Highlights der Redaktion
Elements API Unterstützung zahlreicher Reaktionsmaßnahmen
Wir freuen uns, die Einführung zusätzlicher Reaktionsmaßnahmen in unserer Produktionsumgebung ankündigen zu können. Diese umfassen:
- Profile zuordnen
- Scannen nach Malware
- Anzeige von Meldungen
- Aktivieren von Funktionen wie Debug-Protokollierung
- Sammeln von Diagnosedateien
Diese Verbesserungen sind für unsere Partner, die mit SOAR arbeiten, von entscheidender Bedeutung, da sie nun Playbooks erstellen können, um bestimmte Aktionen automatisch auszulösen.
So können sie beispielsweise ein eingeschränktes Profil zuweisen (anstatt es zu isolieren) und eine Meldung anzeigen, um den Benutzer über den Grund für die Einschränkung zu informieren. Das Playbook könnte auch sofort einen Scan auslösen, ein Profil zum Sammeln von Microsoft-Ereignisprotokollen als Sicherheitsereignisse festlegen, die Debug-Protokollierung aktivieren oder eine Diagnosedatei sammeln. Auf diese Weise stehen einem Analysten mehr Informationen zur Verfügung, wenn er mit der Arbeit an einem Vorfall beginnt.
Endpoint Protection API ist jetzt veraltet
Mit der Unterstützung der Funktion "fehlendes Software-Update" in Elements API wurde Endpoint Protection API vollständig ersetzt. Wir bitten Sie dringend, so bald wie möglich auf Elements API umzusteigen und sicherzustellen, dass Ihr Elements Connector nicht mehr den alten Endpoint Protection API verwendet.
Elements Security Center
Einführung in das Elements News Center
Wir freuen uns, die Veröffentlichung des Elements News Center bekannt zu geben, eine der neuesten Funktionen, die zu unserem Elements Security Center hinzugefügt wurden. Diese Funktion wird es Ihnen leicht machen, über die Geschehnisse auf Security Center auf dem Laufenden zu bleiben, mehr über neue Funktionen zu lesen, die Sie vielleicht ausprobieren möchten, schnell die neuesten Änderungsprotokolle einzusehen und auf die sich ständig verändernde Bedrohungslandschaft zu reagieren.
Viel mehr über das News Center erfahren Sie in unserem Spezialartikel
Elements Endpoint Protection Portal
E-Mail-Berichte
E-Mail-Berichte können jetzt so konfiguriert werden, dass sie in täglichen, wöchentlichen oder monatlichen Abständen gesendet werden. Admins können auch die gewünschte Tageszeit auswählen, zu der sie den Bericht erhalten möchten.
Datenschutzhinweis für URL-Informationen
Wir haben in den Details der Sicherheitsereignisse eine Information hinzugefügt, die erklärt, warum die URL-Information der Website im Ereignis fehlt, und eine Anleitung, wie sie im Profil aktiviert werden kann.
Dynamische Risikobewertung und Ausbruchskontrolle
Die dynamische Risikobewertung kann jetzt als Auslöser für die Ausbruchskontrolle in den Profilzuweisungsregeln verwendet werden. Dadurch kann der Administrator noch mehr Regeln definieren, um sicherzustellen, dass das Endgerät sicherer ist, wenn es aktive Exploits für bekannte Bedrohungen gibt.
Automatisierte Aufgaben können laufen, wenn der Benutzer abwesend ist
Es ist jetzt möglich, automatisierte Aufgaben zu definieren, die ausgelöst werden können, wenn der Benutzer "weg" ist.
Benutzerdefinierte Notizen für Regeln und Ausschlüsse
Es ist jetzt möglich, benutzerdefinierte Notizen für neue Ausschlüsse und Regeln hinzuzufügen, damit der Administrator deutlicher machen kann, warum sie hinzugefügt wurden.
Globale Ausschlüsse für alle Sicherheitsscans
Wir haben jetzt die Möglichkeit hinzugefügt, globale Ausschlüsse für alle Scans zu definieren.
Elements Endpoint Protection
Elements Mobile Protection für Android
Ein Update für die App WithSecure Elements Mobile Protection für Android wurde veröffentlicht.
Diese Version enthält die folgenden neuen Funktionen und Verbesserungen:
- Die Ansicht "Benachrichtigungen" in der App zeigt alle Vorgänge an, die der Administrator anfordert
- Die Benachrichtigungsansicht in der App unterstützt die Filterung
- Der Abonnementstatus wird nun in die Ansicht "Über" verschoben.
Elements Mobile Protection für IOS
Ein Update für die App WithSecure Elements Mobile Protection für iOS wurde veröffentlicht.
Diese Version enthält die folgenden neuen Funktionen und Verbesserungen:
- Die Benachrichtigungsansicht in der App zeigt nun alle vom Administrator angeforderten Vorgänge an
- Die Benachrichtigungsansicht in der App unterstützt jetzt Filterfunktionalitäten
Elements Agent für Windows-Arbeitsplatzrechner und Server
Eine neue Version der Endpunkt-Clients ist verfügbar, und die Endpunkte aktualisieren automatisch, ohne einen Neustart.
Diese Version bringt die folgenden Änderungen:
Verbesserungen des Netzwerkinstallationsprogramms
Dieses Update enthält neue Zuverlässigkeitsverbesserungen für das Netzwerk-Installationsprogramm; es behandelt Probleme mit der Netzwerkverbindung und Fehlermeldungen während des Installationsvorgangs besser.
Datenschutz und Lizenzbedingungen vor Ort
Die Links zu den Datenschutzrichtlinien und den Endbenutzer-Lizenzbedingungen wurden geändert und verweisen nun auf die Website WithSecure "download.withsecure.com", nachdem zuvor f-secure.com verwendet wurde.
Diagnosedatei umbenannt
Die Diagnosedatei "fsdiag.zip" wurde umbenannt in "wsdiag.zip".
Warnung des alten Installateurs
Das Elements Security Center Dashboard zeigt nun eine Warnung an, wenn Elements Agent mit einem Installationsprogramm installiert wurde, das älter als sechs Monate ist. Für eine reibungslose Installation empfehlen wir die Verwendung eines möglichst aktuellen Installationsprogramms.
Zusätzliche Informationen zur Installation in der Ansicht Geräte
Wir haben der Ansicht Geräte auf Elements Security Center zusätzliche Informationen zur Installation hinzugefügt. Dies umfasst Elements Agent Installationszeit und Erstellungszeit des Installationspakets.
Verbesserungen im Ereignisverlauf und bei automatisierten Aufgaben
Die Ansicht Agent Einstellungen-Automatisierte Aufgaben und die Ereignisliste wurden verbessert und zeigen nun die Option "Abwesend" für automatisierte Aufgaben an. Mit der Option "Abwesend" kann eine automatisierte Aufgabe ausgeführt werden, nachdem der Benutzer für eine bestimmte Anzahl von Minuten abwesend war.
Elements Collaboration Protection
Neue Ansicht der Erkennungsdetails
Die Ansicht der Erkennungsdetails wurde erneuert, um die Bedürfnisse der Sicherheitsadministratoren besser zu erfüllen und ihren täglichen Arbeitsablauf zu unterstützen.
Die Seite wurde komplett neu gestaltet, um die Konsistenz von Elements in Design und Funktionalität zu unterstützen. So kann z. B. ein Sicherheitsadministrator jetzt zwischen vorgefilterten Erkennungen navigieren, ohne zur Ansicht "Erkennungen" zurückkehren zu müssen.
Die Aktualisierung geht jedoch über ein Facelifting hinaus. Die Reaktionsmaßnahmen wurden in diese Ansicht aufgenommen, um die unnötige Navigation zwischen den Detailansichten "Quarantäne" und "Erkennung" zu vereinfachen. Die zusätzlichen Informationen und Querverweise sollen den Entscheidungsprozess unterstützen.
Keine ungeschützten Mailboxen mehr aufgrund von Lizenzausfällen
Es gibt jetzt einen besseren Überblick über verfügbare Lizenzen, ihre Nutzung und Ausfälle bei Cloud-Diensten. Die neu gestaltete Ansicht "Abonnements" auf der Seite "Cloud-Dienste" bringt Transparenz darüber, welche Assets aufgrund von Lizenzausfällen ungeschützt sind.
Darüber hinaus benachrichtigt die Funktion Sicherheitsadministratoren auf den Dashboard- und Cloud-Services-Seiten, wenn die Anzahl der Postfächer die Gesamtzahl der Lizenzen überschreitet. Dies trägt dazu bei, dass die Organisation die Lizenzierungsanforderungen einhält.
Elements Vulnerability Management
System-Scan
Die folgenden Funktionen wurden dem authentifizierten Scannen für Windows hinzugefügt:
- Erkennen von Schwachstellen in Vivaldi
- Schwachstellen in JSCAPE MFT aufspüren
- Schwachstellen in Honeyview erkennen
- Schwachstellen in GitHub erkennen
Außerdem wurde die Erkennung des JSCAPE MFT Server-Produkts (ohne Version) zum Remote-Scanning hinzugefügt.
Integrationen
Elements API
Elements Collaboration Protection (ECP) Sicherheitsereignisse
Sicherheitsereignisse in Bezug auf E-Mail, Teams, Onedrive und Sharepoint wurden hinzugefügt..
Bitte beachten: Um auf diese Ereignisse zugreifen zu können, müssen Integrationen zu einem neuen API Endpunkt "Query EPP, EDR und Collaboration Protection Security Events" wechseln, der den bisherigen "Read list of security events" ersetzt.
Beschreibung zu den Endpunkten EDR incidents und detections hinzugefügt
Die Vorfallsanalyse EDR kann über API gelesen und zu einem Bericht oder einem Ticket hinzugefügt werden. Menschenfreundliche Beschreibungen der Erkennung innerhalb eines EDR Vorfalls helfen bei der Einstufung von Vorfällen innerhalb einer SOAR.
Bessere Filterung von Geräten
Es ist jetzt möglich, nach AD-Gruppe, Betriebssystem und öffentlicher IP-Adresse zu filtern
Abfrage fehlender Softwares Update pro Gerät
Es ist jetzt möglich, zu prüfen, welche Geräte fehlende Patches haben, und dann die Liste der fehlenden Patches zu erhalten.
Mit der Veröffentlichung dieser neuen Funktionalitäten in Elements API haben wir die Ende der Lebensdauer des entsprechenden Endpunkts in Endpoint Protection API , und folglich ist Endpoint Protection API vollständig veraltet.
Leistungsverbesserung beim Endpunkt Vorfälle
Um die Leistung zu verbessern, sollte der API -Aufrufer archived=false in die Abfrage aufnehmen
Beispiel:
curl -H "Authorization: Bearer $TOKEN" https://api.connect.withsecure.com/incidents/v1/incidents?archived=false
Neue Reaktionsmaßnahmen verfügbar
Für die Endpunkt für Geräteoperationen Unterstützung für die folgenden neuen Operationen wurde hinzugefügt:
- Profil zuweisen
- nach Malware scannen
- Nachricht anzeigen
- Funktion einschalten: Debug-Protokollierung
- Diagnosedatei sammeln
Andere Themen von Interesse
Monatlich Threat Highlights Report: September 2023
QakBot und DarkGate
QakBot ist ein Banking-Trojaner, der seit 2007 aktiv ist. In den letzten Jahren wurde er für die Verbreitung von Ransomware und anderer Malware verwendet. DarkGate ist eine neue Malware-Familie, die beobachtet wurde und die Lücke füllt, die QakBot hinterlassen hat.
TeamsPhisher und Sturm-0324
TeamsPhisher ist ein Phishing-Tool, das auf Microsoft Teams-Benutzer abzielt. Storm-0324 ist ein Bedrohungsakteur, der TeamsPhisher zur Verbreitung von Malware eingesetzt hat.
Böswillige Übernahme von Subdomains
Hierbei handelt es sich um eine Technik, bei der Bedrohungsakteure die Kontrolle über eine zu einer legitimen Website gehörende Subdomain übernehmen und diese zum Hosten von Malware oder für Phishing-Angriffe nutzen.
Falsche Bewertung einer Sicherheitslücke in Firewalls und Switches von Juniper
Bezieht sich auf eine Sicherheitslücke in Juniper-Firewalls und -Switches, die zunächst als wenig schwerwiegend eingestuft wurde, sich später aber als schwerwiegender herausstellte. Die Schwachstelle könnte es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und Zugang zu vertraulichen Informationen zu erhalten.
Hacktivistische Angriffe in Kanada und Europa
Unter Hacktivismus versteht man den Einsatz von Hacking und anderen Formen des digitalen Aktivismus zur Förderung eines politischen oder sozialen Anliegens. Der Bericht beleuchtet die jüngsten Hacktivismus-Angriffe in Kanada und Europa, darunter Angriffe auf Regierungswebsites und kritische Infrastrukturen.
Ransomware-Trends
Ransomware ist eine Art von Malware, die die Dateien eines Opfers verschlüsselt und eine Zahlung im Austausch für den Entschlüsselungsschlüssel verlangt. Der Bericht enthält Statistiken und Trends zu Ransomware-Angriffen und stellt mehrere neue Ransomware-Familien vor.
Aufsehenerregende Sicherheitslücken und Exploit-Probleme
Der Bericht hebt mehrere Schwachstellen und Exploits hervor, die von Angreifern genutzt werden könnten, um Zugang zu sensiblen Informationen zu erhalten oder kritische Infrastrukturen zu stören. Dazu gehören CVE-2018-0802, CVE-2018-8653, CVE-2018-0798, CVE-2023-23397, CVE-2017-0199, CVE-2017-11882, CVE-2010-0033, CVE-2023-28274, CVE-2010-4452, und CVE-2023-21716.
Bericht herunterladen
Monatlich Threat Highlights Report: Oktober 2023
Phishing-Kampagne beeinträchtigt Finnland
Phishing-Kampagne, die auf finnische Organisationen abzielt. Die Angreifer nutzen eine Vielzahl von Taktiken, um die Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben, einschließlich der Versendung gefälschter E-Mails, die scheinbar von legitimen Quellen stammen.
Markt für Infostealer
Aktueller Stand des Infostealer-Marktes, bei dem es sich um eine Art von Malware handelt, die darauf ausgelegt ist, sensible Informationen von infizierten Systemen zu stehlen. Der Bericht stellt fest, dass der Markt derzeit von einigen wenigen Hauptakteuren beherrscht wird und dass die Malware häufig in Untergrundforen verkauft wird.
Die Folgen der Kompromittierung von Okta
Überblick über die Folgen der Kompromittierung von Okta, einem Unternehmen, das Identitäts- und Zugriffsverwaltungsdienste für viele andere Drittanbieter bereitstellt. Der Bericht stellt fest, dass die Angreifer in der Lage waren, auf Kundenkonten bei 1Password, Beyond Trust und Cloudflare zuzugreifen, indem sie in HAR-Dateien enthaltene Anmeldeinformationen, Cookies und Sitzungs-Token missbrauchten.
HTTP/2 Schnell-Reset-DDoS-Technik
Eine neue DDoS-Technik, mit der eine Schwachstelle im HTTP/2-Protokoll ausgenutzt werden soll. Bei dieser Technik wird eine Reihe speziell gestalteter Anfragen gesendet, die den Server dazu veranlassen, die Verbindung zurückzusetzen, was zu einer Dienstverweigerung führen kann.
Hacktivistische Landschaft
Aktueller Stand der Hacktivistenlandschaft, die durch den anhaltenden Konflikt in Israel weiter geprägt wurde. Der Bericht stellt fest, dass Hacktivistengruppen zunehmend soziale Medien nutzen, um ihre Botschaft zu verbreiten und ihre Aktivitäten zu koordinieren.
Ransomware-Landschaft
Statistiken über bekannte Ransomware-Angriffe, einschließlich der Anzahl der Angriffe und der Höhe des geforderten Lösegelds. Der Bericht stellt fest, dass Ransomware-Angriffe weiterhin eine große Bedrohung für Unternehmen aller Größenordnungen darstellen
Darkgate-Schadprogramm
Der Bericht enthält einen Verweis auf eine umfassendere Forschungsarbeit über die Darkgate-Malware, bei der es sich um einen finanziell motivierten Cyberkriminellen handelt, der mehrere Malware-Familien einsetzt, um Fachleute für digitales Marketing anzugreifen.
Bericht herunterladen
Falls Sie es verpasst haben
Unterstützung für macOS 14 "Sonoma"
Mehr über unsere aktuelle Unterstützung für macOS 14 erfahren Sie in unserem Spezialartikel
Netzwerkadressen für WithSecure Elements
Für die meisten Kunden funktioniert WithSecure Elements sofort nach dem Auspacken. Einige Administratoren kontrollieren jedoch streng die Adressen, die von ihren Netzwerken aus erreichbar sind, und für sie haben wir eine umfassende Liste aller Server, mit denen sich unsere Kunden verbinden.
Teilen Sie Ihre Ideen mit uns
Unser Ziel ist es, die Welt gemeinsam mit Ihnen zu sichern - jetzt als WithSecure™. Um die bestmöglichen Cybersicherheitsprodukte und -dienstleistungen mitzugestalten, empfehlen wir Ihnen, Ihre Ideen über unser Ideenportal mitzuteilen, das jetzt direkt über WithSecure™ Elements Security Center zugänglich ist.
Weitere Informationen
Changelogs und Versionshinweise für alle Teile von WithSecure™ Elements finden Sie auf der Hilfe-Center
