Points forts de la rédaction
Evaluation dynamique des risques pour Elements Vulnerability Management
WithSecure Elements Vulnerability Management utilise désormais l'évaluation dynamique des risques pour adapter l'évaluation des risques en fonction des événements actuels et des exploits connus. Vous trouverez plus d'informations ci-dessous dans la section Elements Vulnerability Management .
Révision de la vue Broad Context Detections sur Elements Endpoint Detection and Response
Nous avons apporté quelques modifications à la présentation des BCD sur le site Elements EDR . Vous trouverez plus de détails sous Elements Endpoint Detection and Response ci-dessous. Nous pensons que vous apprécierez ces changements !
Elements Security Center
Ajout d'un filtre sur le type de système d'exploitation d'un appareil pour les événements de sécurité
Ajout d'un filtre par unité organisationnelle Active Directory pour les événements de sécurité
Périphériques non protégés sur lesquels le client WithSecure EPP a été installé précédemment
Si ces appareils ont été explicitement désactivés par l'administrateur, ils sont désormais considérés comme protégés et n'apparaissent donc pas dans la liste des appareils non protégés.
L'affichage des rapports par courrier électronique a été ajouté
Le rapport sur l'état des dispositifs dispose désormais d'une fenêtre d'information.
Des événements similaires
Nous avons ajouté une fonctionnalité destinée à aider les administrateurs de sécurité à avoir une vue d'ensemble et à reconnaître plusieurs événements à la fois. Dans le menu d'action, il y a un nouvel élément "Afficher les événements similaires", qui ouvre le menu déroulant avec tous les événements similaires. L'icône d'information située près du titre indique pourquoi nous pensons que ces événements sont similaires. Les filtres sont copiés de la vue principale et vous pouvez les ajuster pour affiner votre recherche ou limiter le nombre d'événements affichés. En bas de la vue se trouve le bouton "Acquitter tout", qui envoie une demande d'acquittement pour tous les événements actuellement visibles dans la vue. Veuillez noter que l'accusé de réception de nombreux événements peut prendre du temps et qu'il n'apparaîtra pas immédiatement sur le portail. Il y a également une limite supérieure de 10000 événements à acquitter simultanément.
A noter :
- Les utilisateurs en lecture seule ne peuvent pas accuser réception des événements même avec la fonction "accuser réception de tous".
- Disponible uniquement pour les événements débutant à partir du 1er septembre 2023. L'action n'est pas disponible pour les événements plus anciens.
Notifications de macOS 14 Sonoma
Apple a publié la prochaine version majeure du système d'exploitation 14 (Sonoma) en avance sur le calendrier, et notre site agent n'est pas encore compatible avec lui. Nous avons maintenant deux nouveaux problèmes dans le tableau de bord EPP qui conseillent de ne pas encore mettre à niveau et qui indiquent les appareils qui ont déjà été mis à niveau vers la nouvelle version du système d'exploitation.
Elements Endpoint Protection
Elements Agent pour les stations de travail et les serveurs Windows : version 23.7
Une nouvelle version des clients d'extrémité est disponible.
Cette version rend disponible la version 23.7 de Elements Agent (version interne 23.7.416).
Les terminaux sont mis à niveau automatiquement, sans redémarrage.
Nouvelle option d'éloignement dans les tâches automatisées.
L'option "away" permet d'exécuter une tâche automatisée après que l'utilisateur s'est absenté pendant un nombre de minutes défini. Par exemple, "@away 5" exécutera une tâche après que l'utilisateur se soit absenté pendant 5 minutes.
Nouvelle tâche automatisée pour créer un point de restauration.
Une nouvelle tâche automatisée permet de créer un point de restauration du système dans le client.
Amélioration de la façon dont la version du système d'exploitation Windows est indiquée.
Le client envoie maintenant aussi le numéro de build de windows et le numéro de build est visible dans les détails de l'appareil.
Action à distance pour désactiver le contrôle de l'application.
Une nouvelle action à distance permet de désactiver le contrôle de l'application.
Amélioration des événements de sécurité pour qu'ils contiennent également des informations sur les entrées de registre mises en quarantaine.
Si le rollback a eu lieu et a restauré des entrées de registre, l'événement de sécurité généré à partir de l'événement ne contenait pas d'informations sur les entrées de registre restaurées. Désormais, l'événement contient des informations sur les entrées de registre restaurées.
Amélioration des exclusions de l'analyse de sécurité
Il est désormais possible pour les administrateurs d'activer et de désactiver des règles individuelles, au lieu de les supprimer complètement. Il est également possible d'écrire un commentaire sur l'exclusion.
Exécution d'une tâche automatisée à partir de l'interface utilisateur du client
Il est possible d'exécuter des tâches automatisées à partir de l'interface utilisateur du client. L'exécution de tâches n'est possible que pour les utilisateurs administratifs et doit être activée séparément dans le profil.
Elements Endpoint Detection and Response
Nouvelle vue des actions automatisées
WithSecure Elements EDR a publié une nouvelle vue intitulée "Actions automatisées".
Elle remplace l'ancienne vue "Réponse automatisée".
Qu'est-ce qui a changé ?
La fonctionnalité reste la même et vous pouvez toujours configurer des règles d'isolement des appareils qui fonctionnent 24 heures sur 24 et 7 jours sur 7 et spécifier le niveau de risque, comme dans la vue "Réponse automatisée" originale. Programmation "personnalisée où vous pouvez saisir des heures spécifiques pour lesquelles vous souhaitez qu'une règle s'applique, par exemple en dehors des heures de bureau.
La nouvelle vue "Actions automatisées inclut toutes les règles d'isolation des dispositifs existantesIl n'y a donc pas lieu de s'inquiéter de devoir les recréer.
Il inclut la nouvelle programmation "personnalisée", de sorte que des jours et des heures spécifiques peuvent être appliqués pour l'heure à laquelle vous souhaitez que les règles s'appliquent, par exemple, de 17 heures à 9 heures le lendemain matin.
Enfin, la vue "Réponse automatisée" existante est toujours disponible pour les deux prochaines semaines, en mode lecture seuleafin que vous ayez le temps de vous habituer à la nouvelle vue.
Pourquoi ?
Non seulement cette nouvelle fonction permet une programmation personnalisée, mais elle commence également à nous rapprocher de notre objectif d'inclure davantage d'actions automatisées dans Elements - dans un premier temps, avec le service de co-surveillance et les nouvelles notifications par courrier électronique avec sélection du niveau de risque, mais aussi pour davantage d'actions de réponse à l'avenir.
Cette nouvelle vue des actions automatisées est désormais disponible sur le site Elements.
Nouvelle vue détaillée de la détection de contexte large
La nouvelle vue détaillée de la détection de contexte large (BCD) a été entièrement mise en production et est désormais la vue par défaut, remplaçant l'ancienne vue détaillée de la détection de contexte large.
Qu'est-ce qui a changé ?
La nouvelle vue détaillée BCD est devenue la vue par défaut. Ainsi, lorsque vous cliquez sur l'option de menu "Broad Context Detection" dans Elements, cette nouvelle vue s'affiche.
L'ancienne vue détaillée BCD est encore disponible, pour une durée limitée, afin de vous permettre de vous familiariser avec la nouvelle vue BCD. Vous pouvez accéder à l'ancienne vue BCD en cliquant sur le bouton "Go to old Broad Context Detection view" (Aller à l'ancienne vue BCD) dans le coin supérieur droit de la page.
Vous pouvez élever les BCD à partir de la nouvelle vue détaillée des BCD, contrairement à ce qui se passait auparavant en mode "Aperçu", où vous deviez revenir à l'ancienne vue des BCD pour élever une détection. La nouvelle vue prend en charge les élévations manuelles et automatiques et fonctionne exactement de la même manière que l'ancienne vue.
Vous pouvez également modifier le jeton d'abonnement Elevation sélectionné par défaut. L'abonnement expirant le plus tôt est sélectionné par défaut, mais vous pouvez maintenant voir tous les abonnements disponibles et le remplacer par un autre si vous le souhaitez.
Des informations supplémentaires ont été ajoutées à la nouvelle vue pour vous aider à interpréter les informations affichées.
Elements Collaboration Protection
Blocage des types de fichiers
La nouvelle fonctionnalité "Blocage des types de fichiers" a été activée pour tous les clients de Collaboration Protection.
Les paramètres de la politique ont été étendus pour permettre le blocage de certains types de fichiers. Les administrateurs peuvent sélectionner les types de fichiers à interdire dans l'écosystème protégé, à partir d'une liste établie par nos experts en sécurité. Le système traitera tous les fichiers des types sélectionnés comme nuisibles et agira en fonction d'un paramètre de politique spécifique à l'outil. Cette fonction ne repose pas sur l'extension du fichier, mais sur la reconnaissance intelligente du type de fichier.
Elements Vulnerability Management
L'option Dynamic Assets Risk Score a été activée.
Le score de risque statique des actifs a été calculé uniquement sur la base du score CVSS, avec une majoration supplémentaire pour les vulnérabilités anciennes et/ou exploitables, renforcée par la marque d'importance de l'actif et l'indicateur d'exposition à l'internet.
Voici les améliorations introduites dans la deuxième version de l'Asset Risk Score, appelée "Dynamic Risk Score", avec différents facteurs de relance :
Le score est légèrement (de -10% à +60%), corrigé en même temps que le score EPSS (exploit prediction), lorsqu'il n'y a pas de signes d'exploitation.
- Elle augmente de 20 à 70 % lorsqu'il y a un exploit. Ce renforcement dépend de notre connaissance de la maturité de l'exploit ou de l'observation d'incidents liés à la vulnérabilité.
- Elle est renforcée par le nombre et l'ancienneté des rapports de cybersécurité décrivant la vulnérabilité.
- Avec d'autres facteurs d'impact tels que
- Prise en compte de quelques vulnérabilités les plus graves, par opposition à un score de risque statique qui ne prend en compte que la première vulnérabilité la plus grave.
- Prise en compte de l'importance de l'actif définie par le client.
- Prise en compte de la visibilité du bien depuis l'internet public.
Elements Vulnerability Management Analyse du système : Analyse du système
Elements Vulnerability Management System Scan a été mis à jour pour détecter les vulnérabilités des produits suivants dans le cadre d'un balayage authentifié pour Windows :
- Siemens JT2Go
- QNAP QVR Pro Client
En outre, un détecteur non basé sur la version a été ajouté pour la vulnérabilité d'exécution de code à distance de VMWare Aria Operations For Networks (CVE-2023-34039).
Elements Nœud de balayage VM Agent: Linux
Une nouvelle version du nœud de balayage Linux Agent a été publiée, corrigeant plusieurs problèmes connus et ajoutant également l'enregistrement vers le système Elements Vulnerability Management .
Intégrations
Endpoint Protection API Les points de terminaison des abonnements se terminent le 11 mars 2024.
L'ancien abonnements points de terminaison sont dépréciées et doivent être remplacées par l'option dans les points d'extrémité de l'abonnement dans le module Provisioning API. Pour utiliser ce site API, vous devez request Read-only Provisioning API credentials à partir de WithSecure Support. L'accès à Provisioning API est réservé aux comptes partenaires (SOP).
Les points d'extrémité des abonnements Endpoint Protection API suivants ne fonctionneront plus à partir de la version 11.03.2024 :
- Obtenir les détails de l'abonnement de l'entreprise
- Obtenir les détails de l'abonnement du partenaire
- Liste des abonnements des entreprises
- Liste des abonnements des partenaires
- Supprimer les ordinateurs de l'abonnement (remplacés par Elements API endpoints ")Mise à jour de l'état de l'appareil" ou "Supprimer un appareil")
RAPPEL : Elements Connecteur : Les clients qui utilisent encore Endpoint Protection API (en fin de vie) pour se connecter doivent changer les informations d'authentification de API.
Afin de fournir un ensemble d'API de meilleure qualité et plus unifié pour WithSecure Elements , nous supprimons progressivement Endpoint Protection API et le remplaçons par Elements API . Si votre connecteur Elements est utilisé pour transmettre des événements de sécurité du portail WithSecure Elements à votre SIEM et a été configuré avant la version 23.05, il se peut qu'il utilise encore Endpoint Protection API .
Le site Elements Security Center vous avertit si des actions sont nécessaires dans la liste des problèmes :
Un avertissement correspondant est également affiché dans la vue du dispositif du connecteur :
Afin de préserver la fonctionnalité de transfert d'événements, veuillez passer à l'utilisation de Elements API credentials avant le 31.12.2023. Vous trouverez tous les détails des changements requis dans le document guide de l'utilisateur.
Au cas où vous l'auriez manqué
Rappel : WithSecure products et macOS 14 "Sonoma".
Comme vous le savez peut-être, Apple a annoncé que la prochaine version de macOS (version 14, également connue sous le nom de "Sonoma") sera publiée le 26 septembre 2023.
Malheureusement, cette version a introduit des incompatibilités avec certains produits WithSecure.
Les produits concernés pour Mac sont les suivants :
- WithSecure Elements Endpoint Detection and Response
- WithSecure Elements Endpoint Protection
- WithSecure Client Security (anciennement F-Secure Client Security)
- WithSecure Contrecept
Nous avons créé un Article de la base de connaissances qui détaille l'état actuel de notre support pour Sonoma. Notre conseil actuel est de ne PAS mettre à jour vers Sonoma pour le moment, à moins que cela ne soit critique pour votre entreprise.
WithSecure travaille d'arrache-pied pour résoudre ces problèmes et fournira des mises à jour via la page de la base de connaissances.
Partagez vos idées avec nous
Notre objectif est de co-sécuriser le monde avec vous - maintenant en tant que WithSecure™. Pour cocréer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de partager vos idées via notre portail d'idées, désormais accessible directement à partir de WithSecure™ Elements Security Center .
Plus d'informations
Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide