Avantages de la mise à niveau vers Aurora Protect Desktop 3.x

Aurora Protect Desktop La version 3.x représente un grand pas en avant pour le produit, en introduisant de nouvelles fonctionnalités et des améliorations en termes de convivialité pour garantir la sécurité des données et des terminaux de votre organisation.

La mise à niveau vers Aurora Protect Desktop 3.x vous donne accès aux fonctionnalités suivantes :

Windows

Fonctionnalité

Description

Compatibilité du système d'exploitation

L'agent Windows 3.x ajoute la prise en charge de Windows 11.

Pour plus d'informations, consultez la matrice de compatibilité de Aurora Protect Desktop.

Améliorations de l'agent
  • L'agent Windows 3.1 s'exécute en tant que service fiable à l'aide de la technologie AM-PPL (Antimalware Protected Process Light) de Microsoft, qui protège les processus de sécurité de l'agent contre les actions malveillantes. Par exemple, cela permet de protéger l'agent contre la résiliation. Cette fonctionnalité nécessite que le point de terminaison exécute Windows 10 1709 ou versions ultérieures, ou Windows Server 2019 ou versions ultérieures.
  • L'agent Windows 3.2 envoie à la console de gestion une liste des applications installées sur les terminaux de point de terminaison. Cette fonctionnalité permet aux administrateurs d'identifier les applications installées sur les terminaux de point de terminaison qui peuvent être une source de vulnérabilités, de hiérarchiser les actions contre les vulnérabilités et de les résoudre en conséquence. Les administrateurs peuvent afficher toutes les applications installées sur des points de terminaison enregistrés auprès du locataire et afficher la liste des applications installées sur des points de terminaison individuels. Cette fonctionnalité peut être activée à partir de la stratégie de terminal (paramètres de l'agent).

Améliorations de la protection de la mémoire
  • De nouvelles fonctionnalités ont été ajoutées aux types de violation, ce qui entraine la génération d'autres évènements.
  • Le type de violation « Injection via APC » est disponible dans les paramètres de protection de la mémoire d'une stratégie de terminal. Cette option permet à Aurora Protect Desktop de détecter un processus qui injecte du code arbitraire dans le processus cible à l'aide d'un appel de procédure asynchrone (APC). Pour plus d'informations, consultez l'article KB 42221135706139.
  • Le type de violation « Modifications des autorisations de mémoire dans les processus enfants » est disponible dans les paramètres de protection de la mémoire d'une stratégie de terminal. Cette option permet à Aurora Protect Desktop de détecter lorsqu'un processus en violation a créé un processus enfant et a modifié les autorisations d'accès à la mémoire dans celui-ci.
  • La convivialité des contrôles de protection de la mémoire a été améliorée.
  • Amélioration de la détection des violations de lecture LSASS pour les terminaux Windows.
  • La limite de taille des exclusions de protection de la mémoire est passée de 64 Ko à 2 Mo, ce qui vous permet d'ajouter d'autres exclusions.
  • Les exclusions relatives aux DLL d'applications tierces sont désormais prises en charge pour permettre l'exécution d'applications tierces avec Aurora Protect Desktop. Par exemple, si vous exécutez des produits de sécurité tiers outre CylancePROTECT, vous pouvez ajouter une exclusion aux fichiers .dll appropriés afin que CylancePROTECT ignore les violations spécifiques de ces produits. Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.1.1001 ou d'une version ultérieure de l'agent.
  • Le capteur de protection de la mémoire pour le type de violation Charge utile malveillante a été amélioré en vue d'optimiser la précision des rapports de violation et de réduire les alertes inutiles. Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.1.1001 ou d'une version ultérieure de l'agent.

Améliorations de la protection
  • L'agent Windows 3.1 permet aux administrateurs de définir un intervalle personnalisé pour l'exécution d'une analyse de détection des menaces en arrière-plan à partir de la stratégie de terminal (paramètres de protection). L'intervalle entre les analyses peut être compris entre 1 et 90 jours. L'intervalle entre les analyses par défaut est de 10 jours. Notez que l'augmentation de la fréquence des analyses peut avoir un impact sur les performances du terminal.
  • L'agent Windows 3.2 permet aux administrateurs de lancer une analyse de détection des menaces en arrière-plan à la demande à partir de la console de gestion. La commande peut être envoyée à partir de l'écran Détails du terminal pour un seul terminal ou à partir de l'écran Terminaux pour plusieurs terminaux à la fois.
  • La date de la dernière analyse de chaque terminal est consignée dans la console de gestion.

Améliorations du contrôle de script
  • Vous pouvez choisir si Aurora Protect Desktop active ou bloque les alertes Python (2.7, 3.0 à 3.8) et les scripts DLR .NET (par exemple, IronPython). Vous pouvez désactiver le contrôle de script pour ces types de script.
  • Les scripts VB intégrés qui ont provoqué des évènements de contrôle de script ont été bloqués dans la version 2.1.1580 de l'agent. La détection des violations de contrôle de script VB intégré a été désactivée dans l'agent 3.0.1000 et versions ultérieures.
  • L'agent Windows 3.1 fonctionne avec l'interface d'analyse de logiciel anti-programmes malveillants (AMSI) de Microsoft. Ainsi, lorsqu'une macro XLM potentiellement dangereuse est exécutée, les informations sur les menaces sont transmises à la console de gestion et l'agent répond à l'interface conformément aux règles de la stratégie de terminal pour les événements de contrôle de script. Par exemple, l'agent répond s'il faut autoriser ou bloquer l'exécution de la macro. Cette fonctionnalité est activée à partir du paramètre Contrôle des scripts > Macros XLM dans la stratégie de terminal et nécessite que le terminal exécute Windows 10. Veillez à désactiver les macros VBA dans le menu Excel Fichier > Centre de gestion de la confidentialité > Centre de gestion de la confidentialité Excel > Paramètres des macros.
  • L'agent Windows signale les processus parents et d'interpréteur à la console Cylance lorsqu'un script potentiellement malveillant est exécuté. Les administrateurs peuvent ajouter des exclusions au processus parent ou au processus d'interpréteur d'un script afin de permettre son exécution sur un terminal. Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.1.1001 de l'agent.
  • L'agent Windows 3.2 prend en charge le contrôle de script amélioré à l'aide de l'évaluation des scripts. Les scripts dont l'indice de menace est dangereux ou anormal peuvent être bloqués de manière intelligente et signalés sur la console de gestion. Les administrateurs peuvent configurer les paramètres de contrôle de script dans la stratégie de terminal pour bloquer les scripts que CylancePROTECT considère comme dangereux ou anormaux.
  • L'agent Windows 3.2 prend en charge le mode Alerte pour les scripts de console PowerShell, afin de signaler les événements détectés à la console de gestion tout en autorisant leur exécution. Les administrateurs peuvent contrôler le paramètre à partir de l'onglet Contrôle de script dans la stratégie de terminal à l'aide du menu déroulant de la console PowerShell.
  • L'agent Windows 3.3 permet aux administrateurs de contrôler séparément la manière dont les scripts plus volumineux (par exemple, les scripts PowerShell de plus de 5 Mo) sont signalés à la console Endpoint Defense lorsqu'une menace est détectée. Ce paramètre distinct permet aux administrateurs de se concentrer sur le réglage de la détection des scripts plus petits, plus susceptibles d'être malveillants que les scripts informatiques (généralement de plus grande taille), et permet à l'agent d'obtenir une posture de blocage optimale plus rapidement. Vous pouvez appliquer les paramètres de stratégie pour chaque type de script (ce qui inclut le blocage de l'exécution du script) afin que ces menaces soient gérées ensemble, quelle que soit la taille du script. Vous pouvez également les gérer séparément en envoyant uniquement des alertes à la console ou en ignorant les alertes pour les scripts volumineux.

Améliorations de la détection des macros
  • Dans les stratégies de terminal, la fonctionnalité de détection de macro pour les terminaux Windows a été déplacée de l'onglet Contrôle de script vers l'onglet Actions de mémoire (Exploitation > Macro VBA dangereuse) pour les terminaux exécutant l'agent Windows 2.1.158x ou version ultérieure. L'option de contrôle de script précédente de la version 2.1.1578 et des versions antérieures prend en charge les actions d'alerte et de blocage ; la nouvelle option de protection de la mémoire prend en charge les actions Ignorer, Alerter, Bloquer et Terminer.
  • Vous pouvez désormais ajouter des exclusions pour le type de violation de macro VBA dangereuse dans les paramètres de protection de la mémoire d'une stratégie de terminal.
  • Les fichiers entraînant des violations de la macro VBA dangereuse s'affichent dans la console de gestion, ce qui vous permet d'identifier les documents fautifs et de déterminer si vous devez les ajouter à la liste d'exclusion.

Améliorations du contrôle du terminal
Vous pouvez désormais autoriser l'accès en lecture seule aux types de périphériques USB suivants :
  • Image fixe
  • CD USB / DVD RW
  • Clé USB
  • Relais USB VMware
  • Périphérique portable Windows

Améliorations de la liste de sécurité mondiale

L'ajout d'un hachage SHA256 à la liste de sécurité globale pour les scripts masque désormais tous les évènements de bloc liés à ce hachage dans la console de gestion.

Modifications du journal

Les entrées de journal importantes ont été déplacées du niveau de journal Débogage au niveau de journal Informations.

Linux

Fonctionnalité

Description

Compatibilité du système d'exploitation
L'agent Linux 3.3.x prend en charge les distributions Linux suivantes :
  • AlmaLinux 9
  • AlmaLinux 8
  • Debian 12
  • Rocky Linux 9
  • Rocky Linux 8
  • Ubuntu 24.04
L'agent Linux 3.2.x prend en charge les distributions Linux suivantes :
  • Amazon Linux 2023
  • Amazon Linux 2, kernel 5.10
L'agent Linux 3.1.x prend en charge les distributions Linux suivantes :
  • Red Hat Enterprise Linux 9 et 9.1
  • Oracle 9 et 9.1
  • Oracle UEK 9 et 9.1
  • Oracle 8.7
  • Oracle UEK 8.7
  • SUSE Linux Enterprise Server (SLES) 15 SP4
  • Ubuntu 22.04 LTS
L'agent Linux 3.0.x prend en charge les distributions Linux suivantes :
  • Red Hat Enterprise Linux /CentOS 8.4
  • Red Hat Enterprise Linux 8.5
  • Oracle 8.4
  • SUSE (SLES) 12 SP5
  • SUSE (SLES) 15 SP2 et SP3

Pour plus d'informations, consultez la matrice de compatibilité de Aurora Protect Desktop. Pour afficher la liste complète des kernels et pilotes Linux pris en charge, téléchargez la référence Kernels Linux pris en charge.

Analyse de détection des menaces en arrière-plan à la demande

Les administrateurs peuvent désormais lancer une analyse de détection des menaces en arrière-plan à la demande à partir de la console de gestion. La commande peut être envoyée à partir de l'écran Détails du terminal pour un seul terminal ou à partir de l'écran Terminaux pour plusieurs terminaux à la fois.

Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.2 de l'agent Aurora Protect Desktop.

La date de la dernière analyse de chaque terminal est consignée dans la console de gestion.

Intervalle personnalisé pour l'analyse de détection des menaces en arrière-plan
  • Les administrateurs peuvent définir un intervalle personnalisé pour exécuter l'analyse de détection des menaces en arrière-plan à partir de la stratégie de terminal. L'intervalle entre les analyses peut être compris entre 1 et 90 jours. L'intervalle entre les analyses par défaut est de 10 jours.
  • Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.1 de l'agent Aurora Protect Desktop.
  • La date de la dernière analyse de chaque terminal est consignée dans la console de gestion.

Mise à jour automatique du pilote Linux
  • L'agent Aurora Protect Desktop 3.1.1000 pour les terminaux Linux peut désormais solliciter une mise à jour vers le dernier pilote d'agent pris en charge lorsqu'un kernel mis à jour est détecté sur le système. Par exemple, si le kernel Linux est mis à jour et que le pilote de l'agent actuellement installé ne le prend pas en charge, l'agent peut dorénavant mettre à jour automatiquement le pilote dès qu'un pilote compatible est disponible.
  • Pour utiliser cette fonctionnalité, vous devez disposer de l'agent Aurora Protect Desktop 3.1.1000 et de la version 3.1.1000 ou ultérieure du pilote de l'agent.
  • Pour activer cette fonctionnalité, sélectionnez l'option de mise à jour automatique du pilote Linux dans la règle de mise à jour basée sur la zone dans le menu Paramètres > Mettre à jour de la console de gestion.

Améliorations de la protection de la mémoire
  • De nouvelles fonctionnalités ont été ajoutées aux types de violation, ce qui entraine la génération d'autres évènements.
  • La convivialité des contrôles de protection de la mémoire a été améliorée.
  • La limite de taille des exclusions de protection de la mémoire est passée de 64 Ko à 2 Mo, ce qui vous permet d'ajouter d'autres exclusions.

macOS

Fonctionnalité

Description

Compatibilité du système d'exploitation
  • L'agent Aurora Protect Desktop 3.2.x ajoute la prise en charge de macOS 14 (Sonoma).
  • L'agent Aurora Protect Desktop 3.1.x ajoute la prise en charge de macOS 13 (Ventura).
  • L'agent Aurora Protect Desktop 3.0.x ajoute la prise en charge de macOS 12 (Monterey).

Contrôle du terminal USB

L'agent Aurora Protect Desktop pour macOS 3.3 prend en charge la fonction de contrôle de terminal USB, qui permet aux administrateurs de contrôler s'ils autorisent ou bloquent l'accès aux terminaux de stockage de masse USB. Les administrateurs peuvent activer le contrôle des terminaux macOS à partir de la stratégie de terminal pour les terminaux de stockage classés comme lecteurs optiques USB ou lecteurs de stockage USB (tels que les disques durs ou les lecteurs flash).

Analyse de détection des menaces en arrière-plan à la demande

Les administrateurs peuvent désormais lancer une analyse de détection des menaces en arrière-plan à la demande à partir de la console de gestion. La commande peut être envoyée à partir de l'écran Détails du terminal pour un seul terminal ou à partir de l'écran Terminaux pour plusieurs terminaux à la fois. Pour utiliser cette fonctionnalité, vous devez disposer de la version 3.2 de l'agent Aurora Protect Desktop.

La date de la dernière analyse de chaque terminal est consignée dans la console de gestion.

Intervalle personnalisé pour l'analyse de détection des menaces en arrière-plan
  • Les administrateurs peuvent définir un intervalle personnalisé pour exécuter l'analyse de détection des menaces en arrière-plan à partir de la stratégie de terminal. L'intervalle entre les analyses peut être compris entre 1 et 90 jours. L'intervalle entre les analyses par défaut est de 10 jours.
  • La date de la dernière analyse de chaque terminal est consignée dans la console de gestion.

Améliorations de la protection de la mémoire
  • De nouvelles fonctionnalités ont été ajoutées aux types de violation, ce qui entraine la génération d'autres évènements.
  • La convivialité des contrôles de protection de la mémoire a été améliorée.
  • La limite de taille des exclusions de protection de la mémoire est passée de 64 Ko à 2 Mo, ce qui vous permet d'ajouter d'autres exclusions.

Pour plus d'informations sur les fonctionnalités supplémentaires des derniers agents 3.x, ainsi qu'une liste complète des problèmes résolus, consultez les Notes de mise à jour de Aurora Protect Desktop.

Pour bénéficier de ces améliorations et des améliorations à venir dans les futures versions de Aurora Protect Desktop, Arctic Wolf recommande vivement de mettre à niveau tous les terminaux avec l'agent 2.x.158x ou une version antérieure vers la dernière version de l'agent 3.x. Ce guide traite des considérations et des instructions supplémentaires pour une mise à niveau réussie.