VMware Carbon Black Cloud Windows センサー 3.8.0.398 | 2021 年 11 月 17 日 | ビルド 3.8.0.398

各リリース ノートの追加内容および更新内容を確認してください。

更新内容

VMware Carbon Black Cloud Windows センサー 3.8.0.398 には、次の機能強化が含まれています。

  • Enterprise EDR (EEDR) Windows センサーは、Windows クロス プロセス イベントに関連する API 情報を検出して報告するようになりました(以前は Endpoint Standard 対応環境でのみ使用可能でした)。ユーザーは、EEDR のみの環境で、管理コンソール内の crosscross_api イベントを検索できるようになりました。
  • 新しい OS クエリ拡張機能が追加され、センサー診断とエンドポイント構成情報の収集が改善されました。新しいテーブルには、センサー カウンタ、センサー ファイル、センサー プロセス、センサー ステータス、既知のデバイスなどに関する情報が含まれます。Live Query 拡張機能テーブル の詳細については、『VMware Carbon Black Cloud ユーザー ガイド』を参照してください。
  • センサーのアップグレード制限の増加 - 同時更新の数は、組織の合計サイズの 25% で、最小で 25 個のセンサー、最大で 500 個のセンサーを同時更新します。詳細については、『VMware Carbon Black Cloud ユーザー ガイド』の「センサー更新の進行状況の表示」セクションを参照してください。これは、センサーのバージョンに関係なく、いずれはすべての Windows センサーのアップグレードに適用されます。3.7.0.1411 (MR1) ビルド以降、Windows センサーはよりタイムリーかつ早急にアップグレード要求に応答します。
  • VDI の改善 - ゴールド仮想マシン イメージで計算されたファイル ハッシュは、関連付けられた VDI クローンに再利用されます。これにより、ホスト リソース (ディスク I/O と CPU) が節約され、ほとんどの場合仮想マシンの起動時間とログイン時間が改善されます。この機能は、指定された値が「3」の FileCachePersistenceState 構成プロパティを使用して VDI 環境で有効にできます。Carbon Black Windows センサーの Horizon ゴールド イメージに関する考慮事項の詳細については、『VMware Carbon Black Cloud センサーのインストール ガイド』を参照してください。

解決した問題

このバージョンのソフトウェアでは、次の問題が修正されました。

  • DSEN-16642、EA-19844: ネットワーク接続が失われた後、センサーが隔離モードを終了できない

  • DSEN-16429、DSEN-12463: 管理者以外のユーザーがアップグレードを実行すると、センサーが動作不能な状態になることがある

    以前のインストールまたはアップグレードの失敗によって Windows レジストリが破損した場合、管理者以外のユーザーがアップグレードを実行すると、センサーが動作不能な状態になる可能性があります。

  • DSEN-16231、DSEN-14832: Windows 11 のデバイス (ビルド 10.0.2200 を実行) が Carbon Black Cloud コンソールで Windows 10 として表示される

  • DSEN-15324、EA-19302、EA-19398: センサーがごみ箱から実行されているファイルを誤って報告する

  • DSEN-15157、EA-19374: Endpoint Standard で、センサーがファイルをスキャンしているときに repmgr でまれにクラッシュが発生することがある

  • DSEN-15013、DSEN-6805、EA-19223: コマンド ライン スクリプト検出を改善した

  • DSEN-14799、EA-19232: Endpoint Standard で、Process Doppelgänging 保護の適用時にセンサーがバイパスをチェックしていない

  • DSEN-14721、EA-19615: センサーが ctifile.sys でシステム クラッシュを引き起こす可能性がある

  • DSEN-14550、EA-18912: ディスクに保存されるセンサー イベントのデフォルトの zip/圧縮設定を更新して、センサーの CPU 使用量を削減した

    ディスクに保存されるセンサー イベントのデフォルトの zip/圧縮設定を更新して、センサーの CPU 使用量を削減しました。この設定の変更は、プロキシ エラーによる潜在的なイベント損失を軽減することを目的にしています。ただし、ディスクに書き込まれるセンサー イベントでは、以前のセンサー バージョンと比較してファイル サイズ/帯域幅が 70% 増加する可能性があります。イベント バッチ ディスク容量の使用量はデフォルトで 1GB のままです。

  • DSEN-14184、EA-18800: エンドユーザー使用許諾契約書が更新され、センサーのインストールが成功したときにカナリア ファイルが作成されることを示す

  • DSEN-14134、EA-18111、EA-19331: DEM フォルダ リダイレクトを使用する Horizon VDI の、リダイレクトされたフォルダの設定でファイルの削除に失敗する

  • DSEN-13173、EA-17975、EA-18052: 「svchot.exe の軽減策を有効にする」設定

    「svchot.exe の軽減策を有効にする」設定がオンになっている場合に、センサーが svchost.exe プロセスで CbAMSI.dll のロードをブロックされていた問題を解決するため、CbAMSI.dll が WHQL 署名されるようになりました。

  • DSEN-12801、EA-19124: サードパーティ製アプリの挿入試行がブロックされた場合の「RepUx.exe - Bad Image」プロンプトの抑制を改善した

  • DSEN-11416、EA-17516: センサーが、システム アカウント コンテキストから実行されたインストールで proxy_creds を復号化できない

  • DSEN-7625、EA-18519: IIS で実行される aspx ファイルから保護する機能を追加した

  • DSEN-5145: Endpoint Standard で、ブロック アクションの前にポリシーの更新を確認するセンサーの動作を改善した

    センサーの動作を改善し、ブロック アクションの前にポリシーの更新を確認して、プロセスの起動後に設定された新しいポリシー ルールを介して長期実行プロセスが適用されるようにしました。

  • UAV-2154、EA-18733、EA-19153: Windows ターミナルおよびその他のコンテナ化されたアプリケーションで AMSI ルールがバイパスされる

既知の問題

ソフトウェアに影響する既知の問題は次のとおりです。各問題が最初に報告されたときのセンサー バージョンが表示されます。問題は解決後に削除されます。

  • DSEN-16957: まれに、センサーがアップグレード後にバイパス モードに切り替わることがある (検出されたセンサー バージョン: 3.8.0.398)

    まれに、センサーがアップグレード後にバイパス モードに切り替わることがあります。これは、ドライバの 1 つをアンロードする問題が原因で、Windows Server 2019 システムでより頻繁に確認されています。このような場合、アップグレードを完了してバイパス センサーの状態を解除するには、再起動が必要です。

  • DSEN-17019、DSEN-16602: Repmgr.exe の親プロセスが、すべてゼロのハッシュ (検出されたセンサー バージョン: 3.8.0.398)

    3.8.0.370 以降では、インストールまたはアップグレード後に、repmgr.exe の親プロセスがすべてゼロのイベントまたはアラートが表示される場合があります。

    これは再起動後に消えます。

  • DSEN-16573: Explorer ウィンドウが閉じている場合がある (検出されたセンサー バージョン: 3.8.0.398)

    禁止されているバイナリまたは悪意のあるバイナリが含まれている Explorer ウィンドウが開いている場合、Explorer がこれらのバイナリをマッピングしているため Explorer ウィンドウが閉じられることがあります。

  • DSEN-15424: Windows Search サービスがファイルのインデックス作成をアクティブに実行している Windows 11 システムでのパフォーマンスの問題 (検出されたセンサー バージョン: 3.8.0.398)

  • DSEN-14236、EA-18878: エラー ID 5038 の Windows イベント (検出されたセンサー バージョン: 3.8.0.398)

    ロードされている一部の Carbon Black ファイルのイメージ ハッシュが有効でないと判断され、エラー ID 5038 の Windows イベントが作成されるコード整合性の問題です。

  • DSEN-13482: イベントにドロップされたファイルの NT ファイル パスが表示される (検出されたセンサー バージョン: 3.7.0.1253)

  • DSEN-12189: Endpoint Standard で、プロセスの実行がブロックされると、複数のブロック イベントがコンソールおよびローカル ユーザー インターフェイスに表示される可能性がある (検出されたセンサー バージョン: 3.7.0.1253)

  • DSEN-11116: Endpoint Standard および Enterprise EDR で、WebDAV パスを介して起動すると、禁止されたファイル名とパスが正しくキャプチャされない (検出されたセンサー バージョン: 3.7.0.1253)

    検出されたセンサー バージョン: 3.7.0.1253

  • DSEN-9577: ファイルレス スクリプトの終了ルール (検出されたセンサー バージョン: 3.8.0.398)

    ファイルレス スクリプトを実行するプロセスファイルレス スクリプトであるため、ファイルレス スクリプトの終了ルールはファイルレス スクリプト プロセスの親プロセスに適用する必要があります。

  • DSEN-8551: ユーザーが認証された RepCLI ユーザーのメンバーではない場合、昇格していない Windows Explorer でセンサーのインストール ディレクトリにアクセスしようとすると、ブロックされることがある (検出されたセンサー バージョン: 3.8.0.398)

    ユーザーが認証された RepCLI ユーザーのメンバーではない場合、昇格していない Windows Explorer でセンサーのインストール ディレクトリにアクセスしようとすると、ブロックされることがあります。

    ユーザーは、RepCLI ユーザーのセットを認証することをお勧めします。このフォルダを検査する必要がある場合は、これらのユーザーをサポート セッションに使用することをお勧めします。

    これらのユーザーは、Explorer.exe を介して %programdata%\CarbonBlack に正常にアクセスできます。

  • DSEN-12202: Endpoint Standard で、「センサー削除ツール」を使用してアンインストールを実行しても、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\Provider\AV\ レジストリ エントリが残される場合がある (検出されたセンサー バージョン: 3.7.0.1253)

  • DSEN-7416: Windows 7 x64 から 19H1 にアップグレードした後、エンドポイントでマシンが Windows 7 を実行していると報告される場合がある (検出されたセンサーのバージョン: 3.7.0.1253)

  • DSEN-1387: VDI = 1 が使用されたデバイスでバックグラウンド スキャンが無効のままになる (検出されたセンサー バージョン: 3.7.0.1253)

    VDI = 1 が使用されたデバイスでバックグラウンド スキャンが無効のままになります。https://community.carbonblack.com/docs/DOC-12001 を参照してください。

check-circle-line exclamation-circle-line close-line
Scroll to top icon