Articles de support What's New in Elements

Juin 2023

Points forts de la rédaction

Elements Centre de sécurité - Scope Management

Nous avons apporté quelques modifications à la manière dont la portée organisationnelle est affichée dans le centre de sécurité Elements, ce qui la rend plus cohérente dans toutes les parties du portefeuille Elements. Vous trouverez plus de détails ci-dessous.

Elements Centre de sécurité

Nouvelles fonctionnalités

Exportation de graphiques

Tous les graphiques de la page reports peuvent désormais être exportés sous forme de fichiers SVG.

Historique de l'appareil

Ajout d'un historique des modifications des données de l'appareil dans les détails de l'appareil.

Les champs actuellement pris en charge sont les suivants : Protection globale, état des mises à jour logicielles, isolation du réseau, redémarrage nécessaire, profil attribué, état de l'attribution du profil, adresses IP, IP publique, dernier utilisateur et UPN.

Modifications des vues sauvegardées

Les vues personnalisées peuvent désormais être partagées en utilisant le bouton "Move to organization views". Les vues d'organisation sont visibles par tous les administrateurs du même niveau d'organisation.

Il est désormais possible de définir une vue par défaut. La vue par défaut sera appliquée par défaut lors de la prochaine connexion au portail.

L'organisation et le site system views peuvent désormais être masqués.

Les détails de l'appareil ont maintenant une option pour se connecter avec RDP

Il est désormais possible de se connecter avec RDP à des ordinateurs directement depuis le portail Elements.

A noter : Cette fonctionnalité nécessite un abonnement premium.

Exporter les appareils concernés

Il est désormais possible d'exporter la liste des appareils concernés à partir de la fenêtre d'affichage pour les mises à jour manquantes sélectionnées.

Mises à jour du logiciel, modifications du journal d'installation

Le journal affiche désormais des colonnes distinctes pour KB ID

Elements scope management.

Elements scope management

Elements Le Security Center scope management a été introduit. Cela change la façon dont WithSecure Elements Security Center est utilisé pour gérer plusieurs entreprises sous l'organisation d'un fournisseur de solutions (SOP) ou d'un partenaire de services (SEP).

Toutes les entreprises relèvent de la même hiérarchie organisationnelle

Elements Le Security Center dispose d'une hiérarchie d'organisation. Il s'agit d'une arborescence à trois niveaux qui permet de gérer un grand nombre d'entreprises. Avec Elements scope management , cette hiérarchie à trois niveaux est partagée et synchronisée avec toutes les capacités de sécurité de Elements.

Elements Le composant de l'interface utilisateur du sélecteur d'étendue permet de visualiser la hiérarchie des organisations et de mettre en évidence les types d'abonnements de chaque entreprise (voir l'image ci-dessous).

Ici, "Data Fellows Security" est l'organisation de niveau supérieur du fournisseur de solutions (SOP) à laquelle sont rattachées plusieurs entreprises. Le sélecteur de champ d'application Elements indique l'indicateur du type d'abonnement au sein de l'entreprise et présente l'union des types d'abonnements disponibles pour les organisations de fournisseurs de solutions et de partenaires de services.

Dans l'exemple, l'entreprise "BE Consultancy Services" a souscrit des abonnements pour la protection des points finaux, la détection et la réponse aux points finaux et la gestion des vulnérabilités (icônes en surbrillance). L'entreprise "BE Consultancy Services" n'a pas d'abonnement à la protection de la collaboration ou à la gestion de la posture de sécurité dans le nuage (icônes en grisé).

Sélection synchronisée du champ d'application

Grâce à ces améliorations, la sélection des champs d'application à l'intérieur de Elements est entièrement synchronisée entre les différentes parties du centre de sécurité Elements. Cela signifie que lorsque vous changez d'organisation alors que vous êtes dans Endpoint Protection dashboard et que vous passez ensuite à une autre partie du Security Center Elements, par exemple à Collaboration Protection dashboard, votre sélection d'organisation est toujours conservée jusqu'à ce que vous choisissiez explicitement une autre portée d'organisation.

Synchronisation des menus

Le menu de navigation du centre de sécurité Elements s'adapte aux fonctions disponibles pour l'organisation sélectionnée et l'utilisateur actuel.

L'exemple ci-dessous montre le comportement du menu de navigation lorsque l'organisation sélectionnée dispose d'un nombre limité d'abonnements.

La société "Computational Fluid Dynamics" n'a que des abonnements Endpoint Protection et Endpoint Detection and Response. Les autres fonctionnalités de sécurité de Elements ne sont donc pas disponibles en raison de l'absence d'abonnement. Les fonctionnalités de gestion communes sont disponibles pour toutes les organisations.

Dans les cas où l'organisation a souscrit un abonnement mais que l'accès des utilisateurs à une capacité de sécurité donnée est limité, cela est indiqué dans le menu Elements par "No access". Dans l'exemple ci-dessous, l'utilisateur n'a pas accès à la gestion des mesures de sécurité dans le nuage alors que l'organisation est abonnée à cette fonction.

Il est également possible que l'organisation de l'entreprise ait restreint Accès du fournisseur de solutions et du partenaire de services aux données de leur entreprise. Ces cas sont indiqués par l'étiquette "Restreint" dans l'élément de menu correspondant (voir l'exemple ci-dessous).

Elements Protection des points finaux

Elements Agent pour Windows et le serveur nouvelle version 23.5

Une nouvelle version du client endpoint pour Windows est disponible. Cette version rend disponible la version 23.5 de l'agent Elements (version interne 23.5.378).

Les terminaux sont mis à niveau automatiquement, sans redémarrage.

WithSecure Retour en arrière

Nous avons ajouté une nouvelle fonctionnalité au client, qui permet d'annuler les modifications non souhaitées dans le cas improbable où un logiciel malveillant aurait été autorisé à s'exécuter.

Modification à distance des listes d'exclusion locales

Il est désormais possible de modifier à distance les listes d'exclusion locales, directement à partir du Centre de sécurité Elements.

Action à distance pour redémarrer l'agent Elements

Nous avons ajouté une nouvelle opération à distance pour redémarrer Elements Agent directement depuis le portail Elements. Le redémarrage des services permet de résoudre divers problèmes des clients sans avoir à redémarrer le système.

Informations sur l'unité centrale communiquées au centre de sécurité

L'agent Elements envoie désormais les informations relatives à l'unité centrale au portail reports.

L'agent envoie plus d'informations à Elements Security Center

L'agent envoie maintenant plus d'informations sur les dossiers partagés et les utilisateurs connectés au portail.

Le client reports si le RDP est activé sur le client

L'agent reports si les services RDP sont activés sur le client, ce qui permet au Centre de sécurité Elements d'afficher une option de connexion par RDP.

Elements Détection des points finaux et réponse

De nouvelles actions de réponse sont publiées.

WithSecure Elements EDR a lancé de nouvelles actions de réponse.

Les nouvelles mesures d'intervention sont les suivantes

Récupérer Amcache
Récupérer les entrées de traçage du journal des événements
Récupérer les fichiers jumplist
Récupérer Prévoir
Récupérer les fichiers de cache RDP
Récupérer les fichiers récemment consultés
Récupérer la base de données System Resource Usage Monitor

Ces nouvelles actions de réponse se concentrent sur l'identification de la persistance sur les points finaux et fournissent aux équipes de détection un moyen rapide de collecter ces informations.

Les nouvelles actions de réponse peuvent être facilement trouvées en utilisant la fonctionnalité de recherche dans l'assistant de réponse.

Comme toutes les autres actions de réponse, celles-ci peuvent être exécutées simultanément sur plusieurs appareils avec une définition de réponse et des résultats (provenant des appareils sélectionnés) disponibles et stockés dans le portail Elements.

Nouvelle méthode automatisée pour supprimer les faux positifs répétés

Une nouvelle méthode de suppression du bruit a été mise en œuvre dans le pipeline de détection XDR. Après l'application de ce changement, les délais de création des incidents (BCD) ont été beaucoup plus courts qu'auparavant !

Fermé - Faux positif: L'incident a été clôturé et n'est plus surveillé. La détection n'était pas malveillante.

Fermé - Faux positif automatique: L'incident a été clôturé automatiquement en tant que faux positif sur la base d'incidents identiques qui ont été clôturés en tant que faux positifs.

Afin d'optimiser les performances du système, un mécanisme de suppression automatique sera activé si une partie de la détection d'un incident marqué comme faux positif se répète plus de 4 jours au cours d'une période de 30 jours, ou se répète plus de 5 fois par jour.

Si, par la suite, un incident précédemment marqué comme faux positif est marqué comme confirmé, tous les incidents identiques sont automatiquement rouverts. Dans ce cas, le mécanisme de suppression automatique est également désactivé pour les détections futures.

Elements Collaboration Protection

En juin, l'équipe de Collaboration Protection a achevé la série d'améliorations apportées au backend du produit et aux systèmes d'infrastructure. Ces améliorations sont un ensemble de changements durables et architecturaux couvrant le passage à la multi-location, la récupération des points critiques, le dépassement des limitations techniques et de la dette technique.

Les principaux résultats de ces changements sont les suivants :

Temps de réponse plus rapide, temps d'analyse et d'action en cas de détection d'un contenu préjudiciable
Diminution du temps d'accueil d'un locataire, et donc du temps de protection initiale
Stabilité et fiabilité du système.

Elements Gestion de la vulnérabilité

Analyse du système

Les fonctionnalités suivantes ont été ajoutées à l'analyse authentifiée pour Windows :

Détecter les vulnérabilités de l'USB pour le bureau à distance
Détecter les vulnérabilités dans Tracker PDF-XChange Editor
Détecter les vulnérabilités de Fortinet
Détecter les vulnérabilités dans OpenSC

Elements Portail de gestion des vulnérabilités

Ajout d'un journal d'activité pour la suppression des événements d'alias d'actifs

Ce journal fournit une visibilité sur les actions entreprises lors de la suppression d'un alias d'actif, ce qui permet d'améliorer le suivi et l'audit des activités de gestion des actifs.

Ajout d'une fonctionnalité d'enregistrement des événements pour l'activation et la désactivation de l'analyse des agents.

Intégrations

Endpoint Protection API: Les points de terminaison des invitations au provisionnement prendront fin le 3 novembre 2023.

Les anciens points de terminaison des invitations sont obsolètes et doivent être remplacés par les nouveaux points de terminaison des dispositifs Elements:

Les points finaux d'invitation Endpoint Protection API suivants cesseront de fonctionner le 03.11.2023 :

Créer une nouvelle invitation
Liste des invitations en attente ou expirées
Supprimer les invitations
Renouveler les invitations expirées
Renvoyer les invitations en attente

Rappel : Afin de fournir un ensemble meilleur et unifié d'API pour WithSecure Elements , nous supprimons progressivement l'option Endpoint Protection API et en le remplaçant par Elements API. Les points d'extrémité suivants atteindront bientôt leur fin de vie, comme indiqué précédemment dans ce journal des modifications :

Fin des ordinateurs : 30 mai
Security events Date limite : 30 juin
Fin de l'entreprise : 31 juillet

API de provisionnement

Update Service Partner Nom (SEP)

Ce nouvel appel API permet de modifier le nom d'un partenaire de service (SEP) existant en utilisant l'identifiant unique décrit dans le document ce lien.

Elements API

De nouvelles propriétés ont été ajoutées à liste des périphériques point d'extrémité

Espace total et espace libre sur le disque système
Mémoire physique totale et libre
le score de risque de la gestion des vulnérabilités. Cette valeur n'est calculée que pour les appareils dotés d'un module VM actif.
EDR compteurs d'incidents
Modèle d'ordinateur et version du BIOS
Version de la base de données des logiciels malveillants et date de sa dernière mise à jour
Liste des adresses MAC
Propriété qui indique si l'utilisateur a des privilèges d'administrateur

Gérer les appareils

De nouveaux critères d'évaluation ont été publiés :

Mise à jour de l'état de l'appareil - le client peut bloquer ou désactiver des dispositifs
Supprimer les dispositifs - le client peut supprimer le dispositif
Lister les appareils a été mis à jour et les appareils peuvent désormais être filtrés par état. De plus, le champ "état" est toujours renvoyé dans la réponse.

Liste des incidents

Un nouveau point final a été publié :

Liste des incidents - le client peut consulter la liste des incidents dans l'organisation

Autres éléments d'intérêt

Mensuel Threat Highlights Report: mai 2023

Faits marquants du mois

Domaines de premier niveau nouvellement introduits

Le rapport met en évidence les dangers associés aux domaines de premier niveau nouvellement introduits et la manière dont ils peuvent être exploités par les cybercriminels pour lancer des attaques de phishing et d'autres activités malveillantes.

Contournement des vulnérabilités de Microsoft Outlook

Le rapport traite d'une vulnérabilité récente de Microsoft Outlook qui a été corrigée mais qui peut encore être contournée en raison d'un bogue dans la plate-forme HTML. Cette vulnérabilité pourrait permettre à des attaquants d'exécuter un code malveillant sur les systèmes concernés.

Exploitation active de vulnérabilités dans des plugins WordPress courants

Le rapport identifie plusieurs vulnérabilités activement exploitées dans des plugins WordPress courants, notamment une faille XSS (cross-site scripting) réfléchie de haute sévérité dans le plugin Advanced Custom Fields.

Le marché croissant des voleurs d'informations

Le rapport fait le point sur l'état du marché croissant des voleurs d'informations et sur la manière dont les cybercriminels l'utilisent pour dérober des informations sensibles à des particuliers et à des organisations.

L'état des groupes hacktivistes

Le rapport fait le point sur l'état des groupes dits "hacktivistes" et sur leurs activités, y compris les attaques récentes contre des agences gouvernementales et des entreprises.

L'état actuel des ransomwares

Enfin, le rapport examine de plus près l'état actuel des ransomwares et identifie plusieurs nouveaux venus dans ce paysage de menaces en pleine expansion.

Télécharger le rapport complet

Au cas où vous l'auriez manqué

Partagez vos idées avec nous

Notre objectif est de co-sécuriser le monde avec vous - maintenant en tant que WithSecure™. Pour cocréer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de partager vos idées via notre portail d'idées, désormais accessible directement depuis WithSecure™ Elements Security Center.

Plus d'informations

Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide

https://connect.withsecure.com/api-reference/elements#tag--invitations