Highlights des Herausgebers
Dynamische Risikobewertung für Elements Vulnerability Management
WithSecure Elements Vulnerability Management nutzt jetzt Dynamic Risk Scoring, um den Risk Score basierend auf aktuellen Ereignissen und bekannten Exploits anzupassen. Weitere Informationen finden Sie weiter unten im Abschnitt Elements Vulnerability Management.
Überarbeitete Ansicht „Breite Kontexterkennungen“ in Elements Endpoint Detection and Response
Wir haben einige Änderungen an der Darstellung von BCDs in Elements EDR vorgenommen. Weitere Details finden Sie weiter unten unter „Elemente Endpoint Detection and Response“. Wir glauben, dass Ihnen die Änderungen gefallen werden!
Elements-Sicherheitscenter
Filter nach Geräte-Betriebssystemtyp für Sicherheitsereignisse hinzugefügt
Filter nach Active Directory-Organisationseinheit für Sicherheitsereignisse hinzugefügt
Ungeschützte Geräte, auf denen zuvor der WithSecure EPP-Client installiert war
Wenn diese Geräte vom Administrator ausdrücklich deaktiviert wurden, gelten sie jetzt als geschützt, sodass sie nicht in der Liste der ungeschützten Geräte angezeigt werden.
Die Ansicht „E-Mail-Berichte“ wurde hinzugefügt
Der Gerätestatusbericht verfügt jetzt über ein Info-Flyout
Funktion für ähnliche Ereignisse
Wir haben eine Funktion hinzugefügt, die Sicherheitsadministratoren helfen soll, das Gesamtbild zu betrachten und mehrere Ereignisse gleichzeitig zu bestätigen. Im Aktionsmenü gibt es einen neuen Punkt „Ähnliche anzeigen“, der das Flyout mit allen ähnlichen Ereignissen öffnet. Das Info-Symbol neben dem Titel zeigt an, warum wir glauben, dass diese Ereignisse ähnlich sind. Die Filter werden aus der Hauptansicht kopiert und Sie können sie anpassen, um Ihre Suche weiter einzugrenzen oder die Anzahl der angezeigten Ereignisse zu begrenzen. Unten in der Ansicht befindet sich die Schaltfläche „Alle bestätigen“, mit der die Bestätigungsanforderung für alle derzeit in der Ansicht sichtbaren Ereignisse gesendet wird. Bitte beachten Sie, dass die Bestätigung vieler Ereignisse zeitaufwändig sein kann und nicht sofort im Portal angezeigt wird. Es gibt außerdem eine Obergrenze von 10.000 gleichzeitig zu bestätigenden Ereignissen.
Bitte beachten Sie:
- Schreibgeschützte Benutzer können selbst mit der Funktion „Alle bestätigen“ keine Ereignisse bestätigen.
- Nur für Veranstaltungen verfügbar, die ab dem 1. September 2023 beginnen. Die Aktion ist für ältere Veranstaltungen nicht verfügbar.
macOS 14 Sonoma-Benachrichtigungen
Apple hat die nächste große Betriebssystemversion 14 (Sonoma) vorzeitig veröffentlichtUnser Agent ist damit noch nicht kompatibel. Wir haben jetzt zwei neue Probleme im EPP-Dashboard, in denen empfohlen wird, noch kein Upgrade durchzuführen, und angezeigt wird, welche Geräte bereits auf die neue Betriebssystemversion aktualisiert wurden.
Elements Endpoint Protection
Elements Agent für Windows-Workstation und -Server: Version 23.7
Eine neue Version der Endpoint-Clients ist verfügbar.
Mit dieser Version ist die Elements Agent-Version 23.7 verfügbar (interne Version 23.7.416).
Die Endpunkte werden automatisch aktualisiert, ohne dass ein Neustart erforderlich ist.
Neue Abwesenheitsoption in automatisierten Aufgaben.
Die Option „Abwesend“ ermöglicht die Ausführung automatisierter Aufgaben, nachdem der Benutzer für eine definierte Anzahl von Minuten abwesend war. Beispiel „@away 5“ würde die Aufgabe ausführen, nachdem der Benutzer 5 Minuten abwesend war.
Neue automatisierte Aufgabe zum Erstellen eines Wiederherstellungspunkts.
Es gibt eine neue automatisierte Aufgabe, die es ermöglicht, einen Systemwiederherstellungspunkt im Client zu erstellen.
Verbesserungen bei der Meldung der Windows-Betriebssystemversion.
Der Client sendet nun auch die Windows-Build-Nummer und die Build-Nummer ist in den Gerätedetails sichtbar.
Remote-Aktion zum Deaktivieren der Anwendungssteuerung.
Es gibt eine neue Remote-Aktion zum Deaktivieren der Anwendungssteuerung.
Verbesserte Sicherheitsereignisse, um auch Informationen zu unter Quarantäne gestellten Registrierungseinträgen zu enthalten.
Wenn ein Rollback stattgefunden hat und Registrierungseinträge wiederhergestellt wurden, fehlten dem aus dem Ereignis generierten Sicherheitsereignis Informationen zu den wiederhergestellten Registrierungseinträgen. Jetzt enthält das Ereignis Informationen zu den wiederhergestellten Registrierungseinträgen.
Verbesserungen bei den Ausschlüssen von Sicherheitsscans
Es ist nun für Administratoren möglich, einzelne Regeln zu aktivieren und zu deaktivieren, anstatt die Regeln vollständig zu entfernen. Außerdem besteht die Möglichkeit, einen Kommentar zum Ausschluss zu verfassen.
Ausführen einer automatisierten Aufgabe über die Client-Benutzeroberfläche
Es ist möglich, automatisierte Aufgaben über die Client-Benutzeroberfläche auszuführen. Das Ausführen der Aufgabe ist nur für Administratoren möglich und muss separat im Profil aktiviert werden.
Elements Endpoint Detection and Response
Neue Ansicht „Automatisierte Aktionen“.
Mit Secure Elements EDR hat eine neue Ansicht namens „Automatisierte Aktionen“ veröffentlicht.
Dies ersetzt die alte Ansicht „Automatisierte Antwort“.
Was hat sich verändert?
Die Funktionalität bleibt gleich und Sie können weiterhin „Geräteisolationsregeln“ konfigurieren, die rund um die Uhr ausgeführt werden, und die Risikostufe angeben, wie bei der ursprünglichen Ansicht „Automatisierte Reaktion“. Sie können jetzt jedoch eine Aktionsregel erstellen„benutzerdefinierte“ TerminplanungHier können Sie bestimmte Zeiten eingeben, zu denen eine Regel ausgeführt werden soll, beispielsweise außerhalb der Bürozeiten.
Die neue Ansicht „Automatisierte Aktionen“.Enthält alle vorhandenen GeräteisolationsregelnSie müssen sich also keine Sorgen darüber machen, sie neu erstellen zu müssen.
Es enthält also die neue „benutzerdefinierte“ PlanungEs können bestimmte Tage und Zeiten angewendet werdenfür den Fall, dass die Regeln beispielsweise von 17:00 Uhr bis 09:00 Uhr am nächsten Morgen gelten sollen.
Schließlich ist die bestehende Ansicht „Automatisierte Antwort“ noch in den nächsten zwei Wochen verfügbarNur-Lese-Modus, damit Sie Zeit haben, sich an die neue Ansicht zu gewöhnen.
Warum?
Diese neue Funktion ermöglicht nicht nur eine benutzerdefinierte Planung, sondern trägt auch dazu bei, unserer Vision näher zu kommen, mehr automatisierte Aktionen in Elements einzubeziehen – zunächst mit dem Co-Monitoring-Service und den neuen E-Mail-Benachrichtigungen mit Auswahl der Risikostufe, aber auch für mehr Reaktionsaktionen in der Zukunft.
Diese neue Ansicht „Automatisierte Aktionen“ kann jetzt in Elements verwendet werden.
Neue Detailansicht der umfassenden Kontexterkennung
Die neue Detailansicht der Broad Context Detection (BCD) wurde vollständig für die Produktion freigegeben und ist nun die Standardansicht, die die alte Detailansicht der Broad Context Detection ersetzt.
Was hat sich verändert?
Die neue BCD-Detailansicht ist zur Standardansicht geworden. Wenn Sie also in Elements auf die Menüoption „Breite Kontexterkennung“ klicken, wird Ihnen nun diese neue Ansicht angezeigt.
Die alte BCD-Detailansicht steht für begrenzte Zeit weiterhin zur Verfügung, damit Sie mehr Zeit haben, sich mit der neuen BCD-Ansicht vertraut zu machen. Sie können zur alten BCD-Ansicht über die Schaltfläche „Zur alten Broad Context Detection-Ansicht wechseln“ in der oberen rechten Ecke der Seite navigieren.
Sie können BCDs aus der neuen BCD-Detailansicht heraus heraufstufen, anders als zuvor, als es im „Vorschau“-Modus war, wo Sie zurück zur alten BCD-Ansicht navigieren mussten, um eine Erkennung hochzustufen. Die neue Ansicht unterstützt sowohl manuelle als auch automatische Höhen und funktioniert genauso wie die alte Ansicht.
Sie können auch das standardmäßig ausgewählte Elevation-Abonnement-Token ändern. Standardmäßig ist das Abonnement ausgewählt, das am schnellsten abläuft. Sie können jetzt jedoch alle verfügbaren Abonnements sehen und bei Bedarf in ein anderes Abonnement wechseln.
Der neuen Ansicht wurden zusätzliche Informationen hinzugefügt, die Ihnen bei der Interpretation der angezeigten Informationen helfen.
Elements-Kollaborationsschutz
Blockieren von Dateitypen
Die neue Funktion „Blockieren von Dateitypen“ wurde für alle Collaboration Protection-Kunden aktiviert.
Die Richtlinieneinstellungen wurden erweitert, um das Blockieren bestimmter Dateitypen zu ermöglichen. Administratoren können aus einer von unseren Sicherheitsexperten zusammengestellten Liste die Dateitypen auswählen, die im geschützten Ökosystem nicht zugelassen werden sollen. Das System behandelt alle Dateien der ausgewählten Dateitypen als schädlich und handelt gemäß einer werkzeugspezifischen Richtlinieneinstellung. Die Funktion basiert nicht auf der Dateierweiterung, sondern nutzt die intelligente Dateityperkennung.
Elemente-Schwachstellenmanagement
Der Dynamic Assets Risk Score wurde aktiviert.
Der Static Asset Risk Score wurde nur auf Basis des CVSS-Basisscores berechnet, mit einem zusätzlichen Boost für alte und/oder ausnutzbare Schwachstellen, ergänzt durch die Asset-Wichtigkeitsmarkierung und die Internet-Exposure-Flagge.
Hier sind die Verbesserungen, die in der zweiten Version des Asset Risk Score eingeführt wurden, die „Dynamic Risk Score“ genannt wird und verschiedene Boost-Faktoren aufweist:
Der Wert ist geringfügig (von -10 % bis +60 %), korrigiert mit dem EPSS-Wert (Exploit-Vorhersage), wenn keine Anzeichen von Ausbeutung vorliegen
- Bei einem Exploit erhöht sich der Wert um 20–70 %. Der Schub hängt von unserem Wissen über den Reifegrad des Exploits oder der Beobachtung von Vorfällen im Zusammenhang mit der Schwachstelle ab.
- Sie wird entsprechend der Anzahl und dem Alter der Cybersicherheitsberichte erhöht, in denen die Schwachstelle beschrieben wird
- Mit anderen Einflussfaktoren wie:
- Berücksichtigung einiger schwerwiegender Schwachstellen, im Gegensatz zur statischen Risikobewertung, bei der nur die erste Schwachstelle berücksichtigt wurde.
- Unter Berücksichtigung der vom Kunden festgelegten Vermögenswertbedeutung.
- Berücksichtigung der Sichtbarkeit des Vermögenswerts im öffentlichen Internet.
Elements Vulnerability Management: Systemscan
Der Elements Vulnerability Management System Scan wurde aktualisiert, um Schwachstellen in den folgenden Produkten im Rahmen des authentifizierten Scans für Windows zu erkennen:
- Siemens JT2Go
- QNAP QVR Pro Client
Darüber hinaus wurde ein nicht versionierter Detektor für die Schwachstelle VMWare Aria Operations For Networks zur Remotecodeausführung (CVE-2023-34039) hinzugefügt.
Elements VM Scan Node Agent: Linux
Eine neue Version des Linux Scan Node Agent wurde veröffentlicht, die mehrere bekannte Probleme behebt und auch die Registrierung für das Elements Vulnerability Management-System hinzufügt.
Integrationen
Endpoint Protection API: Endpoints für Abonnements endet am 11. März 2024
Das alteAbonnement-Endpunktesind veraltet und sollten durch ersetzt werdenAbonnementendpunkte in der Bereitstellungs-API. Um diese API verwenden zu können, müssen Sie Folgendes tunFordern Sie Anmeldeinformationen für die schreibgeschützte Bereitstellungs-API anvom WithSecure-Support. Der Zugriff auf die Bereitstellungs-API ist nur für Partnerkonten (SOP) möglich.
Die folgenden Endpoints für Endpoint Protection API-Abonnements funktionieren ab dem 11.03.2024 nicht mehr:
- Erhalten Sie Details zum Unternehmensabonnement
- Erhalten Sie Details zum Partnerabonnement
- Unternehmensabonnements auflisten
- Partnerabonnements auflisten
- Computer aus dem Abonnement entfernen (ersetzt durch Elements-API-Endpunkte „Gerätestatus aktualisieren" oder "Gerät löschen")
ERINNERUNG: Elements Connector: Kunden, die weiterhin die (End of Life) Endpoint Protection API zum Anmelden verwenden, müssen die API-Authentifizierungs-Anmeldeinformationen ändern
Um einen besseren und einheitlicheren Satz von APIs für WithSecure Elements bereitzustellen, verwerfen wir nach und nach die Endpoint Protection API und ersetzen sie durch die Elements API. Wenn Ihr Elements Connector zum Streamen von Sicherheitsereignissen vom WithSecure Elements-Portal zu Ihrem SIEM verwendet wird und vor der Version 23.05 konfiguriert wurde, verwendet er möglicherweise immer noch die Endpoint Protection API.
Das Elements Security Center warnt Sie, wenn in der Problemliste Maßnahmen erforderlich sind:
Eine entsprechende Warnung wird auch in der Connector-Geräteansicht angezeigt:
Um die Ereignisweiterleitungsfunktionalität beizubehalten, stellen Sie bitte vor dem 31.12.2023 auf die Verwendung der Elements-API-Anmeldeinformationen um. Ausführliche Informationen zu den erforderlichen Änderungen finden Sie imBenutzerhandbuch.
Falls Du es verpasst hast
Erinnerung: Mit Secure-Produkten und macOS 14 „Sonoma“
Wie Sie vielleicht wissen, hat Apple angekündigt, dass die nächste Version von macOS (Version 14, auch bekannt als „Sonoma“) am 26. September 2023 veröffentlicht wird.
Leider hat diese Version zu Inkompatibilitäten mit einigen WithSecure-Produkten geführt.
Die betroffenen Produkte für Mac sind:
- Mit Secure Elements Endpoint Detection and Response
- Mit Secure Elements Endpoint Protection
- Mit Secure Client Security (ehemals F-Secure Client Security)
- Mit Secure Countercept
Wir haben eine erstelltArtikel der Wissensdatenbank Hier finden Sie Einzelheiten zum aktuellen Status unserer Unterstützung für Sonoma. Unser aktueller Rat lautet, zum jetzigen Zeitpunkt KEIN Upgrade auf Sonoma durchzuführen, es sei denn, dies ist für Ihr Unternehmen von entscheidender Bedeutung.
WithSecure arbeitet hart daran, diese Probleme zu beheben und wird Aktualisierungen über die Knowledge Base-Seite bereitstellen.
Teilen Sie Ihre Ideen mit uns
Unser Ziel ist es, gemeinsam mit Ihnen die Welt abzusichern – jetzt als WithSecure™. Um gemeinsam die bestmöglichen Cybersicherheitsprodukte und -dienstleistungen zu entwickeln, empfehlen wir Ihnen wärmstens, Ihre Ideen über unser Ideenportal zu teilen, das jetzt direkt über das WithSecure™ Elements Security Center zugänglich ist.
Weitere Informationen
Änderungsprotokolle und Versionshinweise für alle Teile von WithSecure™ Elements finden Sie unterHilfezentrum