Points forts de la rédaction
Extended Detection and Response
Endpoint Protection
Elements Agent pour Windows : version 24.6
Une nouvelle version des clients d'extrémité est disponible.
Cette version rend disponible la version 24.6 de Elements Agent (version interne 24.6.339).
Les terminaux sont mis à niveau automatiquement, sans redémarrage.
Caractéristiques :
Elements Agent prend désormais en charge la migration depuis Countercept. L'activation d'un abonnement contenant le composant EDR désinstalle le composant Countercept Agent.
Un nouvel événement de sécurité est envoyé lorsque Elements Agent est désinstallé.
Un nouveau statut "Dernière heure de redémarrage" est envoyé au portail.
En outre :
- Elements Agent prend en charge la configuration des adresses APIPA (automatic private internet protocol addressing) dans Paramètres de l'emplacement du réseau / Emplacements et règles.
- Elements Agent prend désormais en charge Windows Server 2025.
Elements Agent pour macOS : Version 24.5.53798
Une nouvelle version de Elements Agent pour macOS a été publiée.
Cette version apporte une variante du produit EDR.
Le programme d'installation peut être téléchargé à partir de ici.
Elements Agent macOS 24.5.53798 prend en charge les versions suivantes de macOS :
- macOS 15 Sequoia
- macOS 14 Sonoma
- macOS 13 Ventura
Elements Mobile Protection Nouvelle version pour iOS (24.8.11250)
Une mise à jour de l'application WithSecure Elements Mobile Protection pour iOS (24.8.11250) a été publié.
Elle comprend les nouvelles fonctionnalités et améliorations suivantes :
- Permet aux utilisateurs de bloquer localement tout URL traité.
- Prend en charge le paramètre "Tout bloquer sauf la liste d'autorisation".
- Prise en charge d'un filtrage étendu pour les notifications d'alerte relatives aux URL bloquées.
Endpoint Detection and Response
EDR: Amélioration du filtrage
Grâce à notre nouvelle amélioration du filtrage, vous pouvez facilement explorer les événements à partir du site agent. Cela vous permet d'utiliser le site EventSearch pour enquêter sur les événements et d'ignorer ceux qui ne sont pas utiles à votre enquête. Cette amélioration a pour but de rendre votre expérience du portail plus fluide. Bonne recherche !
Les améliorations suivantes ont été apportées à l'affichage de la recherche d'événements :
Filtres pré-remplis
Lors de l'application de filtres, l'utilisateur peut voir la liste déroulante des valeurs se remplir avec toutes les valeurs uniques.
Il y a au maximum 500 valeurs qui seront affichées dans la liste déroulante. Si l'administrateur ne trouve pas la valeur dans la liste, il doit restreindre sa recherche en appliquant les filtres appropriés.
Pour certains champs, il est également possible de sélectionner l'opérateur "N'est pas égal" pour effectuer une recherche basée sur des exclusions.
Lors de l'application de filtres, l'administrateur peut désormais sélectionner plusieurs valeurs dans la liste déroulante. Cela s'applique à la fois aux opérateurs "égal" et "différent".
EDR: Les actions de réponse au déclenchement sont désormais disponibles à partir du BCD
Afin de permettre une investigation plus rapide et d'améliorer l'expérience utilisateur pour les BCDs Endpoint, l'utilisateur administrateur de Elements peut maintenant déclencher des actions de réponse à partir des détails du BCD, de sorte qu'il n'a pas besoin de basculer entre la vue BCD et la vue Réponse lors de l'investigation d'un BCD.
Comment soumettre une action de réponse :
L'administrateur peut naviguer vers le BCD Endpoint dans le portail Elements.
Dans les détails BCD -> Actions rapides, l'administrateur peut voir la liste des actions de réponse qui peuvent être déclenchées pour le BCD. Actuellement, l'utilisateur peut déclencher les actions suivantes :
Énumérer les tâches
Énumérer les processus
L'administrateur a également la possibilité d'effectuer les actions de réponse suivantes à partir des détails du processus
Lorsque l'administrateur déclenche un travail de réponse, un message contextuel s'affiche et il peut voir si le travail de réponse a été soumis avec succès, ainsi que le lien vers les détails de la réponse.
En cliquant sur "Voir les détails de la réponse", l'administrateur peut voir les détails du travail de réponse soumis.
L'administrateur peut retourner à la BCD en cliquant sur le lien "Source BCD".
L'administrateur peut également visualiser toutes les réponses dans la vue Response. Pour ne voir que les réponses des points de terminaison, filtrez les données par Type d'action = 'Point de terminaison'.
Identity Security
Mises à jour du modèle de détection de l'ouverture de session
- Contexte de localisation amélioré: Nous avons amélioré notre modèle pour mieux reconnaître les lieux habituels, réduisant ainsi les fausses alertes pour les voyages impossibles, utilisateur par utilisateur.
- Sensibilisation au VPN: Notre modèle dispose désormais d'une détection améliorée pour les VPN personnels et d'entreprise. Cette amélioration permet de réduire les faux positifs causés par l'utilisation des VPN, qui peuvent donner l'impression que vous vous connectez à partir d'un nouvel emplacement alors que ce n'est pas le cas. En reconnaissant les schémas VPN, le modèle peut déterminer avec plus de précision votre véritable emplacement et réduire les alertes inutiles
Réduire le bruit dans les rapports d'identification des risques (pour les clients disposant d'une licence Microsoft P2)
- Moins d'alertes non exploitables: Nous avons supprimé les alertes contenant trop d'anomalies qui ne nécessitent pas d'action, ce qui permet de se concentrer sur les questions importantes.
- Suppression des anomalies courantes: Nous supprimons désormais les anomalies fréquentes provenant de sources connues afin de réduire le bruit inutile.
Exposure Management
Le statut de plusieurs recommandations peut désormais être défini à partir de la page de la liste des recommandations.
La sélection de plusieurs recommandations activera le panneau d'action. Le statut sera enregistré dans les recommandations pour un suivi ultérieur. Par exemple, le statut apparaissant dans le widget Accueil → Exposition n'affichera que les recommandations actives (recommandation active = statut différent de "Terminé" ou "Faux positif").
"Changements dans le widget "Constatations dans la présente recommandation
Ce widget de la page de détail de la recommandation comporte une nouvelle colonne "Dernière observation" qui indique l'heure à laquelle cette observation a été observée pour la dernière fois. Cette colonne donne une idée plus claire de la fraîcheur des résultats de l'analyse.
Amélioration de la précision du score d'impact de la remédiation
Cela permettra de distinguer plus précisément les recommandations et de mieux les classer par ordre de priorité lorsque leurs scores d'impact sur la remédiation sont proches les uns des autres.
Modifications du journal d'audit de l'identité
Lorsque l'utilisateur modifie les propriétés de l'identité, telles que l'importance et le contexte commercial, elles sont désormais disponibles dans les journaux d'audit de Elements. En outre, lorsque l'utilisateur effectue des actions telles que l'élévation d'une recommandation vers WithSecure, celles-ci sont également incluses.
Logique étendue pour vérifier l'état de l'AMF de l'identité
Le statut MFA correct est maintenant affiché sur l'Identité avec des couleurs de feux de circulation en fonction du statut MFA rapporté dans O365, Portal et ailleurs par Microsoft.
Nouveau widget "Couverture" sur la page d'accueil → Widget Exposition
Ce nouveau widget présente la couverture Exposure Management d'une entreprise sélectionnée sous différents angles.
Couleur verte dans chaque zone indique que l'entreprise a terminé avec succès l'onboarding de WithSecure Exposure Management et que les scans se déroulent parfaitement sur cette zone.
Couleur orange : Indique que l'entreprise dispose des licences appropriées pour s'intégrer à Exposure management, mais que la configuration ou l'intégration n'est pas encore terminée. Dans ce cas, en cliquant sur la zone, l'utilisateur sera dirigé vers une vue pertinente où la configuration ou l'intégration peut être complétée.
Gris Couleur : Indique que l'entreprise n'a pas les licences requises pour être intégrée dans la zone. Dans ce cas, veuillez contacter le personnel de vente pour obtenir plus d'informations sur la manière d'obtenir la licence appropriée.
Vulnerability Management
EVM : System Scan
La possibilité de détecter les vulnérabilités des produits suivants a été ajoutée à Authenticated Scanning for Windows :
- Acronis Cyber Files
- Autodesk Revit
- BandiView
- Prise en charge des touches de raccourci HP
- Intel oneAPI Base Toolkit
- iTunes pour Windows
- Outil de transition vers le mode 7 de NetApp
- Okta Verify pour Windows
- Solarwinds Kiwi CatTools
- Splashtop Personal et Business
- Mise à jour du logiciel Splashtop
- Synology Active Backup for Business Agent
- Assistant Synology
- Synology Cloud Station Drive
- Synology Drive Client
- Utilitaire Vagrant VMware
Autres éléments d'intérêt
Rapports sur les faits marquants de la menace : Novembre
Avis de menace : Citrix Virtual Apps & Desktops (CVE-2024-8068 / CVE-2024-8069)
Citrix a publié un avis de sécurité le 12 novembre 2024 concernant une vulnérabilité affectant leur produit "Virtual Apps & Desktops".
La fonction "enregistrement de session Citrix" du produit comporte une implémentation vulnérable de la capacité de messagerie réseau (messagerie MSMQ HTTP) utilisée pour connecter le bureau virtuel et le serveur d'enregistrement de session Citrix.
L'exploitation de cette vulnérabilité permet une escalade des privilèges jusqu'à un utilisateur de niveau SYSTEM (ainsi que l'usurpation de l'identité d'utilisateurs existants).
L'avis de Citrix note que la vulnérabilité nécessite que certaines conditions soient remplies (à savoir un utilisateur authentifié sur le même domaine Active Directory). Toutefois, les chercheurs qui ont révélé cette vulnérabilité ont noté que le fait de disposer d'un serveur d'enregistrement de session accessible via l'internet pourrait permettre une exploitation à distance réussie de la vulnérabilité.
Une preuve de concept a été publiée à la même date que l'avis et, peu après, des tentatives d'exploitation de la vulnérabilité ont été observées en ligne.
Avis de menace : Interprète de commandes et de scripts
En octobre 2024, Splunk a compilé plusieurs rapports de sécurité récents. De cette compilation, une technique ressort : L'interpréteur de commandes et de scripts (T1059)
Cette technique tire parti du fait que la plupart des systèmes d'exploitation sont dotés d'une interface de ligne de commande intégrée et de capacités de création de scripts.
Les adversaires peuvent abuser de ces technologies de diverses manières pour exécuter des commandes arbitraires.
Vous pouvez s'inscrire pour recevoir les rapports mensuels sur les menaces, qui contiennent tous les détails de ces menaces.
Plus d'informations
Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide.
