Highlights der Redaktion
Dynamisches Risiko-Scoring für Elements Vulnerability Management
WithSecure Elements Vulnerability Management nutzt jetzt die dynamische Risikoeinstufung, um den Risikoscore auf der Grundlage aktueller Ereignisse und bekannter Sicherheitslücken anzupassen. Weitere Informationen finden Sie unten im Abschnitt Elements Vulnerability Management .
Überarbeitete Ansicht "Breite Kontexterkennung" in Elements Endpoint Detection and Response
Wir haben einige Änderungen an der Darstellung der BCDs in Elements EDR vorgenommen. Weitere Einzelheiten finden Sie unter Elements Endpoint Detection and Response . Wir denken, die Änderungen werden Ihnen gefallen!
Elements Security Center
Filter nach einem Geräte-OS-Typ für Sicherheitsereignisse hinzugefügt
Filter nach Active Directory-Organisationseinheit für Sicherheitsereignisse hinzugefügt
Ungeschützte Geräte, auf denen zuvor der WithSecure EPP-Client installiert wurde
Wenn diese Geräte vom Administrator explizit deaktiviert wurden, gelten sie nun als geschützt, so dass sie nicht in der Liste der ungeschützten Geräte erscheinen.
E-Mail-Berichtsansicht wurde hinzugefügt
Geräte-Statusbericht hat jetzt ein Info-Flyout
Ähnliche Veranstaltungen sind
Wir haben eine Funktion hinzugefügt, die es Sicherheitsadministratoren erleichtern soll, das Gesamtbild zu betrachten und mehrere Ereignisse auf einmal zu erkennen. Im Aktionsmenü gibt es einen neuen Punkt "Ähnliches anzeigen", der das Flyout mit allen ähnlichen Ereignissen öffnet. Das Info-Symbol neben dem Titel zeigt an, warum wir glauben, dass diese Ereignisse ähnlich sind. Die Filter werden aus der Hauptansicht übernommen und Sie können sie anpassen, um Ihre Suche weiter einzugrenzen oder die Anzahl der angezeigten Ereignisse zu begrenzen. Am unteren Rand der Ansicht befindet sich die Schaltfläche "Alle bestätigen", mit der Sie eine Bestätigungsanfrage für alle derzeit in der Ansicht angezeigten Ereignisse senden können. Bitte beachten Sie, dass die Bestätigung vieler Ereignisse zeitaufwendig sein kann und nicht sofort im Portal erscheint. Außerdem gibt es eine Obergrenze von 10000 Ereignissen, die gleichzeitig bestätigt werden können.
Bitte beachten:
- Benutzer mit Leseberechtigung können Ereignisse auch mit der Funktion "Alle bestätigen" nicht bestätigen.
- Verfügbar nur für Veranstaltungen ab dem 1. September 2023. Die Aktion ist für ältere Veranstaltungen nicht verfügbar.
macOS 14 Sonoma-Benachrichtigungen
Apple hat die nächste Version des Betriebssystems 14 (Sonoma) früher als geplant veröffentlicht, und unser agent ist noch nicht damit kompatibel. Wir haben jetzt zwei neue Themen im EPP-Dashboard, die davon abraten, noch zu aktualisieren, und anzeigen, welche Geräte bereits auf die neue Betriebssystemversion aktualisiert wurden.
Elements Endpoint Protection
Elements Agent für Windows-Arbeitsplatzrechner und Server: Version 23.7
Eine neue Version der Endpunkt-Clients ist verfügbar.
Mit diesem Release wird die Elements Agent Version 23.7 zur Verfügung gestellt (interne Version 23.7.416).
Die Endpunkte aktualisieren sich automatisch, ohne dass ein Neustart erforderlich ist.
Neue Abwesenheitsoption bei automatisierten Aufgaben.
Die Option "Abwesend" ermöglicht es, eine automatische Aufgabe auszuführen, nachdem der Benutzer für eine bestimmte Anzahl von Minuten abwesend war. Beispiel: "@away 5" würde die Aufgabe ausführen, nachdem der Benutzer 5 Minuten lang abwesend war.
Neue automatische Aufgabe zur Erstellung eines Wiederherstellungspunkts.
Es gibt eine neue automatische Aufgabe, die es ermöglicht, einen Systemwiederherstellungspunkt im Client zu erstellen.
Die Meldung der Windows-Betriebssystemversion wurde verbessert.
Der Client sendet nun auch die Windows-Build-Nummer und die Build-Nummer ist in den Gerätedetails sichtbar.
Ferngesteuerte Aktion zum Ausschalten der Anwendungssteuerung.
Es gibt eine neue Fernbedienungsaktion zum Ausschalten der Anwendungssteuerung.
Verbesserte Sicherheitsereignisse, die nun auch Informationen über unter Quarantäne gestellte Registrierungseinträge enthalten.
Wenn ein Rollback stattfand und Registrierungseinträge wiederhergestellt wurden, fehlten in dem aus dem Ereignis generierten Sicherheitsereignis Informationen über die wiederhergestellten Registrierungseinträge. Jetzt enthält das Ereignis Informationen über die wiederhergestellten Registrierungseinträge.
Verbesserungen bei den Ausschlüssen von Sicherheitsüberprüfungen
Es ist nun möglich, dass Administratoren einzelne Regeln aktivieren und deaktivieren können, anstatt die Regeln komplett zu entfernen. Außerdem ist es möglich, einen Kommentar für den Ausschluss zu schreiben.
Automatisierte Aufgabe über die Client-Benutzeroberfläche ausführen
Es ist möglich, automatisierte Aufgaben über die Client-Benutzeroberfläche auszuführen. Die Ausführung von Aufgaben ist nur für administrative Benutzer möglich und muss im Profil separat aktiviert werden.
Elements Endpoint Detection and Response
Neue Ansicht "Automatisierte Aktionen
WithSecure Elements EDR hat eine neue Ansicht mit der Bezeichnung 'Automatisierte Aktionen' veröffentlicht.
Dies ersetzt die alte Ansicht "Automatisierte Antwort".
Was hat sich geändert?
Die Funktionalität bleibt gleich, und Sie können immer noch "Geräteisolierungs"-Regeln konfigurieren, die rund um die Uhr laufen und die Risikostufe angeben, wie bei der ursprünglichen Ansicht "Automatisierte Reaktion", allerdings können Sie jetzt eine Aktionsregel mit 'benutzerdefinierte' Terminierung wo Sie bestimmte Zeiten eingeben können, zu denen eine Regel ausgeführt werden soll, z. B. außerhalb der Bürozeiten.
Die neue Ansicht 'Automatisierte Aktionen' enthält alle bestehenden Regeln zur GeräteisolierungSie brauchen sich also keine Sorgen zu machen, dass sie neu erstellt werden müssen.
Sie umfasst die neue "benutzerdefinierte" Terminplanung, d. h. bestimmte Tage und Uhrzeiten können angewandt werden für den Zeitraum, in dem die Regeln gelten sollen, z. B. von 17:00 Uhr bis 09:00 Uhr am nächsten Morgen.
Und schließlich ist die bestehende Ansicht "Automatisierte Antwort" noch für die nächsten zwei Wochen verfügbar, und zwar in Nur-Lese-Modusdamit Sie Zeit haben, sich an die neue Ansicht zu gewöhnen.
Warum?
Diese neue Funktion ermöglicht nicht nur eine benutzerdefinierte Planung, sondern sie ist auch ein erster Schritt in Richtung unserer Vision, mehr automatisierte Aktionen in Elements einzubinden - zunächst mit dem Co-Monitoring-Service und den neuen E-Mail-Benachrichtigungen mit Auswahl der Risikostufe, aber auch für weitere Reaktionsaktionen in der Zukunft.
Diese neue Ansicht "Automatisierte Aktionen" ist jetzt unter Elements verfügbar.
Neue Detailansicht der Broad Context Detection
Die neue Detailansicht Broad Context Detection (BCD) wurde vollständig für die Produktion freigegeben und ist nun die Standardansicht, die die alte Detailansicht Broad Context Detection ersetzt.
Was hat sich geändert?
Die neue BCD-Detailansicht ist zur Standardansicht geworden. Wenn Sie also in Elements auf die Menüoption "Broad Context Detection" klicken, wird Ihnen diese neue Ansicht angezeigt.
Die alte BCD-Detailansicht ist noch für eine begrenzte Zeit verfügbar, um Ihnen mehr Zeit zu geben, sich mit der neuen BCD-Ansicht vertraut zu machen. Sie können zur alten BCD-Ansicht über die Schaltfläche "Zur alten Broad Context Detection-Ansicht wechseln" in der oberen rechten Ecke der Seite navigieren.
Sie können BCDs aus der neuen BCD-Detailansicht heraus anheben, während Sie früher im "Vorschaumodus" zurück zur alten BCD-Ansicht navigieren mussten, um eine Erkennung anzuheben. Die neue Ansicht unterstützt sowohl manuelle als auch automatische Erhöhungen und funktioniert genau so wie die alte Ansicht.
Sie können auch das standardmäßig ausgewählte Elevation-Abonnement-Token ändern. Das Abonnement, das am schnellsten abläuft, ist standardmäßig ausgewählt, aber Sie können jetzt alle verfügbaren Abonnements sehen und es in ein anderes ändern, wenn Sie dies wünschen.
Die neue Ansicht wurde um zusätzliche Informationen ergänzt, die Ihnen bei der Interpretation der angezeigten Informationen helfen.
Elements Collaboration Protection
Blockieren von Dateitypen
Die neue Funktion "Blockieren von Dateitypen" wurde für alle Collaboration Protection Kunden aktiviert.
Die Richtlinieneinstellungen wurden erweitert, um das Sperren bestimmter Dateitypen zu ermöglichen. Administratoren können aus einer von unseren Sicherheitsexperten erstellten Liste die Dateitypen auswählen, die innerhalb des geschützten Ökosystems nicht zugelassen werden sollen. Das System stuft alle Dateien der ausgewählten Dateitypen als schädlich ein und handelt entsprechend einer toolspezifischen Richtlinieneinstellung. Die Funktion verlässt sich nicht auf die Dateierweiterung, sondern nutzt eine intelligente Dateityperkennung.
Elements Vulnerability Management
Der dynamische Vermögensrisiko-Score wurde aktiviert.
Der statische Asset-Risiko-Score wurde ausschließlich auf der Grundlage des CVSS-Basis-Scores berechnet, wobei alte und/oder ausnutzbare Schwachstellen zusätzlich berücksichtigt wurden, ergänzt durch die Markierung der Wichtigkeit des Assets und die Kennzeichnung der Internet-Exposition.
Hier sind die Verbesserungen, die in der zweiten Version des Asset-Risiko-Scores mit der Bezeichnung "Dynamischer Risiko-Score" mit verschiedenen Verstärkungsfaktoren eingeführt wurden:
Die Bewertung ist leicht (von -10% bis +60%) und wird zusammen mit der EPSS-Bewertung (Exploit-Vorhersage) korrigiert, wenn es keine Anzeichen für eine Ausnutzung gibt.
- Sie wird um 20-70 % erhöht, wenn eine Schwachstelle ausgenutzt wird. Die Erhöhung hängt von unserem Wissen über den Reifegrad des Exploits oder der Beobachtung von Vorfällen im Zusammenhang mit der Schwachstelle ab.
- Sie wird durch die Anzahl und das Alter der Cybersicherheitsberichte, in denen die Schwachstelle beschrieben wird, erhöht
- Mit anderen Faktoren wie:
- Berücksichtigung einiger schwerwiegender Schwachstellen im Gegensatz zu einer statischen Risikobewertung, bei der nur die erste Schwachstelle berücksichtigt wird.
- Berücksichtigung der vom Kunden festgelegten Bedeutung des Vermögenswertes.
- Berücksichtigung der Sichtbarkeit der Anlage im öffentlichen Internet.
Elements Vulnerability Management: Systemprüfung
Der Elements Vulnerability Management System Scan wurde aktualisiert, um Sicherheitslücken in den folgenden Produkten als Teil des authentifizierten Scannens für Windows zu erkennen:
- Siemens JT2Go
- QNAP QVR Pro Client
Darüber hinaus wurde ein nicht versionsbasierter Detektor für die VMWare Aria Operations For Networks-Schwachstelle für Remotecodeausführung (CVE-2023-34039) hinzugefügt.
Elements VM-Scan-Knoten Agent: Linux
Eine neue Version des Linux Scan Node Agent wurde veröffentlicht, die mehrere bekannte Probleme behebt und auch die Registrierung für das Elements Vulnerability Management System hinzufügt.
Integrationen
Endpoint Protection API Abonnements: Die Lebensdauer der Endgeräte endet am 11. März 2024.
Die alte Endpunkte für Abonnements sind veraltet und sollten ersetzt werden durch die Abonnement-Endpunkte in der Provisioning API. Um diese Website API zu nutzen, müssen Sie Anfrage Nur-Lese-Zugangsdaten für die Bereitstellung API von WithSecure Support. Der Zugang zu Provisioning API ist nur für Partnerkonten (SOP) möglich.
Die folgenden Endpoint Protection API Abonnement-Endpunkte werden am 11.03.2024 nicht mehr funktionieren:
- Details zum Unternehmensabonnement abrufen
- Details zum Partnerabonnement erhalten
- Firmenabonnements auflisten
- Partnerabonnements auflisten
- Computer aus dem Abonnement entfernen (ersetzt durch Elements API endpoints "Gerätestatus aktualisieren" oder "Gerät löschen")
ERINNERUNG: Elements Konnektor: Kunden, die sich noch mit dem (End of Life) Endpoint Protection API anmelden, müssen die Authentifizierungsdaten von API ändern.
Um eine bessere und einheitlichere Reihe von APIs für WithSecure Elements bereitzustellen, werden wir Endpoint Protection API schrittweise abschaffen und durch Elements API ersetzen. Wenn Ihr Elements Connector verwendet wird, um Sicherheitsereignisse vom WithSecure Elements Portal an Ihr SIEM zu streamen und vor der Version 23.05 konfiguriert wurde, verwendet er möglicherweise noch Endpoint Protection API .
Die Website Elements Security Center warnt Sie, wenn in der Problemliste Aktionen erforderlich sind:
Eine entsprechende Warnung wird auch in der Geräteansicht des Connectors angezeigt:
Um die Funktionalität der Ereignisweiterleitung beizubehalten, wechseln Sie bitte vor dem 31.12.2023 zur Verwendung von Elements API Anmeldeinformationen. Alle Einzelheiten zu den erforderlichen Änderungen finden Sie in der Benutzerhandbuch.
Falls Sie es verpasst haben
Zur Erinnerung: WithSecure Produkte und macOS 14 "Sonoma"
Wie Sie vielleicht wissen, hat Apple angekündigt, dass die nächste Version von macOS (Version 14, auch bekannt als "Sonoma") am 26. September 2023 veröffentlicht werden soll.
Leider hat diese Version zu Inkompatibilitäten mit einigen Produkten von WithSecure geführt.
Die betroffenen Produkte für Mac sind:
- WithSecure Elements Endpoint Detection and Response
- WithSecure Elements Endpoint Protection
- WithSecure Client-Sicherheit (ehemals F-Secure Client-Sicherheit)
- WithSecure Gegenkonzept
Wir haben eine Artikel der Wissensdatenbank die den aktuellen Stand unserer Unterstützung für Sonoma beschreibt. Wir raten Ihnen derzeit, NICHT auf Sonoma zu aktualisieren, es sei denn, dies ist für Ihr Unternehmen entscheidend.
WithSecure arbeitet mit Hochdruck an der Behebung dieser Probleme und wird Updates über die Knowledge Base-Seite bereitstellen.
Teilen Sie Ihre Ideen mit uns
Unser Ziel ist es, die Welt gemeinsam mit Ihnen zu sichern - jetzt als WithSecure™. Um die bestmöglichen Cybersicherheitsprodukte und -dienstleistungen mitzugestalten, empfehlen wir Ihnen, Ihre Ideen über unser Ideenportal mitzuteilen, das jetzt direkt über WithSecure™ Elements Security Center zugänglich ist.
Weitere Informationen
Changelogs und Versionshinweise für alle Teile von WithSecure™ Elements finden Sie auf der Hilfe-Center