Highlights der Redaktion
Extended Detection and Response
Endpoint Protection
Elements Agent für Windows: Version 24.6
Eine neue Version der Endpunkt-Clients ist verfügbar.
Mit diesem Release steht die Elements Agent Version 24.6 zur Verfügung (interne Version 24.6.339).
Die Endpunkte aktualisieren sich automatisch, ohne dass ein Neustart erforderlich ist.
Merkmale:
Elements Agent unterstützt nun die Migration von Countercept. Die Aktivierung eines Abonnements, das die Komponente EDR enthält, deinstalliert die Countercept Agent.
Ein neues Sicherheitsereignis wird gesendet, wenn Elements Agent deinstalliert wird.
Ein neuer Status "Letzter Neustartzeitpunkt" wird an das Portal gesendet
Darüber hinaus:
- Elements Agent unterstützt die Konfiguration von APIPA-Adressen (automatische private Internetprotokoll-Adressierung) in den Netzwerk-Standorteinstellungen / Standorte und Regeln.
- Elements Agent unterstützt jetzt Windows Server 2025.
Elements Agent für macOS: Version 24.5.53798
Eine neue Version von Elements Agent für macOS wurde veröffentlicht.
Diese Version bringt eine EDR-only Produktvariante
Das Installationsprogramm kann heruntergeladen werden von hier.
Elements Agent macOS 24.5.53798 unterstützt die folgenden macOS-Versionen:
- macOS 15 Sequoia
- macOS 14 Sonoma
- macOS 13 Ventura
Elements Mobile Protection Neue Version für iOS (24.8.11250)
Ein Update für die WithSecure Elements Mobile Protection App für iOS (24.8.11250) wurde veröffentlicht.
Sie enthält die folgenden neuen Funktionen und Verbesserungen:
- Ermöglicht es Benutzern, verarbeitete URLs lokal zu blockieren.
- Unterstützt die Einstellung "Alles blockieren, außer der Zulassungsliste".
- Unterstützt eine erweiterte Filterung für Warnmeldungen in Bezug auf blockierte URLs.
Endpoint Detection and Response
EDR: Verbesserung der Filterung
Mit unserer neuen Filterung können Sie die Ereignisse auf agent leicht aufschlüsseln und durchsuchen. So können Sie EventSearch verwenden, um die Ereignisse zu untersuchen und Ereignisse zu ignorieren, die für Ihre Untersuchung nicht nützlich sind. Diese Verbesserung soll Ihnen die Nutzung des Portals noch angenehmer machen. Viel Spaß beim Suchen!
Wir haben folgende Verbesserungen in der Ansicht Ereignissuche veröffentlicht:
Vorgefüllte Filter
Bei der Anwendung von Filtern kann der Benutzer sehen, wie das Werte-Dropdown mit allen eindeutigen Werten gefüllt wird.
Es gibt maximal 500 Werte, die in der Dropdown-Liste angezeigt werden. Wenn der Administrator den Wert in der Liste nicht finden kann, muss er seine Suche durch Anwendung geeigneter Filter eingrenzen.
Bei einigen Feldern besteht auch die Möglichkeit, den Operator "Nicht gleich" auszuwählen, um auf der Grundlage von Ausschlüssen zu suchen.
Bei der Anwendung von Filtern kann der Administrator nun mehrere Werte aus dem Dropdown-Menü auswählen. Dies gilt sowohl für die Operatoren "Gleich" als auch "Nicht gleich".
EDR: Auslöserreaktionen jetzt über das BCD verfügbar
Um eine schnellere Untersuchung zu ermöglichen und die Benutzerfreundlichkeit für Endpunkt-BCDs zu verbessern, kann der Elements -Administrator nun aus den BCD-Details heraus Antwortaktionen auslösen, so dass er während der Untersuchung eines BCDs nicht zwischen der BCD-Ansicht und der Antwortansicht wechseln muss.
Wie man eine Antwort einreicht:
Der Administrator kann im Portal Elements zum Endpunkt BCD navigieren.
In den BCD-Details -> Schnellaktionen kann der Administrator die Liste der Antwortaktionen sehen, die für die BCD ausgelöst werden können. Gegenwärtig kann der Benutzer die folgenden Antwortaktionen auslösen:
Aufgaben aufzählen
Prozesse aufzählen
Der Administrator hat auch die Möglichkeit, diese Antwortaktionen über die Prozessdetails auszuführen
Sobald der Administrator einen Antwortauftrag auslöst, wird eine Pop-up-Meldung angezeigt, in der er sehen kann, ob der Antwortauftrag erfolgreich übermittelt wurde, sowie der Link zu den Antwortdetails
Wenn Sie auf die Schaltfläche "Antwortdetails anzeigen" klicken, kann der Administrator die Details des übermittelten Antwortauftrags einsehen
Der Administrator kann durch Anklicken des Links "Source BCD" zum BCD zurückkehren.
Der Administrator kann auch alle Antworten in der Antwortansicht anzeigen. Um nur die Endpunktantworten zu sehen, filtern Sie die Daten nach Aktionstyp = "Endpunkt".
Identity Security
Aktualisierungen des Modells zur Erkennung von Anmeldungen
- Erweiterter Standortkontext: Wir haben unser Modell verbessert, um regelmäßige Orte besser zu erkennen und Fehlalarme für unmögliche Reisen auf Benutzerbasis zu reduzieren.
- VPN-Bewusstsein: Unser Modell verfügt jetzt über eine verbesserte Erkennung für private und geschäftliche VPNs. Diese Verbesserung trägt dazu bei, Fehlalarme zu reduzieren, die durch die VPN-Nutzung verursacht werden und den Anschein erwecken können, dass Sie sich von einem neuen Standort aus anmelden, obwohl dies in Wirklichkeit nicht der Fall ist. Durch die Erkennung von VPN-Mustern kann das Modell Ihren wahren Standort genauer bestimmen und unnötige Warnungen reduzieren.
Verringerung des Rauschens in Risiko-Anmeldeberichten (für Kunden mit Microsoft P2-Lizenz)
- Weniger nicht umsetzbare Warnmeldungen: Wir haben Warnungen mit zu vielen Anomalien, die keine Maßnahmen erfordern, entfernt, damit wir uns besser auf wichtige Themen konzentrieren können.
- Unterdrückung häufiger Anomalien: Wir unterdrücken jetzt häufige Anomalien aus bekannten Quellen, um unnötiges Rauschen zu reduzieren.
Exposure Management
Der Status von mehreren Empfehlungen kann jetzt auf der Seite Empfehlungsliste eingestellt werden
Wenn Sie mehrere Empfehlungen auswählen, wird das Aktionsfenster aktiviert. Der Status wird für die Empfehlungen zur weiteren Verfolgung gespeichert. z. B. zeigt der Status im Widget Home → Exposure nur aktive Empfehlungen an (aktive Empfehlung = Status nicht "Erledigt" oder "Falsch positiv")
"Änderungen des Widgets "Erkenntnisse in dieser Empfehlung
Dieses Widget auf der Empfehlungsdetailseite hat eine neue Spalte "zuletzt gesehen", die den Zeitstempel anzeigt, wann dieser Befund zuletzt gesehen wurde. Diese Spalte vermittelt eine bessere Vorstellung davon, wie aktuell die Scanergebnisse sind.
Verbesserte Genauigkeit bei der Bewertung der Auswirkungen von Abhilfemaßnahmen
Dies ermöglicht eine genauere Unterscheidung der Empfehlungen und eine bessere Priorisierung der Empfehlungen, wenn die Werte für die Auswirkungen der Abhilfemaßnahmen nahe beieinander liegen.
Änderungen im Identitätsprüfungsprotokoll
Wenn der Benutzer Identitätseigenschaften wie Wichtigkeit und Geschäftskontext ändert, sind diese nun in Elements Audit-Protokollen verfügbar. Darüber hinaus werden auch Aktionen wie das Erhöhen einer Empfehlung auf WithSecure aufgenommen.
Erweiterte Logik zur Überprüfung des MFA-Status der Identität
Der korrekte MFA-Status wird jetzt auf der Identität mit Ampelfarben angezeigt, je nach dem gemeldeten MFA-Status in O365, Portal und anderswo von Microsoft.
Neues "Coverage"-Widget auf der Startseite → Exposure Widget
Dieses neue Widget zeigt die Exposure Management Berichterstattung über ein ausgewähltes Unternehmen aus verschiedenen Blickwinkeln.
Grüne Farbe in jedem Bereich zeigt an, ob das Unternehmen das Onboarding mit WithSecure Exposure Management erfolgreich abgeschlossen hat und die Scans in diesem Bereich einwandfrei laufen.
Orange Farbe: Zeigt an, dass das Unternehmen über die richtigen Lizenzen verfügt, um auf Exposure management zuzugreifen, aber die Konfiguration oder das Onboarding noch nicht abgeschlossen ist. In diesem Fall wird der Benutzer durch Klicken auf den Bereich zu einer entsprechenden Ansicht weitergeleitet, in der die Konfiguration oder das Onboarding abgeschlossen werden kann.
Graue Farbe: Zeigt an, dass das Unternehmen nicht über die erforderlichen Lizenzen verfügt, um in dem Gebiet an Bord zu gehen. In diesem Fall wenden Sie sich bitte an das Verkaufspersonal, um weitere Informationen darüber zu erhalten, wie Sie die entsprechende Lizenz erhalten können.
Vulnerability Management
EVM: System Scan
Authenticated Scanning for Windows wurde um die Möglichkeit erweitert, Sicherheitslücken in den folgenden Produkten zu erkennen:
- Acronis Cyber Files
- Autodesk Revit
- BandiView
- HP Hotkey-Unterstützung
- Intel einAPI Basis-Toolkit
- iTunes für Windows
- NetApp 7-Modus-Übergangstool
- Okta Verify für Windows
- Solarwinds Kiwi CatTools
- Splashtop Personal und Business
- Splashtop Software Updater
- Synology Active Backup für Unternehmen Agent
- Synology Assistent
- Synology Cloud Station-Laufwerk
- Synology Drive Client
- Vagrant VMware-Dienstprogramm
Andere Themen von Interesse
Highlight-Berichte zu Bedrohungen: November
Hinweis auf Bedrohungen: Citrix Virtual Apps & Desktops (CVE-2024-8068 / CVE-2024-8069)
Citrix veröffentlichte am 12. November 2024 einen Sicherheitshinweis zu einer Schwachstelle in ihrem Produkt "Virtual Apps & Desktops".
Die Funktion "Citrix-Sitzungsaufzeichnung" des Produkts weist eine anfällige Implementierung der Netzwerknachrichtenfunktion (MSMQ HTTP-Messaging) auf, die für die Verbindung zwischen dem virtuellen Desktop und dem Citrix-Sitzungsaufzeichnungsserver verwendet wird.
Die Ausnutzung der Schwachstelle ermöglicht die Ausweitung der Privilegien auf einen Benutzer der SYSTEM-Ebene (sowie die Übernahme der Identität eines bestehenden Benutzers).
Citrix weist darauf hin, dass für die Sicherheitslücke bestimmte Bedingungen erfüllt sein müssen (nämlich ein authentifizierter Benutzer in derselben Active Directory-Domäne). Die Forscher, die die Schwachstelle aufgedeckt haben, wiesen jedoch darauf hin, dass ein über das Internet erreichbarer Sitzungsaufzeichnungsserver eine erfolgreiche Fernausnutzung der Schwachstelle ermöglichen könnte.
Ein Proof-of-Concept wurde am selben Tag wie der Hinweis veröffentlicht, und kurz darauf wurden Versuche, die Schwachstelle auszunutzen, online beobachtet.
Hinweis auf Bedrohungen: Befehls- und Scripting-Interpreter
Im Oktober 2024 stellte Splunk mehrere aktuelle Sicherheitsberichte zusammen. Aus dieser Zusammenstellung sticht eine Technik hervor: Command and Scripting Interpreter (T1059)
Diese Technik macht sich die Tatsache zunutze, dass die meisten Betriebssysteme über eine integrierte Befehlszeilenschnittstelle und Skripting-Funktionen verfügen.
Angreifer können diese Technologien auf verschiedene Weise missbrauchen, um beliebige Befehle auszuführen.
Sie können sich einschreiben um die monatlichen Bedrohungsberichte mit allen Einzelheiten zu diesen Bedrohungen zu erhalten.
Weitere Informationen
Changelogs und Versionshinweise für alle Teile von WithSecure™ Elements finden Sie auf der Hilfe-Center.
