按校验和的更新程序”生成观察 |
| 观察 |
|
| 可执行解压缩二进制文件 (exe/dll/driver) 及脚本文件 |
启用 |
针对“按名称的更新程序”生成观察 |
| 观察 |
|
