本帖最后由 驭龙 于 2025-7-19 00:08 编辑
本帖的内容将多次更新,首先说几个大家比较关心的问题,其他内容会明明更新,不废话,上干货吧。
第一章:重点变化
界面没什么好说的,就是这个东西,只能说是比MDE那种没有UI的EDR好一点点。
核心好话题是,SEP 16也就是ESA 2.5是全新的Symantec技术大更新,软件架构重新编译的
ESA 2.5架构。
CC也就是ccSvcHst核心架构都变成18.0了,这可是Symantec技术体系架构的核心呢。
除了SDS引擎和IPS引擎是小幅的0.X更新,大部分组件都是变化巨大,让我惊喜万分的是十多年没有更新的SONAR架构也就是BASH架构,版本终于从十几年不变的12.x系更新到全新的13.0版本,功能强度如何?我过几天测试。
ESA架构是极其精简的软件平台架构,本身没什么功能,但它是加载各种Symantec服务的核心,打个比方,ESA架构就是个没装修的毛坯房,里面空荡荡的什么都没有,可一旦装修完成,接入Symantec的服务,ESA获得对应功能的模块,就可以说是无所不能的精装修房了,什么功能都有,大家这样是不是就很好理解ESA架构了。
ESA各种功能组件和引擎与特征库,都是ESA毛坯房的装修材料。
这样说吧,ESA有无限可能,只要博通想,那什么安全功能都可以被推送到ESA架构上加载,也就是未来更新功能极其方便,所以我说以后不会有SEP 16.X版本的原因之一,而且官方也说ESA的服务提供者SESC是月度更新模式,换句话说,ESA以后月月都可能像MD那样有月月更的更新节奏了。
比较遗憾的是现在的ESA是SESC版本,所以基本上本地没有功能设置选项,都是强制接收SESC云控制台的策略,就算本地开放一点功能开关,但云控制台是可以强制覆盖的。
看看ESA的功能引擎和特征库模块足足有49个,当然其中有历史遗留的空文件夹如:VirusDefs,不过实实在在有功能的还是有四十多个的,这就是ESA架构的强大,把之前SEP 14.X的各种功能拆分成模块化,成为ESA的功能组件,其中大部分模块都是有更新的。
- 已安装的功能
- AGENT_FRAMEWORK
- EXPLOIT_PROTECTION
- DISCOVERY
- TELEMETRY
- TAMPER_PROTECTION
- CUSTOM_APPLICATION_BEHAVIORS
- BEHAVIORAL_ANALYSIS
- BROWSER_PROTECTION
- DETECTION_RESPONSE
- DEVICE_CONTROL
- FIREWALL
- ADAPTIVE_ISOLATION
- APP_CONTROL_WHITELIST
- COMPLIANCE
- MALWARE_PROTECTION
- NETWORK_IPS
- EXCEPTION
- PUBLIC_OPSTATE
- 引擎
- AMSI Provider,17.1.0.80
- Active Directory Protection Service,1.5.0.164
- Agent Framework Service,1.5.0.309
- Agent User Interface,2.5.0.235
- App Discovery,1.5.0.252
- Attack Surface Reduction,1.2.0.225
- Auto-Protect,17.1.0.111
- Auto-Protect Kernel Driver,17.1.0.99
- Auto-Protect User Mode Interface,17.1.0.111
- AutoProtect Service,3.5.0.209
- Behavioral Analysis,1.5.0.140
- Behavioral Analysis Service,1.5.0.156
- Browser Protection,1.5.0.124
- Browser Protection Service,2.3.0.490
- Commands Manager,1.5.0.65
- Custom Application Behavior,1.5.0.99
- Custom Application Behavior Service,1.5.0.165
- Data Submission Service,1.5.0.105
- Detection Response,1.5.0.103
- Detection Response Service,1.5.0.140
- Device Control,1.5.0.143
- Device Control Service,1.5.0.52
- Device Discovery,1.0.0.354
- Endpoint Security Agent Framework,2.5.0.128
- Endpoint Security Agent Installer,2.5.0.186
- Endpoint Security Agent Platform,2.5.0.363
- Eraser Engine,119.2.0.27
- Exception Management Service,1.5.0.90
- Exceptions,2.5.0.61
- Exploit Protection,1.5.0.86
- File Signature,2.2.0.24
- File Traversal Engine,1.4.0.129
- Firewall,1.5.0.221
- Host Integrity,1.5.0.450
- Location Sensor,1.5.0.85
- MS Light Library,17.0.0.91
- Malware Protection,1.5.0.427
- Network IPS,1.5.0.118
- Network IPS Service,1.5.0.82
- Policy Arbitrator,1.5.0.151
- Public Opstate,1.5.0.37
- Quarantine Service,1.3.0.66
- Remediation Service,1.5.0.140
- SDS Engine,1.23.0.230
- SEP Common Service,1.5.0.90
- SEP Feature Manager,1.5.0.294
- Scripting Service,1.5.0.311
- Static Scanner Service,1.5.0.264
- Sylog Service,1.5.0.82
- SymDiag,1.5.0.190
- SymEFA Service,2.2.0.102
- SymELAM Service,1.4.0.157
- SymEvent,1.4.0.436
- SymNetDrv Service,1.5.0.49
- SymScan Engine,17.0.0.91
- Symantec Enterprise Console Connector,1.5.0.235
- Tamper Protection,1.4.0.276
- Teefer Service,1.5.0.51
- Telemetry,1.2.0.107
- WSC Service,1.5.0.101
- WebPulse Service,1.5.0.77
- aexp2p,2.5.0.3
- bash,13.0.0.452
- cids,17.4.0
- sea_miniwipe,1.5.0.41
- sea_service_symevent,1.4.0.436
- sea_service_telemetry,1.3.0.58
- stic,5.2.0.118
- symefa,7.6.0.73
- symtypes_translator,2.5.0.143
- web_extensions,1.4.3.4
- webextbridge,2.3.0.570
- 内容
- AP Portal Settings,20250520.001
- Active Directory Protection Service,20250424.004
- Agent Common Service,20250520.001
- Agent User Interface,20250425.004
- App Discovery,20250520.001
- Attack Surface Reduction,20250520.001
- Behavioral Analysis,20250520.001
- Behavioral Analysis Content,20250528.007
- Behavioral Analysis Service,20250425.002
- Browser Protection,20250520.001
- Browser Protection Content,20250528.011
- Centralized Reputation Settings,20250425.002
- Custom Application Behavior and Device Control,20250520.002
- Detection Response,20250425.005
- Detection Response Service,20250520.001
- Device Discovery,20250424.002
- Endpoint Security Agent Core Content,20250520.001
- Endpoint Security Agent Core Engines,20250520.002
- Endpoint Security Agent Core Installer,Pending Download
- Exploit Protection,20250424.002
- File Signature,20250424.003
- File Signature Content,20250502.003
- Firewall,20250520.001
- Host Integrity,20250424.004
- Host Integrity Content,20250424.003
- Malware Protection,20250520.001
- Malware Protection Service,20250520.002
- Network IPS,20250424.003
- Network IPS Content,20250528.002
- Network IPS Service,20250424.005
- Remediation Service,20250424.005
- Revocation Data,20250529.009
- SEP Common Service,20250520.002
- SEP Shared Services,20250520.002
- Scripting Service,20250520.001
- SymDiag,20250425.002
- SymEFA Service,20250520.001
- SymELAM Service,20250424.004
- SymEvent,20250424.006
- SymNetDrv Service,20250424.003
- Symantec Allow List,20250527.004
- Symantec Shared Services,20250520.001
- Virus & Spyware SDS,20250528.024
- WSC Service,20250520.001
- WebPulse Service,20250424.005
更让我惊讶的是遥测到的内容信息发送到云也是有日志透明化记录的,之前很少有把遥测内容也进行透明化记录的,这真的是让我非常意外。
ESA上还提供各种日志,不单单有遥测日志。
进程日志是可以看到各种软件行为的检测和监控日志的,云端可以设置为阻止行为。
还有策略和引擎以及内容(特征库)的详细信息,就是上面导出的信息
但防火墙方面比较遗憾的是客户端上没有什么设置内容,只有控制台上能设置规则,如果是传统SEP的话,可能是受到SEPM 16的管理了,具体情况,只能等SEPM的ESA发布了。
值得关注的是ESA进程比SEP 14.X多好几个,这也是模块化的原因,但好像资源占用也比以前大一些,希望以后能进一步优化吧。
有趣的是我虚拟机中的Win10安全中心虽然识别了ESA,但是还是发出ESA没有工作的警报,可能是更新没有重启吧,一会重启一下。
后续的ESA精彩内容,我会分批更新,请大家耐心等待一下,一次更新太累了。
=======================================================
第二章:全新刀片架构
在第一章中,我已经简单的说了,ESA是SEP的全新架构升级版,而这种架构被博通称呼为:Blade,这个单词可以翻译为刀锋或者刀片,而按照ESA Blade架构的特性,称呼为刀片架构比较合适,虽然刀锋听上去更酷,刀片架构有一点类似于刀片式服务器,可以自由接入各种刀片服务器,组成各种功能的服务器群,或者说是超大型超级计算机,所以我称Blade为刀片架构。
说实在的,自从隔壁ESET V10的dll模块化架构以后,很少有安全软件的架构让我心潮澎湃,虽然McAfee的新个人版和avira的EPP都是全新架构,我也非常看好,但是McAfee个人版架构把监控砍的所剩无几,avira监控跟云没有联动,而且avira epp架构四五年依旧不稳定,这里就不说其他产品了。
而这次ESA的刀片架构真的是让我非常兴奋了,真的是集各家所长,真真正正的优势架构集合体,或许有人认为我在吹ESA,那请先不要喷,先把帖子看完再喷也不迟。
众所周知,软件平台的程序越大,代码越多,稳定性越差,所以精简软件平台是十分重要的,比如说ESET的软件平台和MD的软件平台,ESET的程序文件夹不足百兆,MD的不足五十几兆,他们的功能是通过引擎模块和功能组件完成的,ESET有几十个组件引擎,负责不同的功能,在关于中可以看到这些功能模块引擎的信息。
MD 4.18.25050包含X86组件的X64程序平台大小
ESET 18.2.0.7核心架构的程序平台大小
ESA 2.5的Blade架构,软件平台才二十多MB,这与之前SEP 14.3 RU10的接近140MB大小的架构相比,真的是苗条啊,那这么小的软件平台真的能提供SEP完整的功能吗?就这么点文件能干什么呢?
ESA程序平台大小
SEP 14.X系程序平台大小
在第一章的时候,我已经说了ESA是个没装修的毛坯房,它只是用来装东西的架构,而传统SEP平台的很多功能都被Blade化,迁移到特征定义体系中,ESA 2.5只不过是个加载器,负责把各种Blade化的功能组件加载起来。
在第一章中提到过ESA特征库体系有四十几个功能组件和引擎,在去除特征库和BASH以及IPS与SDS等引擎和特征库以后,大概有36个组件是负责为ESA提供SEP功能的组件,其中很多直接有标注Blade名词,这就是刀片架构的强大,这一百几十MB的功能组件模块,是不是不比传统SEP 14.X软件平台小了?所以在功能上ESA并没有删减太多东西,反而是很多组件都重写或者大版本更新了。
Blade系列组件文件夹大小
其中除了IPS和Eraser引擎、SDS引擎等一些识别威胁的组件是小版本更新之外(因为这些引擎是持续更新的,并不是不更新),大部分功能组件都是重写或者大更新的。
最为耀眼的大版本更新是CC架构,也就是ccSvcHst组件从17.3.X系更新到18.0版本,以及AutoProtect组件从16.X更新到17.X版本,要知道曾经巅峰的NS 22.8还是AP 15.X系,所以这次的自动保护AP架构是大更新,在我的体验来看,样本不管是什么格式,写入硬盘就逃不过AP检测,手动右键扫描完全是多此一举的事情,如果AP不报,你扫描也没有用。
ESA 2.5的AP 17.1
SEP 14.3 RU10的AP 16.1
要知道AP组件可是Symantec引以为傲的技术啊,直到现在也没人超越过十多年前的AP 15.X版本,能超越AP 15系的应该只有AP后续版本了,说真的,其他产品除了dr.web的监控很强以外,以及卡巴和BD的监控不弱,大部分安全软件的实时监控都跟AP技术没法比,这里就不点名批评某监控漏毒的大户了。
今天就先更新到这里吧,明天继续更新第三章,ESA驱动架构,实际上还是架构更新篇章的内容,只是今天没写完,所以明天继续。
===================================================
第三章:驱动架构更新
迟到的第三章:驱动更新,上半部来了,但上半部分只是简单的ESA 2.5驱动与SEP 14.3 RU10版本号对比,关于内部功能变化,我还没有开始研究,后续或许会有驱动更新的下半部分内容更新,当然也可能没有后续的下半部分内容,因为我很菜,涉及到驱动内部代码流程和运作机制方面的编程内容,我是不懂的,所以有可能因为我不敢乱猜,就导致没有驱动架构更新的下半部分内容解读,还望见谅。
首先,我们来看看ESA 2.5都加载了哪些驱动,这里看到加载了十三个驱动程序,嗯,赛门铁克的驱动体系还是一如既往的让人感到安心啊,这驱动还有谁能比?也就是卡巴和BD了,但是他们与Symantec的驱动体系不一样,不能直接用数量和文件体积来对比。
但是,驱动程序的多少和文件大小就决定了代码量和功能的多少,换句话说驱动小巧玲珑的话,代码少得可怜,调用的API接口函数也不可能太多,没有多少内核函数的话,监控的拦截点和监控点肯定是不足的,所以驱动体积大不一定监控强大,但驱动体积小,监控就绝不可能强大。
ESA 2.5当前加载的驱动截图。
这里就不提SDS引擎中的eeCtrl64和eraser64(ERASER引擎体系,它是随SDS引擎和特征库一起更新的),还有就是IPS驱动,版本从17.3.X更新到17.4.x的IDSviA64驱动,因此就不多废话了,他们是可以在日常更新中更新版本。
这次ESA的网络安全驱动,也就是负责网络层监控的核心驱动之一SymNets.sys版本是从17.2更新到17.3了,算得上是小幅更新
图左为ESA驱动,图右是SEP驱动,后续都是这种排列
在SESC控制台的策略组中,取消了计算机启动时加载自动防护选项,默认强制执行,而ESA的ELAM也就是早期启动反恶意软件驱动Early Launch Antimalware (ELAM) drivers 也是有小幅更新的,版本号是2.5更新到2.6了,这东西变化不大,基本上现代安全软件都有使用这种技术
ELAM驱动对比
这里来波大的,在SEP中的事件引擎SymEvent,直接在ESA改名为SE了,版本号从1.12.X变成1.4.X版本,这算得上是驱动架构中更新比较大的一个,而且文件大小变化也不小,如果有可能,我会进一步说说它的变化,但这里就先不提了。
SE与SymEvent更新对比
接下来是Symantec的特色驱动之一Iron引擎驱动,它的更新不算大,但也有更新,Ironx64从9.2.5.X更新到9.5.X了,不过更新的应该不算太大。
Iron驱动引擎对比
虽然说ESA防火墙在Client上的设置没了(后续会有SEPM版自管的SEP 16),但是,CMC防火墙的技术还在,其中防火墙的设备控制驱动sydvctrl,直接改换门庭从SEP 14.X版本号变成ESA的版本号1.5内核。
CMC防火墙设备控制驱动对比
原本隶属于CMC防火墙功能体系的应用程序控制驱动,sysplant独立成为Symantec 应用程序控制驱动,但版本号的变化让人看不懂,从14.3系变成16.5系,而不是像其他驱动那样同步到ESA架构的版本号,挺奇怪的。
sysplant应用程序控制驱动对比
而CMC防火墙的核心驱动teefer三代,就把版本号同步到ESA内核1.5架构(ESA软件版本是2.5,但刀片架构的很多模块是1.5体系)
teefer3基本上就是换版本号,没啥太大变化。
CMC防火墙teefer3驱动对比
我觉得ESA最大的驱动更新还是Symantec AutoProtect驱动srtsp64从16.1更新到17.1,这可是Symantec安全技术的核心啊,引以为傲的自动防护,最强的实时监控技术,这次居然是大版本更新,应该是有不小的变化。
AutoProtect驱动的更新对比
吐槽一句,诺顿V22.XX版本,自从与Symantec分家以后,AutoProtect驱动就一直在15.9.X打转转,好多年都没有更新到16的AP时代,但监控强度依然在线,那如今更强大的AP 17时代来了,ESA的监控强度就不需要我多废话了吧?
除了AP大更新以外,Symantec的架构核心CC体系也大更新了,这个在前面的章节中已经提到过了,而CC的驱动也自然是更新到18.0的全新刀片架构时代了,这是Symantec Security Technology的核心驱动ccSetx64,这是个大更,不是吗?
CC架构驱动对比
Symantec还有一个核心驱动,这个驱动有1~2MB的大小,他就是EFA驱动(Symantec Extended File Attributes)SymEFASI64,不过我没有安装SEP 14.3 RU10,因此找不到这个EFA驱动,我只知道它从7.5系升级到7.6系了,这EFA驱动可是Symantec安全技术的精髓之一哦。
ESA上的EFA驱动是7.6系
今天就简单的看看驱动版本号吧,我自己也觉得有一点水,没有啥技术含量,不过也算得上是简单介绍了ESA与传统SEP的区别了,可以让饭友们知道,ESA更新的可不单单是一个简单的UI。
=================================================
第四章:开启双核时代
前几天我感冒了,虽然不严重,但是有一点懒,就没有更新帖子,可感冒好了以后又有一点其他事情,所以这些天就一直没更新,不过,并不是放弃更新了,本帖不一定天天更新,但我有时间就会更新一下,今天就先不谈Blade架构的事情,而是说一说一个比较有趣的情况,虽然不是SEP 16的特色功能,之前在SEP 14.3 RU7就已经有了。
这个功能就是使 Symantec Agent 与 Windows Defender 共存,没错,顾名思义,就是让SEP与系统上的MD同时启用,官方的原文描述为:
使 Symantec Agent 与 Windows Defender 共存
从SEP版本 14.3 RU7 开始受支持。
启用该选项,可允许在运行“自动防护”之前运行 Windows Defender。默认情况下会关闭此选项。
如果启用此选项,将延迟“自动防护”检测。如果已在设备上禁用 Windows Defender,请禁用该选项。
是不是意味着SEP和MD可以和平共处的同时开启防护,让我们用户获得加倍的双核防护呢?
官方描述有一点模糊,上面只是说自动防护会推迟检测,并没有说是不是真的与MD同时开启防护功能,获得双重监控的保护。
所以废话不多说,我们还是来实际测试一下吧,首先在SESC云控制台策略中的反恶意软件策略 - 高级设置→开启与MD共存(显示是WD)模式。
应用策略以后,在客户端上获取最新的控制台策略,SEP 16和MD的实时监控功能显示都是开启状态,在安全中心里,SEP自己报告为关闭,实际上没有关闭,只是为了让MD启用。
虽然说UI上显示两款产品的实时监控是开启状态,但是否真的正常工作?为此,我测试了一些样本,好家伙,果然还是SEP牛啊,先人一步,把样本复制到自己的实时监控系统分析路径中分析文件,然后MD傻乎乎的报告SEP自动防护的文件隔离区位置中有威胁(SEP分析的隔离区缓存文件)。
虽然说MD没SEP 16优先级高,但它的实时监控确实是正常工作的,包括SEP的其他功能也正常工作,也就是说二者真的和平共处,算得上是实实在在的真双核加倍监控了。
不过,有时候MD是先于SEP阻止文件运行的,看这个样本,系统提示框显示说文件是病毒,这就是MD阻止文件了,因为SEP阻止文件,系统提示不会显示说有病毒,而是无法访问文件。
SEP阻止的文件,系统提示框就不会显示说文件是病毒。
由此可见,加倍的双核防护是真的有互补效果,是实实在在的双重实时监控保护,而且测试期间,并没有出现系统崩溃等不稳定情况,只是双核的实时监控比较吃硬盘速度,所以如果是机械硬盘的电脑会有明显的卡顿,当然不是一直卡,而是MD或者SEP更新特征库的时候会卡,平时卡的不是很严重。
当然,双核加倍的实时监控双开,肯定是比单开要卡的,而且MD自身的性能就不咋地,如果想体验双核防护,一定要有心理准备,卡是肯定比单开卡的,不过也就是跟重武器的产品差不多,也不是不能用。
好了,本次更新就到这里了,下期的内容可能是简单说说Blade架构的进程和加载,让大家发现ESA的Blade架构,也就是全新的CC 18.0架构与之前有什么不同了。
=================================================
第五章:新功能,文件夹控制
原本应该在月初更新的ESA 2.0.9昨天才姗姗来迟的被推出,不过我ESA客户端没收到更新,而云端控制台上已更新了新的功能。
官方更新日志如下:
Endpoint Security Agent - SEP 16
The latest Symantec Endpoint Protection client (SEP 16) is now GA. This is the first agent based on the new Endpoint Security Agent (ESA) - a consolidated agent architecture.
Improvements include ease of deployment, improved performance, and a simplified agent UI experience.
Management and Usability
The cloud console policy and configuration options are updated to support SEP 16. Learn More
The Limited Administrator, Security Analyst, Viewer, Support Engineer, and custom roles now have default read-only access to Device Discovery and the Unmanaged Devices page.
The Cloud Platforms integration on the Integrations page is deprecated. For more information, see this KB.
The Suspicious Threat Detected alert rule now includes browser protection events from devices that run SEP 16.
Prevention and Detection
You can now view and investigate all incidents that a file was involved in from the Discovered Items > Files > file details panel > Incidents.
Policy Changes
The Custom Application Behavior (CAB) policy now includes a lock/unlock option for devices that run SEP 16.
The System policy > HTTP or HTTPS Proxy Configuration settings now always require a password when you specify Authentication Required.
版本号是
内部版本: 2.0.9.122.6
在自适应防护中,出现了不受信任程序,对特定文件夹的保护功能,也就是类似于其他家的文件夹控制,这是个防勒索加密的功能吧。
设置如图
默认保护的文件夹是这些位置的文件夹路径
其他的变化就是修修补补了,我今天没开虚拟机,等我虚拟机客户端更新版本以后,我在跟大家分享更多的变化。
内容持续更新中,先把帖子发出来吧,图稍后更新
|
[复制链接]
发表于 2025-5-29 17:29:43
楼主
