Points forts de la rédaction
Toutes nos excuses pour la publication tardive de What's New in Elements ce mois-ci. Nous espérons revenir à un rythme plus régulier le mois prochain.
Extended Detection and Response
Endpoint Protection
Nous avons récemment apporté quelques modifications mineures mais importantes au site Endpoint Protection.
L'installation de mises à jour logicielles à distance échoue dans l'affichage des appareils.
Ce problème a été corrigé afin de garantir que l'opération n'échoue pas.
"Widget "Ordinateurs par système d'exploitation
Ce widget dans la vue système "Appareils" affichait parfois des données pour les appareils mobiles dans la page Mon rapport. Ce problème a été résolu.
Inclure le retour en arrière dans la vue par défaut des événements de sécurité "infections"
Endpoint Detection and Response
Ajout d'un filtre "Not equals" à la vue de recherche d'événements
Ce nouveau filtre permet aux administrateurs d'exclure facilement des événements spécifiques, ce qui simplifie la recherche. Les administrateurs devraient ainsi bénéficier d'une expérience de recherche plus rationnelle et plus efficace !
Ajout d'une section "Timeline" dans la vue détaillée de la BCD
Cette fonction permet de répertorier les détections sous forme de tableau afin de faciliter la compréhension de la séquence d'événements sur plusieurs hôtes.
Email and Collaboration Protection
Mise à jour des méthodes de détection de l'AMF pour les comptes compromis
Les clients existants devront s'authentifier à nouveau sur Exchange pour que le statut MFA fonctionne (l'ancienne méthode de détection MFA a été supprimée par Microsoft et cette mise à jour était donc nécessaire). Une bannière apparaîtra pour les clients qui doivent se réauthentifier.
Exposure Management
Le statut d'une recommandation peut être défini à partir de la page "Détails de la recommandation".
L'état est enregistré dans la recommandation pour un suivi ultérieur. Par exemple, l'état apparaît dans le widget Accueil → Exposition.
Outre le statut, des notes peuvent être ajoutées à chaque recommandation, par exemple pour expliquer pourquoi l'utilisateur a décidé d'attribuer un statut spécifique à une recommandation.
Vulnerability Management
Portail EVM
La création d'utilisateurs a été désactivée dans Vulnerability Management
Dans le cadre de la consolidation globale de la gestion des comptes utilisateurs dans WithSecure Elements, la possibilité de créer des utilisateurs dans Elements Vulnerability Management a été supprimée.
Le bouton Action redirige désormais vers la vue Gestion → Paramètres de l'organisation → Administrateurs de sécurité.
En outre, les points d'extrémité Vulnerability Management API ont été marqués avec l'attribut "Fin de vie".
EVM System Scan
Les produits suivants ont des capacités de détection nouvelles ou mises à jour dans Authenticated Scanning for Windows :
- Apache MINA SSHD
- Apache CFX
- L'hespérie des nuages de printemps
- Sécurité du printemps
En outre, nous avons amélioré la détection des mises à jour cumulatives de Microsoft. Il détectera désormais non seulement l'absence des derniers paquets de mise à jour de sécurité, mais il signalera également toutes les mises à jour cumulatives depuis la dernière mise à jour de l'hôte. Cela peut entraîner une augmentation significative des vulnérabilités de niveau critique liées aux mises à jour de Windows.
Lors des analyses, l'adresse MAC de l'hôte cible est désormais ignorée si elle appartient à des adresses MAC "populaires" bien connues, afin d'éviter toute fusion indésirable.
Cloud Security Posture Management
Elements Cloud Security Posture Management: Changelog (en anglais)
Une nouvelle version de Elements Cloud Security Posture Management a été publiée, apportant les principaux changements suivants :
- Un correctif pour l'analyseur de nuages qui ne se termine pas toujours
- De meilleurs noms pour certains actifs en nuage au lieu de simples identifiants
- Nouvelles règles pour détecter les configurations MFA potentiellement vulnérables à l'aide des paramètres de sécurité par défaut, des politiques d'accès conditionnel et des paramètres individuels des utilisateurs.
Elements Foundations
Elements Security Center
CES : Colonne "Partenaire" ajoutée à la vue Abonnements
Une nouvelle colonne "Partenaire" a été ajoutée à la vue Gestion → Abonnements pour les utilisateurs de niveau SOP. Lorsqu'un utilisateur Solution Provider (SOP) est connecté, la colonne indique à quelle organisation Service Partner (SEP) appartient l'abonnement d'une entreprise :
ESC : Ajustements des rôles sur Exposure Management
Avec l'introduction de la fonctionnalité Exposure Management dans Elements, les rôles d'utilisateur correspondants seront regroupés dans une seule colonne et une seule section de détails sur l'écran des administrateurs de sécurité. Cela s'applique aux rôles "Exposition" et "Vulnérabilités" (anciennement Vulnerability Management) :
"Vulnerability Management - Administrateur"a été renommé en "Exposure Management - Vulnérabilités - Gestion".
"Vulnerability Management - Membre de l'équipe en lecture seule"a été renommé en "Exposure Management - Vulnérabilités - Lecture seule".
CES : Elements Le rôle d'IAM est accordé aux entreprises qui s'enregistrent elles-mêmes
Le rôle Gestion des identités et des accès (IAM) est désormais visible dans la vue Administrateurs de sécurité. Ce nouveau rôle permet d'accorder et de révoquer toutes les autorisations Elements pour les administrateurs de sécurité au sein de l'organisation de l'administrateur IAM et des entités affiliées.
Actuellement, ce rôle est accordé aux entreprises qui s'enregistrent elles-mêmes, et seuls d'autres administrateurs IAM peuvent attribuer ce rôle à d'autres utilisateurs.
Nous sommes sur le point de commencer le processus de migration, au cours duquel les utilisateurs existants qui disposent déjà d'autorisations IAM équivalentes pourront revendiquer le rôle IAM. Pour plus de détails, consultez le guide de l'utilisateur : Elements Identity and Access Management role | Welcome to WithSecure Elements | Latest | WithSecure User Guides.
Intégrations
Elements API Récupération des versions les plus récentes de la base de données
Nous avons introduit un nouveau point de terminaison dans WithSecure Elements API qui permet aux utilisateurs de récupérer les dernières versions de diverses bases de données. Ce point d'accès fournit des informations actualisées sur les versions actuelles des bases de données utilisées dans la plateforme WithSecure Elements.
Critère d'évaluation : GET /databases/v1/latest-versions
Détails :
- Objet : Vérifier les dernières versions des bases de données
- Réponse : Renvoie une liste de bases de données avec leur dernier numéro de version.
- Utilisation : Idéal pour s'assurer que vos systèmes utilisent les versions de base de données les plus récentes pour une sécurité et des performances optimales.
Pour plus d'informations, veuillez vous référer à la API la documentation.
Autres éléments d'intérêt
Rapports sur les principales menaces : Octobre
Avis de menace : BlackBasta Internal Helpdesk Social Engineering (ingénierie sociale du service d'assistance interne)
WithSecure MDR souhaite attirer votre attention sur un nouveau type d'attaque. Classé parmi les 20 premiers groupes de ransomwares en 2024, BlackBasta a été observé en train d'utiliser l'ingénierie sociale pour tromper les utilisateurs finaux. Les acteurs de la menace (TA) via Microsoft Teams se font passer pour un service d'assistance interne et contactent les employés pour les aider à lutter contre le spam en cours, qui est perpétré par BlackBasta lui-même. Au cours de l'appel d'assistance, l'AT demande aux utilisateurs d'installer des outils de surveillance et de gestion à distance (RMM), tels que Anydesk ou TeamViewer, et commence à télécharger et à exécuter des outils malveillants sur la cible.
Avis de menace : Logiciel malveillant Lumma Stealer
Le voleur Lumma est actuellement une menace active, les opérateurs de logiciels malveillants employant de multiples techniques d'accès initial et les développeurs améliorant activement les capacités du logiciel malveillant. En septembre, il a été signalé que les auteurs de Lumma avaient mis en œuvre des mesures détaillées pour contourner les défenses anti-intrusion récemment mises en place par Chrome.
Tout au long du mois de septembre, Lumma a été signalé comme étant diffusé à l'aide d'une technique de type "coller et exécuter". Un courriel d'hameçonnage dirigeait les victimes vers un message CAPTCHA, qui donnait des instructions aux utilisateurs pour qu'ils saisissent des raccourcis clavier Windows qui ouvriraient un terminal, puis collent et exécutent une commande malveillante insérée dans le presse-papiers par le site d'hameçonnage.
Cette commande permet à la machine victime de récupérer et d'exécuter un binaire Lumma stealer malveillant.
Lumma ne se propage pas exclusivement par courrier électronique. En septembre, il a également été observé que Lumma était diffusé par l'intermédiaire de commentaires Github, sous la forme de corrections de bogues.
Avis de menace : Attaque par rétrogradation de Windows, contournement de la protection des pilotes du noyau
Cette technique exploite le processus de mise à jour de Windows pour ramener les composants Windows d'une machine à jour à des versions plus anciennes sans que le système d'exploitation ne change d'état et ne soit entièrement corrigé.
Cette technique permet aux attaquants de réduire les fonctionnalités de sécurité du noyau Windows, afin de contourner les règles de sécurité de l'Internet. Contrôle de la signature du conducteur (DSE), et de déployer des rootkits sur des systèmes entièrement patchés
Vous pouvez vous inscrire pour recevoir les rapports mensuels sur les menaces, avec tous les détails, à l'adresse suivante https://www.withsecure.com/en/expertise/research-and-innovation/research/monthly-threat-highlights-report
Au cas où vous l'auriez manqué
Elements Portail : L'authentification unique fédérée est désormais disponible
Nous avons maintenant introduit le support du Federated Single Sign-On (FSSO) dans WithSecure Elements.
Cela permettra aux utilisateurs de s'authentifier et d'accéder à plusieurs applications ou services dans différents domaines ou organisations sans avoir à se connecter séparément pour chacun d'entre eux.
Pour plus de détails sur FSSO dans WithSecure Elements, veuillez consulter notre site web article dédié.
Partagez vos idées avec nous
Notre objectif est de co-sécuriser le monde avec vous - désormais sous le nom de WithSecure™. Pour cocréer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de partager vos idées via notre portail d'idées, désormais accessible directement depuis WithSecure™. Elements Security Center
Plus d'informations
Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide
