Vorteile des Upgrades auf Aurora Protect Desktop 3.x

Aurora Protect Desktop Version 3.x stellt einen bedeutenden Sprung nach vorn für das Produkt dar und führt neue Funktionen und Verbesserungen der Benutzerfreundlichkeit ein, um die Sicherheit der Daten und Geräte Ihres Unternehmens zu gewährleisten.

Wenn Sie auf Aurora Protect Desktop 3.x aktualisieren, erhalten Sie Zugriff auf die folgenden Funktionen:

Windows

Funktion

Beschreibung

Betriebssystemkompatibilität

Der Windows 3.x-Agent bietet Unterstützung für Windows 11.

Weitere Informationen finden Sie unter Aurora Protect Desktop Kompatibilitätsmatrix.

Agenten-Verbesserungen
  • Der Windows 3.1-Agent wird als vertrauenswürdiger Dienst unter Verwendung der AM-PPL-Technologie (Antimalware Protected Process Light) von Microsoft ausgeführt, die die Sicherheitsprozesse des Agenten vor bösartigen Aktionen schützt. So kann beispielsweise der Agent vor dem Abbruch geschützt werden. Für diese Funktion muss auf dem Endgerät Windows 10 1709 oder höher oder Windows Server 2019 oder höher ausgeführt werden.
  • Der Windows 3.2-Agent meldet eine Liste der auf Endgeräten installierten Anwendungen an die Verwaltungskonsole. Mit dieser Funktion können Administratoren auf Endgeräten installierte Anwendungen identifizieren, die eine Quelle für Schwachstellen sein könnten, und Maßnahmen zur Behebung von Schwachstellen nach Priorität ordnen und diese entsprechend angehen. Administratoren können alle Anwendungen anzeigen, die auf Endgeräten installiert sind, die bei dem Mandanten registriert sind, und eine Liste der Anwendungen anzeigen, die auf einzelnen Endgeräten installiert sind. Diese Funktion kann in der Geräterichtlinie (Agenten-Einstellungen) aktiviert werden.

Verbesserungen des Speicherschutzes
  • Es wurden neue Funktionen zu Verletzungstypen hinzugefügt, wodurch weitere Ereignisse generiert werden.
  • Der Verletzungstyp „Injektion über APC“ ist in den Speicherschutzeinstellungen einer Geräterichtlinie verfügbar. Mit dieser Option kann Aurora Protect Desktop einen Prozess erkennen, der über einen asynchronen Prozeduraufruf (Asynchronous Procedure Call, APC) beliebigen Code in den Zielprozess injiziert. Weitere Informationen finden Sie unter KB 42221135706139.
  • Der Verletzungstyp „Änderung der Speicherberechtigung bei untergeordneten Prozessen“ ist in den Speicherschutzeinstellungen einer Geräterichtlinie verfügbar. Mit dieser Option kann Aurora Protect Desktop erkennen, wann ein Verletzungsprozess einen untergeordneten Prozess erstellt und die Speicherzugriffsberechtigungen in diesem untergeordneten Prozess geändert hat.
  • Die Benutzerfreundlichkeit der Speicherschutzsteuerungen wurde verbessert.
  • Verbesserte Erkennung von LSASS-Leseverletzungen für Windows-Geräte.
  • Die Größenbeschränkung für Ausschlüsse zum Speicherschutz wurde von 64 KB auf 2 MB erhöht, sodass Sie weitere Ausschlüsse hinzufügen können.
  • Ausnahmen für Anwendungs-DLLs von Drittanbietern werden jetzt unterstützt, damit Anwendungen von Drittanbietern neben Aurora Protect Desktop ausgeführt werden können. Wenn Sie beispielsweise Sicherheitsprodukte von Drittanbietern zusätzlich zu CylancePROTECT ausführen, können Sie einen Ausschluss für die entsprechenden .dll-Dateien hinzufügen, damit CylancePROTECT bestimmte Verstöße für diese Produkte ignoriert. Für diese Funktion ist Agent-Version 3.1.1001 oder höher erforderlich.
  • Der Speicherschutzsensor für den Verletzungstyp „Schädliche Payload“ wurde verbessert, um die Genauigkeit der Meldung von Verstößen zu verbessern und unnötige Warnungen zu reduzieren. Für diese Funktion ist Agent-Version 3.1.1001 oder höher erforderlich.

Verbesserungen beim Schutz
  • Der Windows 3.1-Agent ermöglicht es Administratoren, ein benutzerdefiniertes Intervall für die Ausführung von Bedrohungsscans im Hintergrund über die Geräterichtlinie (Schutzeinstellungen) festzulegen. Das Scanintervall kann zwischen 1 und 90 Tagen betragen. Das Standard-Scanintervall beträgt 10 Tage. Beachten Sie, dass eine Erhöhung der Häufigkeit der Scans die Leistung des Geräts beeinträchtigen kann.
  • Der Windows 3.2-Agent unterstützt Administratoren bei Bedarf bei der Initiierung eines Scans zur Bedrohungserkennung im Hintergrund von der Verwaltungskonsole aus. Der Befehl kann über den Bildschirm mit den Gerätedetails für ein einzelnes Gerät oder für mehrere Geräte gleichzeitig über den Geräte-Bildschirm gesendet werden.
  • Das Datum des letzten Scans für jedes Gerät wird in der Verwaltungskonsole protokolliert.

Verbesserungen der Skriptsteuerung
  • Sie können auswählen, ob Aurora Protect Desktop bei Python-Skripten (2.7, 3.0 bis 3.8) und .NET DLR (z. B. IronPython) eine Warnung ausgeben oder diese blockieren soll. Sie können die Skriptsteuerung für diese Skripttypen auch deaktivieren.
  • Eingebettete VB-Skripte, die Skriptsteuerungsereignisse verursacht haben, wurden in der Agentenversion 2.1.1580 blockiert; die Erkennung von Verletzungen der eingebetteten VB-Skriptsteuerung wurde in Agent 3.0.1000 und höher deaktiviert.
  • Der Windows 3.1-Agent arbeitet mit der Anti-Malware-Scan-Schnittstelle (AMSI) von Microsoft, sodass bei der Ausführung eines potenziell gefährlichen XLM-Makros Bedrohungsinformationen an die Verwaltungskonsole gemeldet werden und der Agent gemäß den Regeln der Geräterichtlinie für Skriptsteuerungsereignisse auf die Schnittstelle antwortet. Der Agent antwortet beispielsweise, ob er die Ausführung des Makros zulässt oder blockiert. Diese Funktion wird über die Einstellung „Skriptsteuerung > XLM-Makros“ in der Geräterichtlinie aktiviert und erfordert, dass auf dem Gerät Windows 10 ausgeführt wird. Stellen Sie sicher, dass VBA-Makros im Menü Excel Datei > Vertrauensstellungscenter > Excel-Vertrauensstellungscenter > „Makroeinstellungen“ deaktiviert sind.
  • Der Windows-Agent meldet übergeordnete und Interpreter-Prozesse an die Cylance-Konsole, wenn ein potenziell bösartiges Skript ausgeführt wird. Administratoren können Ausschlüsse für einen übergeordneten Prozess oder einen Interpreter-Prozess eines Skripts hinzufügen, damit das Skript auf einem Gerät ausgeführt werden kann. Für diese Funktion ist Agent-Version 3.1.1001 erforderlich.
  • Der Windows 3.2-Agent unterstützt eine erweiterte Skriptsteuerung mit Skriptauswertung. Die Ausführung von Skripten mit einer unsicheren oder abnormalen Bedrohungsauswertung kann intelligent gesperrt werden und es kann eine entsprechende Warnung an die Verwaltungskonsole gesendet werden. Administratoren können die Einstellungen für die Skriptsteuerung in der Geräterichtlinie so konfigurieren, dass Skripte blockiert werden, die CylancePROTECT als unsicher oder abnormal erkennt.
  • Der Windows 3.2-Agent unterstützt den Warnungsmodus für PowerShell-Konsolenskripte, sodass erkannte Ereignisse an die Verwaltungskonsole gemeldet werden, während sie weiterhin ausgeführt werden können. Administratoren können die Einstellung über die Registerkarte „Skriptsteuerung“ in der Geräterichtlinie über das Drop-Down-Menü für die PowerShell-Konsole steuern.
  • Mit dem Windows 3.3-Agenten können Administratoren separat kontrollieren, wie die größeren Skripte (z. B. PowerShell-Skripte mit mehr als 5 MB) an die Endpoint Defense-Konsole gemeldet werden, wenn eine Bedrohung erkannt wird. Die separate Einstellung erlaubt Administratoren, die Erkennung kleinerer Skripte gezielter abzustimmen, da diese mit höherer Wahrscheinlichkeit bösartig sind als IT-Skripte (die in der Regel größer sind), und versetzt den Agenten in die Lage, schneller eine optimale Blockierungsstrategie zu erreichen. Sie können die Richtlinieneinstellungen für jede Art von Skript anwenden (einschließlich der Blockierung der Ausführung des Skripts), so dass diese Bedrohungen unabhängig von der Größe des Skripts gemeinsam verwaltet werden. Sie können sie auch separat verwalten, indem Sie nur Warnungen an die Konsole senden oder Warnungen für große Skripte ignorieren.

Verbesserungen bei der Makroerkennung
  • In Geräterichtlinien wurde die Makroerkennungsfunktion für Windows-Geräte von der Registerkarte „Skriptsteuerung“ auf die Registerkarte „Speicheraktionen“ (Exploitation > Gefährliche VBA-Makros) für Geräte mit Windows-Agentenversion 2.1.158x oder höher verschoben. Die vorherige Skriptsteuerungsoption für Version 2.1.1578 und niedriger unterstützt die Aktionen „Warnung“ und „Blockieren“; die neue Speicherschutzoption unterstützt die Aktionen „Ignorieren“, „Warnung“, „Blockieren“ und „Beenden“.
  • Sie können jetzt in den Speicherschutzeinstellungen einer Geräterichtlinie Ausschlüsse für den Typ „Gefährliche VBA-Makros“ hinzufügen.
  • Dateien, die Verletzungen im Zusammenhang mit gefährlichen VBA-Makros verursachen, werden in der Verwaltungskonsole angezeigt, sodass Sie die entsprechenden Dokumente identifizieren und bestimmen können, ob Sie sie der Ausschlussliste hinzufügen müssen.

Verbesserungen der Gerätesteuerung
Sie können jetzt schreibgeschützten Zugriff auf die folgenden USB-Gerätetypen zulassen:
  • Digitalbild
  • USB CD/DVD RW
  • USB-Laufwerk
  • VMware USB-Passthrough
  • Tragbares Windows-Gerät

Verbesserungen der globalen sicheren Liste

Durch das Hinzufügen eines SHA256-Hashes zur globalen sicheren Liste für Skripte wird nun verhindert, dass Blockierungsereignisse, die mit diesem Hash in Verbindung stehen, in der Verwaltungskonsole angezeigt werden.

Protokollierung von Änderungen

Wichtige Protokolleinträge wurden von der Debug-Protokollebene in die Info-Protokollebene verschoben.

Linux

Funktion

Beschreibung

Betriebssystemkompatibilität
Der Linux 3.3.x-Agent unterstützt die folgenden Linux-Distributionen:
  • AlmaLinux 9
  • AlmaLinux 8
  • Debian 12
  • Rocky Linux 9
  • Rocky Linux 8
  • Ubuntu 24.04
Der Linux 3.2.x-Agent unterstützt die folgenden Linux-Distributionen:
  • Amazon Linux 2023
  • Amazon Linux 2, Kernel 5.10
Der Linux 3.1.x-Agent unterstützt die folgenden Linux-Distributionen:
  • Red Hat Enterprise Linux 9 und 9.1
  • Oracle 9 und 9.1
  • Oracle UEK 9 und 9.1
  • Oracle 8.7
  • Oracle UEK 8.7
  • SUSE Linux Enterprise Server (SLES) 15 SP4
  • Ubuntu 22.04 LTS
Der Linux 3.0.x-Agent unterstützt die folgenden Linux-Distributionen:
  • Red Hat Enterprise Linux /CentOS 8.4
  • Red Hat Enterprise Linux 8.5
  • Oracle 8.4
  • SUSE (SLES) 12 SP5
  • SUSE (SLES) 15 SP2 und SP3

Weitere Informationen finden Sie u Aurora Protect Desktop Kompatibilitätsmatrix. Um die vollständige Liste der unterstützten Linux-Kernels und -Treiber anzuzeigen, laden Sie die Unterstüzte Linux Kernels Tabelle herunter.

Scan auf Abruf zur Bedrohungserkennung im Hintergrund

Administratoren können nun von der Verwaltungskonsole aus einen Scan auf Abruf zur Bedrohungserkennung im Hintergrund starten. Der Befehl kann über den Bildschirm mit den Gerätedetails für ein einzelnes Gerät oder für mehrere Geräte gleichzeitig über den Geräte-Bildschirm gesendet werden.

Für diese Funktion ist ein Aurora Protect Desktop-Agent der Version 3.2 erforderlich.

Das Datum des letzten Scans für jedes Gerät wird in der Verwaltungskonsole protokolliert.

Benutzerdefiniertes Intervall für die Überprüfung der Bedrohungserkennung im Hintergrund
  • Administratoren können ein benutzerdefiniertes Intervall für die Ausführung von Scans zur Erkennung von Bedrohungen im Hintergrund über die Geräterichtlinie festlegen. Das Scanintervall kann zwischen 1 und 90 Tagen betragen. Das Standard-Scanintervall beträgt 10 Tage.
  • Für diese Funktion ist ein Aurora Protect Desktop-Agent der Version 3.1 erforderlich.
  • Das Datum des letzten Scans für jedes Gerät wird in der Verwaltungskonsole protokolliert.

Linux-Treiber automatisch aktualisieren
  • Der Aurora Protect Desktop-Agent 3.1.1000 für Linux-Geräte kann jetzt eine Aktualisierung auf den neuesten unterstützten Agent-Treiber anfordern, wenn ein aktualisierter Kernel auf dem System erkannt wird. Wenn beispielsweise der Linux-Kernel aktualisiert wird und der aktuell installierte Agent-Treiber dies nicht unterstützt, kann der Agent den Treiber jetzt automatisch aktualisieren, sobald ein kompatibler Treiber veröffentlicht wird.
  • Für diese Funktion ist der Aurora Protect Desktop-Agent Version 3.1.1000 und die Agent-Treiberversion 3.1.1000 oder höher erforderlich.
  • Um diese Funktion zu aktivieren, wählen Sie die Option Linux-Treiber automatisch aktualisieren in der zonenbasierten Aktualisierungsregel im Menü Einstellungen > Aktualisieren in der Verwaltungskonsole aus.

Verbesserungen des Speicherschutzes
  • Es wurden neue Funktionen zu Verletzungstypen hinzugefügt, wodurch weitere Ereignisse generiert werden.
  • Die Benutzerfreundlichkeit der Speicherschutzsteuerungen wurde verbessert.
  • Die Größenbeschränkung für Ausschlüsse zum Speicherschutz wurde von 64 KB auf 2 MB erhöht, sodass Sie weitere Ausschlüsse hinzufügen können.

macOS

Funktion

Beschreibung

Betriebssystemkompatibilität
  • Der Aurora Protect Desktop 3.2.x-Agent bietet Unterstützung für macOS 14 (Sonoma).
  • Der Aurora Protect Desktop 3.1.x-Agent bietet Unterstützung für macOS 13 (Ventura).
  • Der Aurora Protect Desktop 3.0.x-Agent bietet Unterstützung für macOS 12 (Monterey).

USB-Gerätesteuerung

Der Aurora Protect Desktop-Agent für macOS 3.3 unterstützt die USB-Gerätesteuerungsfunktion, mit der die Administratoren steuern können, ob der Zugriff auf USB-Massenspeichergeräte zugelassen oder blockiert wird. Die Administratoren können die Gerätesteuerung für macOS-Geräte über die Geräterichtlinie für als optische USB-Laufwerke oder USB-Speicherlaufwerke (Festplatten oder Flash-Laufwerke) klassifizierte Speichergeräte aktivieren.

Scan auf Abruf zur Bedrohungserkennung im Hintergrund

Administratoren können nun von der Verwaltungskonsole aus einen Scan auf Abruf zur Bedrohungserkennung im Hintergrund starten. Der Befehl kann über den Bildschirm mit den Gerätedetails für ein einzelnes Gerät oder für mehrere Geräte gleichzeitig über den Geräte-Bildschirm gesendet werden. Für diese Funktion ist ein Aurora Protect Desktop-Agent der Version 3.2 erforderlich.

Das Datum des letzten Scans für jedes Gerät wird in der Verwaltungskonsole protokolliert.

Benutzerdefiniertes Intervall für die Überprüfung der Bedrohungserkennung im Hintergrund
  • Administratoren können ein benutzerdefiniertes Intervall für die Ausführung von Scans zur Erkennung von Bedrohungen im Hintergrund über die Geräterichtlinie festlegen. Das Scanintervall kann zwischen 1 und 90 Tagen betragen. Das Standard-Scanintervall beträgt 10 Tage.
  • Das Datum des letzten Scans für jedes Gerät wird in der Verwaltungskonsole protokolliert.

Verbesserungen des Speicherschutzes
  • Es wurden neue Funktionen zu Verletzungstypen hinzugefügt, wodurch weitere Ereignisse generiert werden.
  • Die Benutzerfreundlichkeit der Speicherschutzsteuerungen wurde verbessert.
  • Die Größenbeschränkung für Ausschlüsse zum Speicherschutz wurde von 64 KB auf 2 MB erhöht, sodass Sie weitere Ausschlüsse hinzufügen können.

Weitere Informationen zu zusätzlichen Funktionen für die neuesten 3.x-Agenten sowie eine umfassende Liste der behobenen Probleme finden Sie in den Versionshinweisen zu Aurora Protect Desktop.

Um von diesen Erweiterungen und den Verbesserungen in zukünftigen Versionen von Aurora Protect Desktop zu profitieren, empfiehlt Arctic Wolf dringend, alle Geräte mit dem Agenten 2.x.158x oder niedriger auf die neueste Version des Agenten 3.x zu aktualisieren. Dieser Leitfaden enthält Überlegungen und zusätzliche Anweisungen für ein erfolgreiches Upgrade.