Quoi de neuf dans Elements - Novembre 2025

Extended Detection and Response

Email and Collaboration Protection

Nous avons publié une mise à jour contenant un certain nombre de bibliothèques sous-jacentes afin d'améliorer les performances, de maintenir la compatibilité et d'unifier l'utilisation avec d'autres composants de Elements Security Center. A noter : Ces mises à jour ont entraîné des ajustements mineurs de certains styles d'interface utilisateur.

Avertissement dans les notifications par courrier électronique

Un nouveau message de non-responsabilité a été ajouté aux notifications par courriel de l'administrateur externe dont le contenu est configuré dans la politique. Le texte de la clause de non-responsabilité est "Vous recevez cet e-mail parce que votre organisation utilise la solution WithSecure Elements Collaboration Protection et qu'un administrateur a configuré cette notification. Si vous avez des questions, veuillez contacter votre administrateur.", en anglais.

Identity Security

Capacité d'inventaire de l'identité

Nous avons introduit une nouvelle fonctionnalité dans WithSecure Elements Identity Security pour Entra ID: le Capacité d'inventaire de l'identité.

Comment s'installer :

Aller à la page Nuage → locataires de Microsoft page dans Elements.
Connecter le nouveau Inventaire de l'identité en donnant l'autorisation de lire les données d'identification d'Entra (aucun abonnement Azure n'est nécessaire).
Attendez que l'analyse soit terminée (cela peut prendre jusqu'à 36 heures).
Voir toutes les données d'identité en Environnements → Identités.

Avec l'inventaire des identités, vous pouvez facilement voir :

Tous les utilisateurs et les responsables de services
Leurs types et leurs rôles
Statut MFA (Multi-Factor Authentication).

Cette mise à jour vous donne une vision claire des identités dans votre environnement Entra ID.

Exposure Management

Nous sommes heureux de vous faire part des nouvelles améliorations.

Ajout d'un onglet "Définitions de la recherche" sous Environnement -> Exposition

La page Définitions des résultats répertorie désormais tous les types de résultats potentiels que Exposure Management peut détecter, qu'il s'agisse de vulnérabilités, d'identités, d'actifs en nuage ou de surfaces d'attaque externes. Contrairement à l'onglet Constatations, cette vue inclut les définitions même si aucun actif n'est actuellement affecté. Elle prend en charge la pagination, les filtres enregistrés et la navigation vers des données connexes, conformément aux autres vues de XM.

Onglet Service principal ajouter sous Environnement -> Identités

La liste des identités comprend désormais Les principes du service Entra Il fournit des informations de base pour chaque responsable de service. Il prend en charge la pagination, les filtres enregistrés et la navigation vers des données connexes, conformément aux autres vues du site XM.

Les rapports sur les vulnérabilités ont désormais une nouvelle adresse

L'affichage des rapports de vulnérabilité est désormais également disponible sous Elements. Rapports > Notifications et rapports par courrier électronique

Le système existant Rapports > Rapports sur les vulnérabilités fonctionnera côte à côte jusqu'à ce qu'il soit totalement déprécié en faveur de son nouveau domicile

La page Identités n'affiche par défaut que les identités actives.

La page Identités dispose désormais d'un nouveau filtre par défaut permettant d'afficher uniquement les identités dont le statut de compte est activé pour les utilisateurs et les services. Pour afficher toutes les identités, le filtre peut être supprimé.

Précisions sur la notation

Pour clarifier le fonctionnement de l'évaluation XM, des bulles d'information ont été ajoutées à toutes les colonnes de risque et d'impact pertinentes dans les widgets Constatations et Atouts, dans les listes, ainsi que dans les pages de détails des recommandations et des constatations.

Visualisation du chemin d'attaque

La visualisation du chemin d'attaque a été mise à jour pour montrer les connexions vérifiées entre les nœuds dans les diagrammes du chemin d'attaque.

Une option permettant d'afficher les connexions réseau vérifiées a été ajoutée à la vue principale de visualisation du chemin d'attaque. Cette option est activée par défaut et peut être modifiée dans le panneau de contrôle.

Les connexions sont représentées en vert lorsque des résultats vérifiés sont disponibles. Les connexions sont représentées par des lignes pointillées lorsque les vérifications ne sont pas disponibles. Les vérifications ne seront pas possibles si le nœud source n'a pas installé le nœud EDR agent . La liste déroulante des étapes comprend désormais des champs indiquant les ports accessibles à partir du nœud source. Le panneau de légende comprend un nouveau texte explicatif et une clé pour les nouveaux styles de ligne. Le simulateur de chemin d'attaque ne tient pas compte des résultats datant de plus de 30 jours.

Exposure Management pour les entreprises

AvecSecure Vulnerability Management

Résolution d'un problème où le widget État général continuait à afficher des données de vulnérabilité obsolètes même après la suppression de tous les actifs et de toutes les analyses. Le widget n'affiche désormais plus aucune donnée lorsqu'il n'y a plus d'actifs ou d'analyses.
Résolution d'un problème où les notifications par courriel concernant le manque d'espace disque sur les nœuds de balayage n'étaient pas envoyées.
Ajout d'une fenêtre contextuelle annonçant la suppression de la page Utilisateurs de vulnérabilités d'ici la fin de l'année 2025.
Ajout de notifications contextuelles pour informer les utilisateurs de la suppression prochaine des pages suivantes d'ici la fin de l'année 2025 :
- Accueil → Vulnérabilités,
- Rapports → Rapports de vulnérabilité,
- Exposition → Vulnérabilités,
- Exposition → Couverture de la vulnérabilité.

System Scan

La prise en charge de la détection des vulnérabilités dans les produits suivants a été ajoutée à Authenticated Scanning :

Apache Flink CDC

La prise en charge de la détection des vulnérabilités dans les produits suivants a été ajoutée à Authenticated Scanning for Windows :

AutoHotkey
Bambu Studio
Gestion du baramundi Agent
Gestionnaire d'affichage et de périphériques Dell
Protecteur d'alimentation intelligent Eaton
Bibliothèque de scripts de gestion des clients HP
MailStore Outlook Add-in
Netbird VPN
Nixdorf Wincor PORT IO Driver
Application NVIDIA
Graphique NVIDIA Nsight
QNAP NetBak Replicator
Imageur Raspberry Pi
Processus Serviceware
Logiciel d'archivage des disques optiques de Sony
Stashcat

Elements Foundations

Elements Security Center

Rapports de détection et de réponse

Conformément à nos projets d'unification et de rationalisation de l'expérience en matière de rapports, l'équipe d'experts de la Commission européenne a mis en place un système de gestion des rapports. Rapports de détection et de réponse L'affichage de Elements a été remplacé par l'affichage de mode lecture seule.

Qu'est-ce que cela signifie ?

Vous ne pouvez plus créer de nouveaux planificateurs ou modifier des planificateurs existants dans la vue Rapports de détection et de réponse.
Les programmateurs actifs existants continueront à générer des rapports et vous pourrez toujours télécharger ces rapports comme d'habitude, jusqu'à ce que la vue soit entièrement supprimée.

Que faire ensuite ?Nous vous encourageons à commencer à utiliser l'onglet Mon rapport et à y créer votre rapport dès que possible. Mon rapport offre toutes les mêmes possibilités de rapport que la vue précédente, et même plus. Il offre une expérience améliorée et plus intuitive, avec des améliorations continues et de nouvelles fonctionnalités prévues. En passant maintenant à Mon rapport, vous aurez un accès ininterrompu à vos rapports et bénéficierez des dernières mises à jour.

La suppression complète de la vue des rapports de détection et de réaction est prévue pour le mois de mai. Q1 2026.

Endpoint Protection l'accès est désormais disponible dans plusieurs organisations

Elements Security Center (administrateurs de sécurité) peuvent désormais se voir accorder l'accès Endpoint Protection à plusieurs organisations. Il n'est donc plus nécessaire d'ajouter une adresse électronique (exemple+sous-adresse@exemple .com) pour créer des comptes W/ Business supplémentaires pour l'adresse électronique de base d'un utilisateur.

Auparavant, les utilisateurs de Elements Security Center pouvaient détenir des rôles dans plusieurs organisations, à l'exception des rôles de Endpoint Protection. Cette exception a été supprimée et les autres rôles fonctionnent comme auparavant.

Exemple

Supposons que ces deux comptes d'utilisateur avec adresse supplémentaire permettent à l'administrateur du partenaire, Jon Doe, d'accéder à seulement deux des dix entreprises relevant du fournisseur de solutions du partenaire :

john.doe+A @Doe .com accède à l'entreprise A.
john.doe+B @Doe .com accède à la société B.

Jon Doe devait se connecter deux fois à Elements Security Center pour travailler avec les entreprises A et B. Désormais, les comptes à adresses multiples ne sont plus nécessaires. Ils peuvent être remplacés par un seul John.doe @Doe .com compte. L'administrateur IAM du fournisseur de solutions qui gère les entreprises A et B (sur un total de 10) peut accorder à Jean Dupont l'accès aux deux entreprises :

Allez sur Elements Management > Organization Settings > Security Administrators view (Gestion de l'organisation > Paramètres d'organisation > Vue des administrateurs de sécurité).
Modifier le champ d'application pour l'entreprise A
Cliquez sur "Ajouter un administrateur" et entrez John.doe @Doe .com
Attribuer des rôles à Endpoint Protection (ou autres)
Cliquez sur "Ajouter"
Modifier le champ d'application en faveur de l'entreprise B
Répétez les étapes 3 à 5 pour attribuer des rôles à l'entreprise B.

Ensuite, le compte d'utilisateur John.doe @Doe .com voit les entreprises A et B dans le sélecteur de champ d'application et peut passer de l'une à l'autre sans comptes séparés.

Effet sur les vues au niveau du partenaire et de l'entreprise

Lorsqu'un utilisateur se voit attribuer le rôle d'EPP au niveau des partenairesElle affecte les vues au niveau du partenaire. Ces vues ne sont pas influencées par les attributions de rôles au niveau de l'entreprise, qui ne restreignent ni n'étendent les autorisations au niveau du partenaire lorsque l'organisation partenaire est sélectionnée comme vue courante.

Quand la visualisation d'une seule entrepriseLe rôle EPP accordé à un utilisateur au niveau de l'entreprise étend (c'est-à-dire ajoute) les rôles attribués au niveau du partenaire et hérités de celui-ci.

Exemple

John Doe (John.doe @Doe .com) a un accès en lecture seule au Solution Provider dans le rôle Ordinateurs et téléphones portables : Lecture seule. Il peut répertorier les appareils des entreprises A et B gérés dans ce fournisseur de solutions, mais il ne peut pas les modifier car il ne dispose pas de tous les droits d'édition. John peut utiliser le sélecteur d'étendue pour diriger les vues du portail Elements Security Center vers les entreprises A ou B, où il conserve des droits de lecture seule.

L'administrateur IAM du fournisseur de solutions peut accorder à Jean Dupont les droits suivants Ordinateurs et téléphones portables : Edition complète pour l'entreprise A uniquement :

Allez sur Elements Management > Organization Settings > Security Administrators view (Gestion de l'organisation > Paramètres d'organisation > Vue des administrateurs de sécurité).
Modifier le champ d'application pour l'entreprise A
Cliquez sur "Ajouter un administrateur" et entrez John.doe @Doe .com
Attribuer le Ordinateurs et téléphones portables : Edition complète rôle
Cliquez sur "Ajouter"

Lorsque Jean sélectionne Fournisseur de solutions comme champ d'application, les listes de dispositifs des sociétés A et B restent en lecture seule par accès au niveau partenaire. En changeant la portée pour la société A, il peut modifier les appareils de cette société, tandis que l'accès à la société B reste en lecture seule.

Accès à travers les hiérarchies de partenaires

La politique de sécurité inter-locataires empêche par défaut l'accès aux organisations de l'entreprise et des partenaires sous différents fournisseurs de solutions.

Un utilisateur ayant accès à une organisation sous un fournisseur de solutions ne peut pas être ajouté à une organisation sous un autre fournisseur de solutions à moins que WithSecure ne lie les deux fournisseurs de solutions par une relation de confiance. Une fois qu'un compte d'utilisateur est associé à un fournisseur de solutions, toute tentative d'octroi d'autorisations pour une organisation relevant d'un autre fournisseur de solutions entraîne l'affichage d'un message d'erreur "L'utilisateur ne peut pas être ajouté à cette organisation"dans la vue Administrateurs de la sécurité.

Action recommandée pour l'adressage du courrier électronique (exemple+sous-adresse@exemple .com)

Vous pouvez désormais utiliser votre compte principal et votre adresse électronique pour ajouter un accès EPP à plusieurs entreprises ou organisations partenaires. Nous vous recommandons de supprimer les comptes à adresses multiples créés précédemment et d'attribuer les subventions directement au compte principal. Elements vous permettra d'accéder à plusieurs organisations sans avoir à vous déconnecter et à vous reconnecter pour changer de contexte. Toutes les organisations accessibles apparaîtront dans le sélecteur d'étendue après la connexion à l'aide de l'adresse électronique principale.

Il convient de noter que Entra ID Federated SSO ne supporte pas l'adressage plus.. La suppression des comptes d'utilisateurs plus adressés permet la fédération de votre domaine de courriel avec Elements et permet à Entra ID de servir de fournisseur d'identité principal pour Elements Security Center.

Résumé

Un utilisateur partenaire du fournisseur de solutions peut se voir accorder un accès EPP pour sélectionner :

Organismes prestataires de services
Organisations d'entreprises

L'administrateur peut passer d'une organisation autorisée à l'autre à l'aide du sélecteur d'étendue. Il peut ne pas avoir accès à d'autres organisations ou avoir un accès en lecture seule à toutes les organisations, avec un accès plus élevé pour gérer les organisations sélectionnées.

Un utilisateur du partenaire de service peut se voir accorder un accès EPP à certaines organisations de l'entreprise.

L'administrateur peut passer d'une entreprise autorisée à l'autre à l'aide du sélecteur de champ d'application. Il peut ne pas avoir accès à d'autres entreprises ou avoir un accès en lecture seule à toutes les entreprises, avec un accès plus élevé pour gérer les entreprises sélectionnées.

Un partenaire n'a pas besoin d'un compte dédié avec adresse supplémentaire lorsqu'il gère uniquement l'aspect EPP de la sécurité de l'entreprise alors que les autres aspects sont gérés par l'entreprise ou WithSecure directement (par exemple, XDR, WithSecure Infinite).

L'administrateur peut passer à l'entreprise partiellement gérée à l'aide du sélecteur de champ d'application, même si l'entreprise se trouve en dehors de la hiérarchie du partenaire Solution Provider. Il n'est plus nécessaire de se déconnecter et de se reconnecter avec un compte différent.

Intégrations

WithSecure API: De nouvelles actions de réponse pour permettre de nouveaux flux de travail

Nous avons ajouté de nouveaux points de terminaison pour les actions de réponse dans la rubrique

POST /response-actions/v1/execute/<name>

afin d'étendre les capacités d'exécution à distance pour la gestion des appareils et des identités.

Cela vous permet d'automatiser de nouveaux flux de travail qui impliquent d'agir sur les appareils et les identités cibles.

Cette version augmente le nombre d'actions de réponse prises en charge par API de 8 à 32.

Actions de réponse de l'appareil

Les actions suivantes sont possibles :

Créer un vidage complet de la mémoire - Téléchargement d'un vidage complet de la mémoire de l'appareil
Supprimer une clé ou une valeur de registre - Supprime une clé ou une valeur de registre Windows spécifiée
Supprimer une tâche programmée - Supprime une tâche planifiée Windows spécifiée
Supprimer un service Windows - Supprime un service Windows spécifié
Supprimer des objets de persistance WMI - Supprime les objets de persistance de Windows Management Instrumentation (WMI)
Enumérer les processus en cours - Enumère les processus en cours d'exécution sur l'appareil
Énumérer les mécanismes de persistance WMI - Enumère les mécanismes de persistance WMI, y compris les consommateurs d'événements, les filtres et les liaisons.
Liste de la structure du système de fichiers - Liste la structure du système de fichiers sur la base de modèles de correspondance de chemins d'accès.
Liste des clés et valeurs du registre - Répertorie les clés et les valeurs du registre Windows en fonction de modèles de correspondance de chemins d'accès.
Liste des tâches programmées - Liste de toutes les tâches planifiées de Windows sur l'appareil
Récupérer les fichiers amcache - Récupère le fichier cache de compatibilité de l'application à partir de l'appareil
Récupérer les journaux antivirus - Récupère les fichiers journaux du logiciel antivirus pour l'analyse de la sécurité
Récupérer les artefacts du navigateur - Récupère l'historique du navigateur de l'appareil
Récupérer les fichiers de traçage du journal des événements - Récupère les fichiers de suivi du journal des événements .etl contenant les enregistrements des activités du système
Récupérer les fichiers de l'appareil - Récupère les fichiers de l'appareil sur la base de modèles de correspondance de chemin d'accès.
Récupérer les fichiers de la liste de saut - Récupère les listes de sauts stockées dans les sous-dossiers AutomaticDestinations et CustomDestinations.
Récupérer l'enregistrement d'amorçage principal - Récupère l'enregistrement d'amorçage principal (MBR) d'un lecteur spécifié.
Récupérer le tableau du fichier principal - Récupère la table des fichiers principaux (MFT) à partir d'un lecteur spécifié.
Récupérer les connexions réseau - Récupère les connexions réseau, les tables de routage, les statistiques d'interface et les informations relatives aux processus.
Récupérer les fichiers de préfiguration - Récupère les fichiers Windows prefetch contenant des preuves de l'exécution du programme
Récupérer le fichier mémoire du processus - Récupère une vidange de la mémoire d'un processus spécifique
Récupérer les fichiers de cache RDP - Récupère les fichiers de cache bitmap du protocole de bureau à distance (RDP)
Récupérer les fichiers récemment consultés - Récupère des informations sur les fichiers et dossiers récemment consultés à partir des artefacts de l'activité de l'utilisateur.
Récupérer les fichiers de stockage du registre - Récupère les fichiers de stockage du registre Windows
Récupérer la base de données SRUM - Récupère la base de données SRUM (System Resource Usage Monitor).
Récupérer les entrées du journal des événements Windows - Récupère les entrées du journal des événements Windows en fonction des filtres spécifiés
Récupérer les fichiers journaux des événements Windows - Récupère les fichiers journaux des événements Windows
Terminer le processus - Termine les processus correspondant aux modèles spécifiés
Terminer le fil - Termine un fil de discussion

Actions de réponse à l'identité

Les actions de réponse d'identité suivantes sont disponibles pour Microsoft Entra :

Bloquer l'accès des utilisateurs dans Microsoft Entra - Bloque l'accès d'un utilisateur à toutes les ressources de l'écosystème Microsoft Entra.
Fin de la session Microsoft Entra - Met fin à la session Microsoft Entra d'un utilisateur
Réinitialiser le mot de passe de Microsoft Entra - Réinitialise le mot de passe Microsoft Entra d'un utilisateur

Résultats de l'action de réponse et pièces jointes

Les actions de réponse sont traitées de manière asynchrone : une fois déclenchées, vous pouvez suivre leur progression. Un nouveau point de terminaison est disponible pour récupérer les résultats réels des actions de réponse qui renvoient des données (par exemple, des vidages de mémoire ou d'autres fichiers) :

GET /response-actions/v1/responses/tasks

En utilisant ce point de terminaison, vous pouvez télécharger tous les fichiers ou pièces jointes produits par les actions de réponse terminées. Pour déterminer si votre action est terminée, interrogez d'abord l'état via GET /response-actions/v1/responses. Lorsque l'action est marquée comme terminée, vos pièces jointes sont prêtes à être téléchargées à partir du point de terminaison des tâches.

Commencer à construire

La documentation complète de API est disponible à l'adresse suivante Elements API Référence | WithSecure™ Connect

Avec le connecteur sécurisé Elements

Une nouvelle version de Elements Connector 25.44 pour Windows et Linux est maintenant disponible.

Cette version comprend les changements suivants :

Transfert d'événements :

Option linguistique pour les événements transmisUn nouveau paramètre du profil Elements Connector permet de localiser les messages d'événements transmis.
Soutien aux événements Exposure Management (XM)XM sont désormais pris en charge, ce qui améliore la visibilité des données relatives à l'exposition.

Correction des vulnérabilités :

Mise à jour de Java 17 (17.0.15 → 17.0.17)Vulnérabilités corrigées : CVE-2025-53066, CVE-2025-53057.
Mise à jour de Spring Framework 6.2 (6.2.3 → 6.2.11)Vulnérabilités corrigées : CVE-2025-41248, CVE-2025-41249.

Autres corrections et améliorations

Soutien aux groupes d'accès précoceElements Le connecteur prend désormais correctement en charge les mises à jour de groupes à accès anticipé, en alignant son comportement sur les versions des canaux publics.
Désinstallation de Linux FixeCorrection d'un problème où le service de mise à jour n'était pas correctement supprimé lors de la désinstallation sur les systèmes Linux.

Autres éléments d'intérêt

Avis de menace

Vulnérabilité Docker Compose Path Traversal (CVE-2025-62725)

Résumé technique

Une vulnérabilité critique dans Docker Composedes artefacts basés sur l'OCI permet aux attaquants d'effectuer une traversée de chemin et d'écrire des fichiers arbitraires sur le système hôte. Cette faille provient d'une mauvaise validation des annotations de couches dans les fichiers Fichiers YAMLqui sont largement utilisés dans les pipelines CI/CD et les environnements de développement.
Les attaquants peuvent exploiter cette faille en incitant les utilisateurs à faire référence à un artefact distant malveillant. Cela leur permet d'échapper à la fonction Composer et écrire des fichiers partout où le processus Compose dispose d'autorisations, ce qui peut conduire à la compromission complète de l'hôte, à l'altération des données ou à l'élévation des privilèges.

Docker - runc Container Escape & Isolation Bypass

Résumé technique

runc est le runtime de conteneur de bas niveau utilisé par Docker, Kubernetes et d'autres plateformes pour créer et gérer des conteneurs. Des vulnérabilités récentes dans runc peuvent permettre à des attaquants d'échapper aux limites des conteneurs et d'obtenir un accès non autorisé au système hôte.
CVE-2025-31133 (CVSS 7.1) : Exploite maskedPaths pour contourner l'isolation du système de fichiers du conteneur.
CVE-2025-52565 (CVSS 8.4) : Une condition de course dans le montage de /dev/console permet l'évasion du conteneur et l'écriture arbitraire de fichiers.
CVE-2025-52881 (CVSS 7.3) : Contourne les modules de sécurité Linux (LSM) et permet l'écriture arbitraire de gadgets, sapant ainsi les protections de l'hôte.
Ces vulnérabilités peuvent conduire à une escalade des privilèges, à la compromission de l'hôte et à la falsification des données, en particulier dans les environnements de production ou à locataires multiples.

Partagez vos idées avec nous

Notre objectif est de co-sécuriser le monde avec vous - désormais sous le nom de WithSecure™. Pour co-créer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de nous faire part de vos idées par l'intermédiaire de la section "Idées" du site web de WithSecure Community, désormais accessible directement depuis WithSecure™ Elements Security Center.

Plus d'informations

Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Guides de l'utilisateur WithSecure page.