symantec合作伙伴培訓(xùn)2015-1v2.0

依舊是全球最大的公司APRIL

1982

/

FOUNDED#1

SECURITY

COMPANY

IN

THE

WORLD

378

/FORTUNE

500

9,800

/

EMPLOYEES

WORLDWIDE2,700

/

GLOBAL

PATENTSLARGEST

CIVILIAN

IN

LIGENCE

NETWORKGLOBAL

HEADQUARTERS

/

MOUNTAIN

VIEW,

CA2EnterpriseSecurityMessageMgmt

&

ArchivingAvailability

&CompliancePC

DesktopProtectionPC

Desktop

StorageEnterpriseSecurity

&

Application

MgmtEnd

PointCompliance

&Denter

MgmtGlobalIn

ligence

&

Managed

ServicesEncryption,

Authentication&

Data

ProtectionLifecycle

Management

DLPVirtualization

SaaSArchivingMobileManagementIdentity

ManagementMobile

Data

ProtectionUnifiedSecurity1990’s

2000

2002

2003

2004

2005

2006/72008/92010

2012

2013

2014過往多年企業(yè)收購歷史Copyright

?

2015

Symantec

Corporation3過往多年企業(yè)收購歷史Copyright

?

2015

Symantec

Corporation4過往多年企業(yè)收購歷史Cyber

Security

ServicesThreat

ProtectionUnified

Securityytics

PlatformInformation

ProtectionCopyright

?

2015

Symantec

Corporation5啟動(dòng)全新的企業(yè)Cyber

Security

ServicesMonitoring

,

Incident

Response,

Simulation,

Adversary

Threat

In

ligenceAdvanced

Threat

Protectionacross

all

Control

PointsIntegrated

Forensicsand

Remediation

within

each

Control

PointProtectionof

On

Premise,

Virtual,

and

Cloud

Server

WorkloadsCloud-based

Management

for

Endpoints,

D

enter,

and

GatewaysUnified

SecurityBig

data

security ytics;

available

to

customersin

self-service

modeemetry

andLogCollectionandManagementUnified

IncidentManagementand

CustomerHubInline

Integrationwith

Detection

andProtection

EnginesGlobalThreatIn

ligenceAdvanced

Threatand

BehavioralyticsThreat

Protection

Information

ProtectionENDPOINTS

D

ENTER

GATEWAYS

DATA

ACCESSIntegrated

Data

and

Identity

ProtectionCloud

Security

Broker

for

Cloud

and

Mobile

AppsCloud-based

Key

ManagementCloud- ,

Mobile-

ArchitectureUsersDataAppsCloudDevicesNetworkDenterCopyright

?

2015

Symantec

Corporation6Symantec合作伙伴培訓(xùn)2015-1

v2.0.2Presenter’s

Title

Here培訓(xùn)日程Copyright

?

2015

Symantec

Corporation81Symantec企業(yè)2Symantec

Endpoint

Protection終端安全3Symantec

D enter

Security數(shù)據(jù)中心安全4Symantec

Advanced

Threat

Protection

高級

保護(hù)Symantec企業(yè)9當(dāng)前企業(yè)安全環(huán)境者的變化更加迅速數(shù)字 在上升更智能零日安全不同類型的結(jié)構(gòu)都在5

of

6

largecompaniesattacked317M

newmalwarecreated1M

newthreatsdaily60%

ofattacksed

SMEs113%increase

inransomware45X

moredevicesheldhostage28%

of

malwarewas

VirtualMachine

AwareTop

5unpatched

for295

days2424all-timehighHealthcare+

37%Retail+11%Education+10%ernment+8%Financial+6%Source:

Symantec

Internet

Security

Threat

Report

2015ISTR互聯(lián)網(wǎng)安全

報(bào)告中文報(bào)告

：hs/1sjOGyULCopyright

?

2015

SymantecCorporation10重要的趨勢變化在重塑企業(yè)安全市場終端安全市場的再次復(fù)興Rapid

shift

to

mobile

andIoT逐漸消亡的企業(yè)邊界Decreasinglyrelevant

with

“fuzzy”

perimeter云服務(wù)被越來越多的采用Enterprise

data

and

applications

moving

to

cloud服務(wù)開始取代傳統(tǒng)的“盒子”Security

as

a

Service;

box

fatigue網(wǎng)絡(luò)ernments

and

regulators

playing

ever

larger

role11Copyright

?

2015

SymantecCorporationSymantec

企業(yè)安全|

技術(shù)被廣泛認(rèn)可#1

share;AAA

ratingninequarters

in

a

row終端安全#1

share;

100%

uptime

with<0.0003%

FPs

5

years

in

a

row郵件安全#1

DLP

share;100%

of

Fortune

100數(shù)據(jù)保護(hù)#1share6Blookups/day服務(wù)13B

validations

everyday100%

uptime

last

5

years與認(rèn)證管理安全服務(wù)12

Yrs

Gartner

MQ

leader30B

logsyzed/dayCopyright

?

2015

SymantecCorporation12Symantec

企業(yè)安全|

獨(dú)一無二的視野5千7百萬傳感器部署在157

國家與地區(qū)1.75億終端1.82億

web

每年被3.7萬億行的安全元數(shù)據(jù)100Billionmore/month9響應(yīng)中心500+rapid

security

responseteam30%全球企業(yè)的相互通信郵件被

掃描1.8BillionwebrequestsCopyright

?

2015

SymantecCorporation13Symantec

企業(yè)安全|

解決方案防護(hù)解決方案ENDPOINTS

D

ENTER

GATEWAYSAdvanced

Threat

Protection

Across

All

Control

PointsBuilt-In

Forensicsand

Remediation

Within

Each

Control

PointIntegrated

Protection

of

Server

Workloads:

On-Premise,

Virtual,

and

CloudCloud-based

Management

for

Endpoints,

D

enter,

and

Gateways的安全分析平臺(tái)Log

andemetryCollectionUnified

IncidentManagement

andCustomer

HubInline

Integrationsfor

Closed-loopActionable

In

ligenceRegional

andIndustryBen

arkingIntegrated

ThreatandBehavioralysis信息防護(hù)解決方案DATA

IDENTITIESIntegrated

Data

and

Identity

ProtectionCloud

Security

Broker

for

Cloud

and

Mobile

AppsUser

andBehavioral

yticsCloud-based

Encryption

and

Key

ManagementUsersDataAppsCloudEndpointsGatewaysData

Center計(jì)算機(jī)相關(guān)安全服務(wù)Monitoring,

Incident

Response,

Simulation,

Adversary

Threat

InligenceCopyright

?

2015

SymantecCorporation14Cyber

Security

ServicesUnified

Securityytics

PlatformInformation

ProtectionDATA

IDENTITIESThreat

ProtectionENDPOINTS

D ENTER

GATEWAYS防護(hù)Copyright

?

2015

SymantecCorporation15即使使用最好的防護(hù)技術(shù)，仍然不能

所有StopingAttacksUnderstandingWhere

ImportantData

Is

&

Who

CanAccess

It準(zhǔn)備

防護(hù)

檢測Finding

Incursions響應(yīng)Containing

&RemediatingProblems恢復(fù)RestoringOperations安全防護(hù)技術(shù)依舊很重要……但用戶還需要做好被 的準(zhǔn)備Copyright

?

2015

SymantecCorporation16防護(hù)需求

|

更完整的管理生命周期17Source:

Gartner預(yù)防、Proactive

riskysisPredict

attacksBaseline

systemsPrevent

issuesDivert

attackersHarden

and

isolate

systemsContain

issuesConfirm

and

prioritize

riskDetect

issuesRemediate/

Make

changeDesign/

Model

change響應(yīng)、、防護(hù)檢測、Investigate/

ForensicsAdvanced

ThreatProtectionCopyright

?

2015

Symantec

CorporationSymantec

防護(hù)|技術(shù)發(fā)展所有安全控制點(diǎn)中集成ATP高級

防護(hù)在所有控制點(diǎn)中內(nèi)置取證與修復(fù)功能在本地、虛擬化和云環(huán)境中的數(shù)據(jù)中心上實(shí)現(xiàn)服務(wù)器負(fù)載防護(hù)提供終端、數(shù)據(jù)中心及網(wǎng)關(guān)的云端管理功能集成，包括網(wǎng)關(guān)自身部署在云端將移動(dòng)設(shè)備、PC

&MAC的終端安全、終端管理、終端加密及高級防護(hù)集成AdvancedThreatProtectionNetwork/GatewaysDataCenterEndpointsCopyright

?

2015

SymantecCorporation18保護(hù)引擎檢測引擎Symantec防護(hù)|

創(chuàng)新且被證明的技術(shù)信譽(yù)檢查InsightDetermines

the

safety

of

files

&

websites

usingthe

“wisdom

of

thecrowd”ysis,heuristics,

and

link

followingto

find edthreats分析SkepticUses

predictive高級

檢查for

malware

ysisCynicCloud

based

sandboxingand

detonation

engine事件關(guān)聯(lián)分析SynapseCorrelates

securityevents

across

thecontrol

pointsPEPBlocks

exploits

ofknown

&unknownvulnerabilities行為分析SONARFinely

tuned

and

highlyperformant

engine

thatenables

flightrecorder-likesystem

monitoringCopyright

?

2015

SymantecCorporation19Symantec防護(hù)|

關(guān)鍵信息匯總高級

防護(hù)Global

In

ligenceExported

DataCloud

SandboxAdvanced

Threat

ProtectionCorrelation

PrioritizationEndpointNetwork3rd

partyofferings取證與修復(fù)技術(shù)Endpoint

Protection

(SEP)FlightRecorderIoC Repair

andSearch

RemediationProactiveExploit

ProtectionGlobal

In

ligenceed

Attack

Visualization服務(wù)器工作負(fù)載保護(hù)D enter

Security

(DCS)File

IntegrityMonitoringApplication Control

&Hardening

ComplianceCopyright

?

2015

SymantecCorporation20Symantec

Endpoint

Protection終端安全Latest

Available

Version:

12.1.6

MP1aSEP最好的企業(yè)終端安全網(wǎng)絡(luò)保護(hù)Blocks

malwarebefore

it

spreadstoyour

machineand

controlstraffic高級

代碼掃描Blocks

suspiciousfiles

–

even

thosewith

no

fingerprint–

before

theycan

run

and

stealyour

dataInsight文件信譽(yù)Safety

ratings

forevery

singlesoftware

file

onthe

planet,

anduses

this

to

blocked

attacksSONAR行為控制Blocks

softwarewith

suspiciousbehaviors

tostopadvanced

threats強(qiáng)力修復(fù)工具Aggressive

SMRtechnology

rootsoutentrenchedinfections

and

killsthem

in

secondsCopyright

?

2015

SymantecCorporation22Symantec

─文件信譽(yù)一種

性的基礎(chǔ)技術(shù)，基于Symantec全球1.75億個(gè)終端的安全評級信息（信譽(yù)）提供對新

的預(yù)先保護(hù)。Insight技術(shù)集成在SEP12.1中，通過文件信譽(yù)對可能存在

進(jìn)行判斷，包括的驗(yàn)證與豁免，同時(shí)提升性能。EXEDLLCOMHashSourceCountRatingAF34CD150MTrustedEA2101D120MTrusted5FAEE67Bankofnikolai.ru6malicious23FB12372unprovenCopyright

?

2015

Symantec

Corporation23Symantec—文件信譽(yù)Insight

–

優(yōu)化掃描技術(shù)Skips

any

file

we

are

sure

is

good,leading

to

much

faster

sc

s傳統(tǒng)掃描方式H

as

?t

o?scan

?ever

y

?fi

le通過Insig

ht實(shí)現(xiàn)的更快速文件掃描

所有終端側(cè)的安全防護(hù)與清除技術(shù)在執(zhí)行修復(fù)及移除操作前檢測文件的信譽(yù)，確保不刪除錯(cuò)誤文件

Symantec一個(gè)提交系統(tǒng)檢測每定義簽名的文件信譽(yù)信息，已確保沒有錯(cuò)誤數(shù)據(jù)Insight用以消除誤報(bào)Copyright

?

2015

SymantecCorporation24行為分析檢測技術(shù)?可以的檢測。但是其外觀，以躲避基于特征制造者的目標(biāo)，即欺騙、

、故意破壞以及誹謗卻一成不變。SONAR在進(jìn)程運(yùn)行時(shí)

其行為，例如，嘗試更改瀏覽器主頁，安裝瀏覽器

，擊鍵以及其他近1400項(xiàng)行為。基于人工智能的分類引擎人工編寫的行為特征基于行為的策略鎖定Norton

CommunityWatchOpt

in

program

to

collectanonymous

dataWorld’s

largest

nexus

of

behavioral

profilesMachine-Learning

Engineyzes

behavioral

patternsClassification

RulesClassifies

Applications

asGood

or

BadCopyright

?

2015

SymantecCorporation25容易被忽視的...SEP還可以提供Tightlycontrolapplicationsthrough

advancedwhi isting

andblacklisting系統(tǒng)鎖定Monitor

andcontrolapplicationsbehavior應(yīng)用控制Restrict

and

enableaccess

to

thehardwarethatcanbe

used設(shè)備控制Ensures

endpointsare

protected

andcompliant完整性報(bào)告與分析Multi-dimensionalysis,

robustgraphical

reporting,and

an

easy-to-usedashboardCopyright

?

2015

SymantecCorporation26系統(tǒng)鎖定，應(yīng)用程序黑白白主要用于白

用于系統(tǒng)應(yīng)用的鎖定控制，通過掃描指定終端的，對掃描的不允許員工安裝的應(yīng)用運(yùn)行后在下發(fā)至策略中執(zhí)行鎖定。這是時(shí)只有被允許（

過 的）的應(yīng)用程序才可以執(zhí)行。Copyright

?

2015

SymantecCorporation27可自定義的主機(jī)完整性檢查無比強(qiáng)壯的完整性檢查功能自定義檢查語法，If…Then…Else配置檢查項(xiàng)目包括：預(yù)定義的安全檢查模版，如終端安全策略等表/Registry

entries—exist,

specificvalue,文件/Files—exist,

date,size,checksum,more補(bǔ)丁/Patches

installed進(jìn)程/版本/Process

running,OS

version

More檢查失敗的修復(fù)措施執(zhí)行 表修改、運(yùn)行

、 執(zhí)行安裝程序Copyright

?

2015

SymantecCorporation28SEP依舊是終端安全技術(shù)市場的

者*Source:

Gartner,

Inc.,

Magic

Quadrant

for

Endpoint

Protection

Platforms,

January

2015Forrester

Research,

Inc.,

The

Forrester

Wave?:

Endpoint

Security,

Q1

2013IDC

Market

Share

ysis:

Worldwide

Endpoint

Security2014-2018

Forecast

and

2013

Vendor

Shares,

August

2014#1Protection#1Performance#1IDC

Market*

ShareA

Leader*Gartner

MQ&Forrester

WaveGlobal

MarketChina

MarketCopyright

?

2015

SymantecCorporation29SEP在多個(gè)機(jī)構(gòu)的獲得認(rèn)可Copyright

?

2015

SymantecCorporation30Linux

Operating

systemsCentOS6U4,

6U5;

32-bit

and

64-bitDebian

6.0.5

Squeeze;

32-bit

and

64-bitFedora

16,

17;

32-bit

and

64-bitNovell

Open

Enterprise

Server

(OES)

2

SP2and

2SP3running

SUSE

Linux

EnterpriseServer

(SLES)

10

SP3;

32-bit

and

64-bitNovell

Open

Enterprise

Server

(OES)11

and

11

SP1

running

SUSE

Linux

Enterprise

Server(SLES)

11

SP1

and

SP2;

64-bitOracle

Linux

5U8,

5U9,

6U2,

6U4,

6U5;

64-bitRed

HatEnterprise

Linux

Server

(RHEL)

5U7

-

5U10,

6U2

-

6U5;

32-bit

and

64-bitSUSE

Linux

Enterprise

Server

(SLES)

10

SP3,

10

SP4,

11

SP1

-11

SP3;

32-bit

and

64-bitSUSE

Linux

Enterprise

Desktop

(SLED)

10

SP3,

10

SP4,

11

SP1

-

11

SP3;

32-bit

and

64-bitUbuntu

Server11.10,

12.04,

12.04.2,

13.04;

64-bitUbuntu

Desktop

11.10,

12.04,

12.04.2,

13.04;

64-bitSEP豐富的操作系統(tǒng)平臺(tái)支持Windows

Embedded

Point

of

Service

( OS)

(32-bit,

SP3)Windows

Embedded

Standard

7

(32-

and

64-bit)Windows

Embedded

POSReady

7

(32-

and

64-bit)Windows

Embedded

Enterprise

7

(32-

and

64-bit)Windows

Embedded8

Standard

(32-

and

64-bit)Windows

Embedded8.1

Industry

Pro

(32-

and

64-bit)Windows

Embedded

8.1

Industry

Enterprise

(32-

and

64-bit)Windows

Embedded8.1

Pro(32-

and

64-bit)Windows

Operating

system

(desktop)Windows

XP

Home

or

Professional

(32-bit,

SP3;

64-bit,

allSPs)Windows

XP

Embedded

(SP3)Windows

Vista

(32-bit,

64-bit)Windows

7

(32-bit,

64-bit,

RTM

and

SP1)Windows

7

Embedded

StandardWindows

8

(32-bit,

64-bit)Windows

8

Embedded(32-bit)Windows

8.1

(32-bit,

64-bit,

including

Windows

To

Go)Windows

8.1

update

for

April

2014

(32-bit,

64-bit)Windows

8.1

update

for

August

2014

(32-bit,

64-bit)Windows

8.1

Embedded(32-bit)Windows

10Embedded

operating

systemWindows

Embedded

Standard

(WES)

2009

(32-bit,

SP3)Windows

Embedded

POSReady

2009

(32-bit,

SP3)Windows

Operating

system

(server)Windows

Server

2003

(32-bit,

64-bit,

R2,

SP1

or

later)Windows

Small

Business

Server

2003

(32-bit)Windows

Server2008

(32-bit,

64-bit,

R2,

SP1,

and

SP2)Windows

Small

Business

Server

2008

(64-bit)Windows

Essential

Business

Server

2008

(64-bit)Windows

Small

Business

Server

2011

(64-bit)Windows

Server

2012Windows

Server

2012

R2Windows

Server

2012

R2

update

for

April

2014Windows

Server

2012

R2

update

for

August2014Mac

Operating

systemMac

OS

X

10.8,

10.9,10.10Copyright

?

2015

SymantecCorporation31關(guān)于SEP一些你可能不知道的…Reduced-size

client

installation

package

&

reduced-size

definitionsSupport

for

Windows

Embedded

write

filtersIntegration

with

Symantec

Advanced

Threat

Protection:

EndpointSystem

lockdown

enhancementspile

for

Symantec

Endpoint

Protection

client

for

LinuxPower

Eraser

can

now

be

run

from

the

Symantec

Endpoint

Protection

Manager

consoleThe

Host

Integrity

policy

is

now

included

with

Symantec

Endpoint

ProtectionAutomated

removal

of

competitive

Anti ,

60+

vender,

300+

versionSupport

VMWare

vShield

Endpoint,

Performance

improvement

…

…Copyright

?

2015

SymantecCorporation32精簡客戶端與更新精簡客戶端會(huì)比標(biāo)準(zhǔn)客戶端減少80-90%的磁盤空間占用，因?yàn)槠渲慌渲昧私诘?/p>

定義信息。適用于

系統(tǒng)或VDI虛擬桌面等對

控空間較敏感的系統(tǒng)vShieldManagerSVAvShield

NetworkProduction

NetworkCVESylink提供vShield

Endpoint支持管理通訊共享通訊通過SAV虛擬

共

享每一個(gè)VM的掃描結(jié)果，一個(gè)VM進(jìn)行掃描時(shí)將預(yù)先檢查在SVA的共享信息中

是否存在已掃描過的結(jié)果，優(yōu)化資源消耗Copyright

?

2015

SymantecCorporation34第 安全 自動(dòng)移除，60+

vender,

300+

versionSEP可以在安裝客戶端時(shí)自動(dòng)移除系統(tǒng)自帶的其他安全詳細(xì)的支持列表可以參考：http:

/docs/TECH195029（同時(shí)SEP提供競爭性報(bào)價(jià)，如可以提供 的其他安全

的合同，SEP將可使用更低的價(jià)格報(bào)價(jià)）*

Restriction*

ReKaspersky

AnCopyright

?

2015

Symantec

Corporation34Endpoint

ProtectionExpand

support

for

embeddedReduce

the

content

sizeWrite

filter

supportWindows

10

and

2015

supportClient

and

management

server

supportATP

EndpointInsight/submissions

redirection

and

failoverRetrieve

afilefrom

endpointBlacklistingBase-liningSEP–

12.1.6

(1H

2015)Protection

ImprovementsSystem

LockdownIntegrationwithInsightcheckingTrusted

Installers/UpdatersEnhanced

Usability

/ReducedAttack

SurfaceProactive

Exploit

Prevention*Reduced

attack

surfaceEDR

Capabilities*Network

/IsolationEnhancedclient-side

d ollection

via

SONARRemediationEvidence

of

Compromise

(EOC)

searchSEP

-

Lamb hini

(2H

2015)1H20152H20151H20162H2016ATP:

Endpoint

EnablementReal-time

client

communicationAdditional

emetryAdditional

EDR

Capabilities*Advanced

RemediationSecure

Virtual

ContainersMemoryCaptureLive

D

aptureSEP

(1H

2016)可能隨時(shí)發(fā)生變化，以上 參考Copyright

?

2015

Symantec

Corporation35PEP

主動(dòng) 利用防護(hù)每次一個(gè)新的進(jìn)程被啟動(dòng)，就會(huì)

PEP程序We

modify

the

process

to

randomize

memory

layoutExploits

often

rely

on

specificmemory

locationsWe

hook

APIs

and

monitor

the

process

to

identifyexploit

techniques

and

block

themExploits

use

a

common

set

of

techniques

to

take

controlPEP降低了新的或舊的

被利用可能These

gaps

allow

attackers

to

take

controlThese

gaps

don’t

exist

in

more

modern

OSesFor

example,

Apple

won’t

let

code

run

unless

it

is

signed;Windows

will

run

any

code

anytimeProtection

provided

byPEP

(partial

list)Java

Security

Manager

protectionData

Execution

Prevention

(DEP)

onAddress

Space

Layout

Randomization

(ASLR)

onerwriteStructured

Exception

HandlinProtection

(SEHOP)Heap

Spray

Allocation

mitigationBottom-up

heap

randomizationNullPageReturn-Oriented-Programming

(ROP)

preventionLoadLib

prevention

on

shared

foldersProactive

Exploit

Prevention（PEP）,

已知及未知的漏利用Copyright

?

2015

Symantec

Corporation36F&R

取證與修復(fù)Enterprise

Detection

andRemediation

(EDR)Once

an

attack

makes

it

inYou

want

to

findit

fastYou

want

to

neutralize

itYou

want

to

understand

the

scopeYou

want

to

collect

forensic

dataYou

want

to

remediateand

restoreCustomers

need

endpoint

tools

to

automate

this

processMore

importantly,

whenwe

want

to

have

these

sarovide

Incident

Response

on

retainer,ls

at

our

disposalFile

systemOur

EFA

componentsecurely

tracks

allfile

detailsRegistrySONAR

tracks

allregistry

changesMemorySONAR

has

directaccess

to

all

memory;enhancing

to

enablegreater

search

capabilityFile

accessAutoProtect

&SONARsee

all

file

access

eventsNetworkVantage

IPS

seesall

network

connectionsand

all

layers

of

trafficBehaviorSONAR

tracks

thousandsof

application

behaviorsin

the

kerneland

inusermodeForensics

&RemediationCopyright

?

2015

Symantec

Corporation37用戶需要快速了解，響應(yīng)并修復(fù)發(fā)現(xiàn)的安全問題，這方面的需求被稱為EDR但 還是 非常多的問題與質(zhì)疑…??無法衡量SEP是否用好與壞，目前是否是最優(yōu)的架構(gòu)及配置呢？在虛擬化環(huán)境下需要做什么特別的配置嗎？

優(yōu)化性能呢？上個(gè)月

事件8k＋，這個(gè)月12k＋，這證明企業(yè)安全環(huán)境越來越差了嗎？SEP無法正常升級，磁盤空間被大規(guī)模占用？有辦法解決嗎？SEP安裝后系統(tǒng)的啟動(dòng)速度，與運(yùn)行速度都大幅度降低！SEP對一些

漏報(bào)，而其他安全

可以檢測出來！除去故障類問題（ ）多數(shù)用戶的SEP問題集中在兩個(gè)方面：當(dāng)前SEP系統(tǒng)運(yùn)行是否在最佳狀態(tài)，策略設(shè)置是否合理沒有方法判斷，如何優(yōu)化難于著手。SEP的服務(wù)交付標(biāo)準(zhǔn)沒有清晰定義，單從SEP的事件數(shù)量變化難于衡量安全效率。Copyright

?

2015

Symantec

Corporation381.當(dāng)前SEP系統(tǒng)運(yùn)行是否在最佳狀態(tài)，優(yōu)化難于著手有些資源是可以充分利用的SEP所有版本的 說明，新功能說明以及操作系統(tǒng)支持情況說明http:

/docs/TECH163829SEP最佳實(shí)踐文章集合http:

/docs/TECH181685Symantec?Endpoint

Protection

12.1.6安裝和管理指南http:

/docs/DOC8645通過SEP 或者記錄

非公司允許的應(yīng)用 使用http:

/docs/TECH97618Symantec

的安全防護(hù)配置建議http:

/docs/TECH173752SEP

Review

and

Report報(bào)告PPT模版ht

/s/1i3KSV1zBest

PracticeInstallation

planningUpgrade

planningAdministrationPolicy

configurationFirewall

and

intrusion

preventionSecurityThreat

remediationVirtualizationOther

resourcesSEP地址：代碼：T201410221424Copyright

?

2015

Symantec

Corporation39例：SEP有漏報(bào)！客戶環(huán)境中的SEP被正確使用了嗎？問題1：當(dāng)企業(yè)網(wǎng)絡(luò)中部署Web

，用戶終端要通過 并使用

口令 網(wǎng)絡(luò)，SEPM中配置了對應(yīng)終端與服務(wù)器的Web 的有效用戶名口令。這時(shí)SEP那些功能不能正常使用？問題2：SEP12.1對比SEP11.x最大的功能改變在哪里？以上兩個(gè)問題答案是一樣的：Insight文件信譽(yù)SONAR行為控制Insight與SONAR

分別從文件信譽(yù)與行為特征方面檢測 代碼，彌補(bǔ)傳統(tǒng)定義檢查的不足，但I(xiàn)nsight的數(shù)據(jù)更新不通過LiveUpdata完成，且由于工作機(jī)制問題導(dǎo)致其無法在認(rèn)證

環(huán)境下使用。SONAR的正常工作需要依賴Insight的數(shù)據(jù)，如果SEP無法獲取Insight數(shù)據(jù)，SONAR也將無法正常工作。這種情況

需要將制定的URL地址在用戶的Web 側(cè)進(jìn)行例外這些URL時(shí)不進(jìn)行認(rèn)證。配置，設(shè)置白 允許用戶終端在通過Web詳細(xì)信息可以參考以下KB：http:

/docs/TECH162286Copyright

?

2015

Symantec

Corporation402.SEP的服務(wù)交付標(biāo)準(zhǔn)沒有清晰定義，難于衡量安全效率建議從兩個(gè)指標(biāo)維度進(jìn)行數(shù)據(jù)分析：環(huán)境指標(biāo)：服務(wù)器指標(biāo)：DB數(shù)據(jù)庫配置參數(shù)、數(shù)據(jù)庫備份調(diào)度任務(wù)、SEPM應(yīng)用及操作系統(tǒng)日志分析，用于衡量服務(wù)器運(yùn)行狀態(tài)是否穩(wěn)定；終端指標(biāo)包括終端類型(部門)分布、SEP終端安裝率、SEP當(dāng)前版本分布、SEP

簽名版本分布、

定義更新頻率、全盤掃描頻率、

IPS簽名版本、策略下發(fā)版本分布、安全掃描成功率，安全策略配置分布等指標(biāo)，用于判斷部署SEP的客戶端是否達(dá)到了所希望的標(biāo)準(zhǔn)（比例或閥值）。服務(wù)器與客戶端之間通訊參數(shù)調(diào)整，服務(wù)器與客戶端帶寬環(huán)境；改善優(yōu)化SEP相關(guān)策略與環(huán)境：分析原因如：網(wǎng)絡(luò)帶寬導(dǎo)致更新問題、策略推送時(shí)間問題、用戶長時(shí)間出差

漫游等。根據(jù)沒有達(dá)標(biāo)的原因通過SEP策略調(diào)整與管理 ，加強(qiáng)終端管理與安全優(yōu)化。環(huán)境指標(biāo)

改善優(yōu)化SEP相關(guān)策略與環(huán)境原因分析Copyright

?

2015

Symantec

Corporation412.SEP的服務(wù)交付標(biāo)準(zhǔn)沒有清晰定義，難于衡量安全效率事件指標(biāo)：安全事件與安全日志的分析，例如，各個(gè)部們安全數(shù)據(jù)分布，由各個(gè)SEP組件

的

，次數(shù)，受影響主機(jī)數(shù)量及比例，HI主機(jī)完整性檢查情況，的類型，

嚴(yán)重Helpdesk事件處理量等。染數(shù)量，未清除

代碼類型統(tǒng)計(jì)、數(shù)量統(tǒng)計(jì)，針對新型

代碼的提交分析。改善優(yōu)化SEP以外的其他安全控制措施：主要事件的來源分析，網(wǎng)絡(luò)事件以IP為主，但多數(shù)事件需要從

分析

代碼事件的來源，例如網(wǎng)絡(luò)共享、郵件、上網(wǎng)瀏覽

、U盤

；對未完全清除的

代碼應(yīng)該重點(diǎn)關(guān)注后期查殺；基于分析結(jié)果，可對SEP的

系統(tǒng)（非SEP）進(jìn)行調(diào)研與改善；這也是多數(shù)情況下幫助客戶發(fā)現(xiàn)安全問題，引入新的安全解決方案的切入點(diǎn)！事件指標(biāo)改善優(yōu)化SEP以外的其他安全控制措施原因分析Copyright

?

2015

Symantec

Corporation42關(guān)于SEP

RISK

LOGS的分析計(jì)算機(jī)名源風(fēng)險(xiǎn)名稱出現(xiàn)次數(shù)文件路徑說明實(shí)際的操作所需的操作次要操作事件日期事件時(shí)間域用戶名服務(wù)器客戶端組源計(jì)算機(jī)名源計(jì)算機(jī)IP應(yīng)用程序名稱應(yīng)用程序哈希哈希算法公司版本文件大小檢測原因最小敏感度級別允許應(yīng)用程序的原因Web域站點(diǎn)者普及率信譽(yù)最先看到的URL跟蹤狀態(tài)事件結(jié)束日期時(shí)間戳操作系統(tǒng)代碼 源分析中文件路徑信息是最關(guān)鍵最主要判斷信息，例如，如果發(fā)現(xiàn)的問題來自于瀏覽器

目錄則 代碼可能來自于Web

，Outlook臨時(shí) 則有可能是郵件傳入，H:I:盤符根 可能來源是USB，//

.X來源是某一臺(tái)主機(jī)文件共享，但要排除某些 對所有文件 的問題，所以一般建議分析前對一個(gè)終端產(chǎn)生非常大量事件的情況預(yù)先進(jìn)行排除，或者在源中對只保留自動(dòng)防護(hù)的事件數(shù)據(jù)。通過網(wǎng)絡(luò)

的

代碼也會(huì)在Log的來源字段顯示，需要在SEP中開啟來源追溯。對判斷代碼事件的傳播有所幫助。如果被 程序存在簽名信息，這些也會(huì)存在相關(guān)信息，多用于輔助判斷 來源Web

的事件中會(huì)包含詳細(xì)的目標(biāo)信息，用于具體事件詳細(xì)分析Insight文件信譽(yù)數(shù)據(jù)會(huì)在此顯示根據(jù)客戶端組可以分析被客戶端分布情況Copyright

?

2015

Symantec

Corporation43ITytics

2.1

forSEPCopyright

?

2015

SymantecCorporation44MSSQLSEPMDBITA

DBOLAPCubesReporting

ServicesRaw

LogsIT

ytics獨(dú)立于SEPM的安裝，且它對SEP用戶完全免費(fèi)，但它需要獨(dú)立的SQLServer工作環(huán)境，所以唯一可能需要考慮的就是服務(wù)器與SQL的成本IT ytics主要用于日志數(shù)據(jù)分析、報(bào)表輸出、SEP合規(guī)與環(huán)境數(shù)據(jù)分析等使用場景，節(jié)省大量手工數(shù)據(jù)處理的時(shí)間，IT

ytics直接從SEPM數(shù)據(jù)庫 數(shù)據(jù)，并進(jìn)行挖掘分析，Online ytical

Processing

Server

提供 數(shù)據(jù)分析模型安裝文件及文檔在SEP12.1.5及以后版本的Tools

下根據(jù)事件來源向客戶建議新的方案Copyright

?

2015

SymantecCorporation45代碼與 來源于Web ／應(yīng)用程序代碼與

來源于郵件代碼與來源于NAS文件共享代碼與來源于企業(yè) 應(yīng)用代碼與來源于SharePointSymantec

Advanced

Threat

Protection:NetworkSymantecMessaging

Gateway

/

8340

&

8380Symantec

Web

Gateway串聯(lián)阻斷、旁路檢測、

集成，適用與NAT或 環(huán)境Symantec

D enterSecurity:

DataStore

Unified

ProtectionThreat

Protection

-Content

FilteringDLP

IntegrationData

Insight

–EncryptionUnified

Policy

andAdministrationAcross

Critical

Applications

&

DataMessaging

(Exchange)NAS

–

FilersNetAppSharePointCloud

AppsDSS

Deployed

across

Virtual

&CloudSecurity

Response

Insight

Reputation通過以下位置你可以隨時(shí)

測試 并獲取LicenseSymantec

Messaging

Gateway

（虛擬機(jī)版本）https:/

/Vrt/offer?a_id=93532Symantec

Mail

Security

for

Exchangehttps:/

/Vrt/offer?a_id=20032Symantec

Protection

Engine

for

Cloud

Serviceshttps:/

/Vrt/offer?a_id=146739Symantec

Protection

Engine

for

Network

Attached

Storagehttps:/

/Vrt/offer?a_id=146740Symantec

Protection

for

SharePoint

Servershttps:/

/Vrt/offer?a_id=132710Copyright

?

2015

SymantecCorporation46關(guān)于Symantec

Advanced

ThreatProtection:Network會(huì)與ATP:Endpoint及ATP:年下半年發(fā)布.提供同時(shí)在2015的控制界面關(guān)于Symantec

D enter

Security:DataStore會(huì)在2015年四季度發(fā)布，提供與D enter:Server,

ServerAdvanced相同的管理控制臺(tái)與界面為什么 不再提及SNAC？Copyright

?

2015

SymantecCorporation47移動(dòng)辦公變成IT發(fā)展趨勢移動(dòng)設(shè)備不但需要在企業(yè)網(wǎng)絡(luò)中使用，也需要在企業(yè)網(wǎng)絡(luò)外使用公有云服務(wù)被 的采用,PaaS,SaaS平臺(tái)被越來越多的使用，企業(yè)數(shù)據(jù)中心在外延那如何確保終端部署了必要的，達(dá)到了合規(guī)策略？以網(wǎng)絡(luò)為控制點(diǎn)的準(zhǔn)入技術(shù)正在向以應(yīng)用自身為控制點(diǎn)的技術(shù)轉(zhuǎn)移，通過跨多應(yīng)用的集中控制實(shí)現(xiàn)企業(yè)應(yīng)用 的基本準(zhǔn)入控制。同時(shí)通過SAML將公有云，本地系統(tǒng)，控制 。包括對終端的合規(guī)性檢查、安全 安裝檢查也將在未來在Portal、SSO與

移動(dòng)設(shè)備與PC的認(rèn)證過程中實(shí)現(xiàn)。根本的原因，企業(yè)網(wǎng)絡(luò)邊界在逐漸的消亡?。?！關(guān)于現(xiàn)有SEP現(xiàn)有的用戶，你可以做的…客戶自行

的情況，通過巡檢服務(wù)幫助用戶發(fā)現(xiàn)問題，提供額外的維保或駐點(diǎn)服務(wù)已經(jīng)在幫助用戶進(jìn)行服務(wù)的情況，基于

之前談到的內(nèi)容，發(fā)掘新的服務(wù)價(jià)值服務(wù)內(nèi)容可以包含：SEP基于最佳實(shí)踐的巡檢，SEP環(huán)境指標(biāo)與事件指標(biāo)梳理，ITA數(shù)據(jù)分析平臺(tái)建設(shè)，SEP定期報(bào)告與日志分析，SEP 駐場服務(wù)對于目前沒有能力交付服務(wù)的合作伙伴，通過引入Symantec

Professional

Services,由的Consulting

Service

協(xié)助合作伙伴向用戶交付標(biāo)準(zhǔn)化的服務(wù)內(nèi)容，完成交付的同時(shí)培訓(xùn)合作伙伴，確保日后的持續(xù)交付能力。根據(jù)服務(wù)過程中的事件分析，向用戶提供新的方案，尋找新的業(yè)務(wù)機(jī)會(huì)！當(dāng)然通過用戶現(xiàn)有已

的SEP，能做的還不止這么多…Copyright

?

2015

SymantecCorporation48MDM

is

Free！！從現(xiàn)有開始您將可以獲取免費(fèi)的Symantec

MDM移動(dòng)設(shè)備管理解決方案的使用權(quán)，它與其他您在使用的Symantec

一樣將包含完整的7*24小時(shí)售后技術(shù)支持服務(wù)，幫助您的企業(yè)提高移動(dòng)生產(chǎn)力。只要您的企業(yè)現(xiàn)已 以下產(chǎn)品并處于維保期限內(nèi)，同時(shí)License數(shù)量等于或超過1000個(gè)，便符合資格。Symantec

IT

Management

Suite

7.5Symantec

Client

Management

Suite

7.5Symantec

Endpoint

Protection

12.1Symantec

Protection

Suite

Enterprise

Edition

4.0只要您企業(yè)所使用的上述 持續(xù) 維保服務(wù)，您將持續(xù)獲得MDM的持續(xù)的使用權(quán)獲取License地址：

/li

censemgmt/MDMLanding.jspCopyright

?

2015

SymantecCorporation49的Web管理界面，集成化的解決方案，用戶可以利用MDM在其基礎(chǔ)上增加所需組建Device

Management(MDM)針對移動(dòng)設(shè)備的配置、控制和管理企業(yè)應(yīng)用商店分發(fā)應(yīng)用及內(nèi)容基于設(shè)備的策略App

Management&Protection

(MAM)安全配置與管理移動(dòng)應(yīng)用及其數(shù)據(jù)基于應(yīng)用的策略(移動(dòng)應(yīng)用的封裝打包)增強(qiáng)安全的企業(yè)應(yīng)用包含Workforce

AppsWorkforce

Apps配置管理Symantec企業(yè)相關(guān)移動(dòng)應(yīng)用包含Work

Mail,WorkWeb和Work

FileApp及郵件

網(wǎng)關(guān)Threat

Protection讓移動(dòng)設(shè)備遠(yuǎn)離及有風(fēng)險(xiǎn)的應(yīng)用。集中的移動(dòng)安全管理基于設(shè)備安全態(tài)勢實(shí)施控制策略Symantec

Mobility

SuiteCopyright

?

2015

Symantec

Corporation50在MDM基礎(chǔ)上的Upselling，每個(gè)模塊都可以單獨(dú)銷售即使客戶沒有MDM或在使用其他的EMM或MDM，（MAM由于國內(nèi)Android碎片化問題謹(jǐn)慎

）Symantec

D數(shù)據(jù)中心安全enter

SecurityLatest

Available

Version:

6.5v6.6

will

be

on

September

2015數(shù)據(jù)中心的發(fā)展 的方向所有的基礎(chǔ)設(shè)施資源都將被虛擬化以服務(wù)的方式提供(Delivered

as

Service)數(shù)據(jù)中心完全可通過軟件實(shí)現(xiàn)自動(dòng)化的管控SDDC中安全技術(shù)的發(fā)展最重要的

變化是交付方式，而不是交付內(nèi)容，定義的安全控制，加速部署時(shí)間是SDDC中安全防護(hù)的關(guān)鍵。Copyright

?

2015

SymantecCorporation52Symantec

Denter

Security

:

ServerServersPhysical&Virtual

ServeDCS:Server＊在新的DCS6.6中，用戶即使沒有現(xiàn)在無 的虛擬主機(jī) 防護(hù)與也可以使用

S實(shí)防護(hù)無

的

防護(hù)與（集成Insight）網(wǎng)絡(luò)

防護(hù)基于Hypervisor安全虛擬設(shè)備提供虛擬主機(jī)保護(hù)第一家安全廠商宣布全面支持NSX持續(xù)保護(hù)無論虛擬主機(jī)是否發(fā)生遷移,安全控制自可動(dòng)部署充分集成Symantec現(xiàn)有技術(shù)優(yōu)勢

代碼防護(hù)與Insight在Guest主機(jī)內(nèi)實(shí)現(xiàn)

文件增強(qiáng)的掃描緩存技術(shù)，網(wǎng)絡(luò)

防護(hù)技術(shù)集成通過Operations

Director實(shí)現(xiàn)多項(xiàng)安全控制措施的自動(dòng)化部署，該組建免費(fèi)集成在所有DCS

中全新Web管理界面將DCS所有解決方案將都由其

管理，包括DCS:

Data

store,

Server,

Server

Advanced在內(nèi)V(SoftwaS

ecCopyright

?

2015

SymantecCorporation53DCS:

Server技術(shù)原理Security

AdminTrafficSteeringSymantec

Denter

ConsoleSecurity

PolicyNSXControllerCopyright

?

2015

SymantecCorporation54代碼安全防護(hù)工作流程*VMware

重新分配

GVM

X

到