Points forts de la rédaction
Elements API soutenir de nombreuses actions de réponse
Nous sommes heureux d'annoncer le lancement d'actions de réponse supplémentaires dans notre environnement de production. Il s'agit des actions suivantes
- Attribution de profils
- Recherche de logiciels malveillants
- Affichage des messages
- Activation de fonctions telles que la journalisation de débogage
- Collecte des fichiers de diagnostic
Ces améliorations sont cruciales pour nos partenaires qui travaillent avec SOAR, car ils peuvent désormais créer des playbooks pour déclencher automatiquement des actions spécifiques.
Par exemple, ils peuvent attribuer un profil restreint (au lieu d'isoler) et afficher un message pour informer l'utilisateur de la raison de la restriction. Le cahier de jeu peut également déclencher immédiatement une analyse, définir un profil pour collecter les journaux d'événements Microsoft en tant qu'événements de sécurité, activer la journalisation de débogage ou collecter un fichier de diagnostic. Cela permet à un analyste de disposer de plus d'informations lorsqu'il commence à travailler sur un incident.
Endpoint Protection API est désormais obsolète
Avec la prise en charge de la fonction "missing software update" dans le site Elements API , le site Endpoint Protection API a été entièrement remplacé. Nous vous conseillons vivement de passer au Elements API dès que possible et de vous assurer que votre connecteur Elements n'utilise plus l'ancien Endpoint Protection API .
Elements Security Center
Présentation du centre d'information Elements
Nous avons le plaisir d'annoncer la sortie de Elements News Center, l'une des dernières fonctionnalités ajoutées à notre site Elements Security Center . Cette fonctionnalité vous permettra de rester informé de ce qui se passe sur Security Center, d'en savoir plus sur les nouvelles fonctionnalités que vous souhaiteriez essayer, de consulter rapidement les dernières modifications et d'être prêt à réagir face à l'évolution constante du paysage des menaces.
Pour en savoir plus sur le centre d'information, consultez notre site web. article dédié
Elements Endpoint Protection Portail
Rapports par courrier électronique
Les rapports par courrier électronique peuvent désormais être configurés pour être envoyés à intervalles quotidiens, hebdomadaires ou mensuels. Les administrateurs peuvent également sélectionner l'heure à laquelle ils souhaitent recevoir le rapport.
Note sur le respect de la vie privée pour les informations sur l'URL
Nous avons ajouté une information dans les détails des événements de sécurité expliquant pourquoi l'information sur l'URL du site web est absente de l'événement, ainsi que des conseils sur la façon de l'activer dans le profil.
Score de risque dynamique et contrôle des épidémies
Le score de risque dynamique peut désormais être utilisé comme déclencheur pour le contrôle des épidémies dans les règles d'attribution des profils. Cela permet à l'administrateur de définir encore plus de règles pour s'assurer que le terminal est plus sûr lorsqu'il y a des exploits actifs sur des menaces connues.
Les tâches automatisées peuvent être exécutées en l'absence de l'utilisateur
Il est désormais possible de définir des tâches automatisées qui peuvent être déclenchées après l'absence de l'utilisateur
Notes personnalisées pour les règles et les exclusions
Il est désormais possible d'ajouter des notes personnalisées pour les nouvelles exclusions et règles, afin que l'administrateur puisse expliquer plus clairement pourquoi elles ont été ajoutées.
Exclusions globales pour toutes les analyses de sécurité
Nous avons ajouté la possibilité de définir des exclusions globales pour toutes les analyses.
Elements Endpoint Protection
Elements Mobile Protection pour Android
Une mise à jour de l'application WithSecure Elements Mobile Protection pour Android a été publiée.
Cette version comprend les nouvelles fonctionnalités et améliorations suivantes :
- La vue Notifications de l'application montre toutes les opérations demandées par l'administrateur.
- L'affichage des notifications dans l'application permet le filtrage
- L'état de l'abonnement est désormais déplacé dans la vue À propos
Elements Mobile Protection pour IOS
Une mise à jour de l'application WithSecure Elements Mobile Protection pour iOS a été publiée.
Cette version comprend les nouvelles fonctionnalités et améliorations suivantes :
- La vue de notification dans l'application montre maintenant toutes les opérations demandées par l'administrateur.
- L'affichage des notifications dans l'application prend désormais en charge les fonctionnalités de filtrage.
Elements Agent pour les postes de travail et les serveurs Windows
Une nouvelle version des clients d'extrémité est disponible, et les terminaux sont automatiquement mis à niveau, sans redémarrage.
Cette version apporte les changements suivants :
Amélioration de l'installateur réseau
Cette mise à jour comprend de nouvelles améliorations de la fiabilité de l'installateur réseau ; il gère mieux les problèmes de connectivité réseau et les rapports d'erreur au cours du processus d'installation.
Emplacement des conditions de confidentialité et de licence
Les liens vers la politique de confidentialité et les conditions de licence pour l'utilisateur final ont été modifiés pour pointer vers le site WithSecure "download.withsecure.com", alors qu'ils utilisaient auparavant le site f-secure.com.
Renommage du fichier de diagnostic
Le fichier de diagnostic "fsdiag.zip" a été renommé en "wsdiag.zip".
Avertissement de l'ancien installateur
Le tableau de bord Elements Security Center affiche désormais un avertissement si le Elements Agent a été installé avec un programme d'installation datant de plus de six mois. Pour une installation sans problème, nous recommandons d'utiliser le dernier programme d'installation possible.
Informations supplémentaires sur l'installation dans l'affichage des dispositifs
Nous avons ajouté des informations supplémentaires relatives à l'installation à la vue Devices du site Elements Security Center . Ces informations sont les suivantes Elements Agent temps d'installation et Temps de création du paquet d'installation.
Amélioration de l'historique des événements et des tâches automatisées
L'affichage de Agent Settings-Automated Tasks et la liste de l'historique des événements ont été améliorés afin d'afficher l'option "absent" des tâches automatisées. Cette option permet d'exécuter une tâche automatisée après que l'utilisateur s'est absenté pendant un certain nombre de minutes.
Elements Collaboration Protection
Nouvelle vue des détails de la détection
La vue détaillée de la détection a été renouvelée pour mieux répondre aux besoins des administrateurs de sécurité et soutenir leur flux de travail quotidien.
La page a été complètement redessinée pour soutenir la cohérence de la conception et de la fonctionnalité du site Elements. Par exemple, un administrateur de sécurité peut désormais naviguer entre les détections pré-filtrées sans avoir à revenir à l'affichage des détections.
Cependant, la mise à jour ne se limite pas à un simple lifting. Les actions de réponse ont été introduites dans cette vue afin d'éclaircir la navigation inutile entre les vues détaillées Quarantaine et Détection. Les informations supplémentaires et les liens croisés visent à faciliter le processus de prise de décision.
Plus de boîtes aux lettres non protégées en raison d'une panne de licence
Il y a maintenant une meilleure vue d'ensemble des licences disponibles, de leur utilisation et des interruptions dans les services cloud. La nouvelle vue des abonnements sur la page des services en nuage permet de savoir quels actifs ne sont pas protégés en raison d'interruptions de licence.
En outre, la fonction notifie les administrateurs de sécurité sur les pages Dashboard et Cloud Services si le nombre de boîtes aux lettres dépasse le nombre total de licences. Cela permet de s'assurer que l'organisation reste conforme aux exigences en matière de licences.
Elements Vulnerability Management
Analyse du système
Les fonctionnalités suivantes ont été ajoutées à l'analyse authentifiée pour Windows :
- Détecter les vulnérabilités dans Vivaldi
- Détecter les vulnérabilités de JSCAPE MFT
- Détecter les vulnérabilités dans Honeyview
- Détecter les vulnérabilités dans GitHub
En outre, la détection du produit JSCAPE MFT Server (sans version) a été ajoutée à l'analyse à distance.
Intégrations
Elements API
Elements Collaboration Protection (ECP) Événements de sécurité
Des événements de sécurité liés au courrier électronique, à Teams, à Onedrive et à Sharepoint ont été ajoutés..
A noter : Pour accéder à ces événements, les intégrations doivent passer à un nouveau point de terminaison API "Query EPP, EDR and Collaboration Protection Security Events" qui remplace l'ancien "Read list of security events" (Lire la liste des événements de sécurité)
Description ajoutée aux points de terminaison des incidents et des détections sur le site EDR
On peut lire l'analyse de l'incident EDR via API et l'ajouter à un rapport ou à un ticket. Des descriptions conviviales de la détection dans un incident EDR facilitent le triage des incidents dans un SOAR.
Meilleur filtrage des appareils
Il est désormais possible de filtrer en utilisant le groupe AD, le système d'exploitation et l'adresse IP publique.
Demande de logiciels manquants Mise à jour par appareil
Il est désormais possible de vérifier quels appareils ont des correctifs manquants, puis d'obtenir la liste des correctifs manquants.
Avec la publication de ces nouvelles fonctionnalités sur le site Elements API , nous avons annoncé la mise en place d'un nouveau système de gestion de l'information. fin de vie de l'extrémité correspondante dans Endpoint Protection API , et par conséquent Endpoint Protection API est totalement obsolète.
Amélioration des performances en matière d'incidents
Pour améliorer les performances, l'appelant de API doit inclure archived=false dans la requête.
Exemple :
curl -H "Authorization : Bearer $TOKEN" https://api.connect.withsecure.com/incidents/v1/incidents?archived=false
Nouvelles actions de réponse disponibles
Pour les opérations de l'appareil point final la prise en charge des nouvelles opérations suivantes a été ajoutée :
- assigner un profil
- recherche de logiciels malveillants
- afficher le message
- activer la fonction : debug logging
- collecter le fichier de diagnostic
Autres éléments d'intérêt
Mensuel Threat Highlights Report: septembre 2023
QakBot et DarkGate
QakBot est un cheval de Troie bancaire actif depuis 2007. Ces dernières années, il a été utilisé pour distribuer des ransomwares et d'autres logiciels malveillants. DarkGate est une nouvelle famille de logiciels malveillants qui a été observée pour combler le vide laissé par QakBot.
TeamsPhisher et Storm-0324
TeamsPhisher est un outil de phishing conçu pour cibler les utilisateurs de Microsoft Teams. Storm-0324 est un acteur de la menace qui a été observé en train d'utiliser TeamsPhisher pour distribuer des logiciels malveillants.
Prise de contrôle malveillante de sous-domaines
Il s'agit d'une technique par laquelle les acteurs de la menace prennent le contrôle d'un sous-domaine appartenant à un site web légitime et l'utilisent pour héberger des logiciels malveillants ou lancer des attaques d'hameçonnage.
Mauvaise évaluation d'une vulnérabilité dans les pare-feu et les commutateurs Juniper
Il s'agit d'une vulnérabilité dans les pare-feux et les commutateurs Juniper qui a d'abord été classée comme étant de faible gravité, mais qui s'est avérée plus sérieuse par la suite. Cette vulnérabilité pourrait permettre à un attaquant de contourner l'authentification et d'accéder à des informations sensibles.
Attaques hacktivistes au Canada et en Europe
L'hacktivisme désigne l'utilisation du piratage informatique et d'autres formes d'activisme numérique pour promouvoir une cause politique ou sociale. Le rapport met en lumière les attaques récentes de hacktivistes au Canada et en Europe, y compris des attaques contre des sites web gouvernementaux et des infrastructures critiques.
Tendances en matière de ransomware
Les ransomwares sont des logiciels malveillants qui cryptent les fichiers d'une victime et exigent un paiement en échange de la clé de décryptage. Le rapport fournit des statistiques et des tendances sur les attaques de ransomware, et met en évidence plusieurs nouvelles familles de ransomware.
Problèmes de vulnérabilité et d'exploitation très médiatisés
Le rapport met en évidence plusieurs vulnérabilités et exploits qui pourraient être utilisés par des attaquants pour accéder à des informations sensibles ou perturber des infrastructures critiques. Il s'agit notamment de CVE-2018-0802, CVE-2018-8653, CVE-2018-0798, CVE-2023-23397, CVE-2017-0199, CVE-2017-11882, CVE-2010-0033, CVE-2023-28274, CVE-2010-4452 et CVE-2023-21716.
Télécharger le rapport
Mensuel Threat Highlights Report: octobre 2023
Une campagne d'hameçonnage touche la Finlande
Une campagne d'hameçonnage vise les organisations finlandaises. Les attaquants utilisent diverses tactiques pour inciter les utilisateurs à donner leurs identifiants de connexion, notamment en envoyant de faux courriels semblant provenir de sources légitimes.
Marché de l'information
État actuel du marché des voleurs d'informations, un type de logiciel malveillant conçu pour voler des informations sensibles dans les systèmes infectés. Le rapport indique que le marché est actuellement dominé par quelques acteurs clés et que les logiciels malveillants sont souvent vendus sur des forums clandestins.
Les retombées de la compromission d'Okta
Aperçu des retombées de la compromission d'Okta, une société qui fournit des services de gestion des identités et des accès à de nombreux autres tiers. Le rapport indique que les attaquants ont pu accéder aux comptes clients de 1Password, Beyond Trust et Cloudflare en abusant des informations d'identification, des cookies et des jetons de session contenus dans les fichiers HAR.
Technique DDoS de réinitialisation rapide HTTP/2
Une nouvelle technique DDoS conçue pour exploiter une vulnérabilité dans le protocole HTTP/2. La technique consiste à envoyer une série de requêtes spécialement conçues qui amènent le serveur à réinitialiser la connexion, ce qui peut entraîner un déni de service.
Paysage hacktiviste
L'état actuel du paysage hacktiviste, qui a été façonné par le conflit en cours en Israël. Le rapport note que les groupes d'hacktivistes utilisent de plus en plus les médias sociaux pour diffuser leur message et coordonner leurs activités.
Le paysage des ransomwares
Des statistiques sur les attaques de ransomware connues, y compris le nombre d'attaques et le montant de la rançon demandée. Le rapport note que les attaques de ransomware continuent de représenter une menace majeure pour les organisations de toutes tailles.
Logiciel malveillant Darkgate
Le rapport fait référence à une recherche plus large sur le logiciel malveillant Darkgate, un acteur de la cybercriminalité aux motivations financières qui utilise plusieurs familles de logiciels malveillants pour cibler les professionnels du marketing numérique.
Télécharger le rapport
Au cas où vous l'auriez manqué
Prise en charge de macOS 14 "Sonoma"
Pour en savoir plus sur la prise en charge actuelle de macOS 14, consultez notre rubrique article dédié
Adresses de réseau pour WithSecure Elements
Pour la plupart des clients, WithSecure Elements fonctionnera sans problème. Toutefois, certains administrateurs contrôlent étroitement les adresses accessibles à partir de leur réseau. liste exhaustive de tous les serveurs auxquels nos clients se connectent.
Partagez vos idées avec nous
Notre objectif est de co-sécuriser le monde avec vous - maintenant en tant que WithSecure™. Pour cocréer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de partager vos idées via notre portail d'idées, désormais accessible directement à partir de WithSecure™ Elements Security Center .
Plus d'informations
Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide
