Redaktörens höjdpunkter
Elements API stödja många svarsåtgärder
Vi är glada att kunna meddela att ytterligare svarsåtgärder har lanserats i vår produktionsmiljö. Dessa inkluderar:
- Tilldelning av profiler
- Skanning efter skadlig kod
- Visa meddelanden
- Aktivera funktioner som felsökningsloggning
- Samla in diagnostiska filer
Dessa förbättringar är avgörande för våra partners som arbetar med SOAR, eftersom de nu kan bygga playbooks för att automatiskt utlösa specifika åtgärder.
De kan t.ex. tilldela en begränsad profil (istället för att isolera) och visa ett meddelande som informerar användaren om orsaken till begränsningen. Spelboken kan också omedelbart utlösa en skanning, ställa in en profil för att samla in Microsofts händelseloggar som säkerhetshändelser, aktivera felsökningsloggning eller samla in en diagnostisk fil. Detta gör att en analytiker har mer information till sitt förfogande när de börjar arbeta med en incident.
Endpoint Protection API är nu föråldrad
Med stöd av funktionen "saknad programuppdatering" i Elements API har Endpoint Protection API ersatts helt. Vi uppmanar dig att gå över till Elements API så snart som möjligt och se till att din Elements Connector inte längre använder den gamla Endpoint Protection API .
Elements Security Center
Vi introducerar Elements News Center
Vi har nöjet att presentera Elements News Center, en av de senaste funktionerna i vår Elements Security Center . Denna funktion gör det enkelt för dig att hålla dig uppdaterad om vad som händer i Security Center, läsa mer om nya funktioner som du kanske vill prova, snabbt konsultera de senaste ändringsloggarna och vara beredd att reagera på det ständigt föränderliga hotlandskapet.
Du kan läsa mycket mer om News Center i vår dedikerad artikel
Elements Endpoint Protection Portal
E-postrapporter
E-postrapporter kan nu konfigureras för att skickas dagligen, veckovis eller månadsvis. Administratörer kan också välja önskad tid på dagen för när de vill ta emot rapporten.
Sekretessmeddelande för URL-information
Vi har lagt till en information i säkerhetshändelsedetaljerna som förklarar varför webbplatsens URL-information saknas från händelsen tillsammans med en vägledning om hur du aktiverar den i profilen.
Dynamisk riskpoäng och kontroll av utbrott
Dynamisk riskpoäng kan nu användas som en trigger för utbrottskontroll i profiltilldelningsregler. Detta gör det möjligt för administratören att definiera ännu fler regler för att säkerställa att endpoint-enheten är säkrare när det finns aktiva exploateringar av kända hot.
Automatiserade uppgifter kan köras när användaren är borta
Det är nu möjligt att definiera automatiserade uppgifter som kan utlösas när användaren är "borta"
Anpassade anteckningar för regler och undantag
Det är nu möjligt att lägga till anpassade anteckningar för nya undantag och regler, så att administratören kan göra det tydligare varför de lades till.
Globala undantag för alla säkerhetsskanningar
Vi har nu lagt till möjligheten att definiera globala undantag för alla skanningar.
Elements Endpoint Protection
Elements Mobile Protection för Android
En uppdatering av WithSecure Elements Mobile Protection app för Android har släppts.
Denna version innehåller följande nya funktioner och förbättringar:
- I vyn Aviseringar i appen visas alla åtgärder som administratören begär
- Vyn Meddelanden i appen stöder filtrering
- Prenumerationsstatus är nu flyttad till Om-vyn
Elements Mobile Protection för IOS
En uppdatering av WithSecure Elements Mobile Protection app för iOS har släppts.
Denna version innehåller följande nya funktioner och förbättringar:
- Notifieringsvyn i appen visar nu alla åtgärder som har begärts av administratören
- Meddelandevyn i appen stöder nu filtreringsfunktioner
Elements Agent för Windows-arbetsstationer och -servrar
En ny version av endpointklienterna är tillgänglig och endpointsenheterna uppgraderas automatiskt utan omstart.
Denna version innehåller följande ändringar:
Förbättringar av nätinstallatörer
Den här uppdateringen innehåller nya förbättringar av tillförlitligheten i installationsprogrammet för nätverk; det hanterar problem med nätverksanslutningar och felrapportering bättre under installationsprocessen.
Sekretess och licensvillkor plats
Länkarna till Privacy Policy och End-User License Terms har ändrats till att peka på WithSecure "download.withsecure.com", efter att tidigare ha använt f-secure.com.
Diagnostikfilen har bytt namn
Diagnosfilen "fsdiag.zip" har bytt namn till "wsdiag.zip".
Varning för gammal installatör
Instrumentpanelen för Elements Security Center visar nu en varning om Elements Agent har installerats med ett installationsprogram som är äldre än sex månader. För en smidig installation rekommenderar vi att du använder det senaste möjliga installationsprogrammet.
Ytterligare information om Installation i vyn Enheter
Vi har lagt till extra information om installation i Elements Security Center 's Devices-vy. Detta inkluderar Elements Agent installationstid och Tid för skapande av installationspaket.
Förbättringar av händelsehistorik och automatiserade uppgifter
Vyn Agent Inställningar-Automatiserade uppgifter och listan Händelsehistorik har förbättrats så att alternativet "Borta" visas för Automatiserade uppgifter. Borta-alternativet gör det möjligt att köra automatiserade uppgifter efter att användaren har varit borta i ett definierat antal minuter.
Elements Collaboration Protection
Ny vy för detaljer om detektering
Detektionsdetaljvyn förnyades för att bättre tillgodose säkerhetsadministratörernas behov och stödja deras dagliga arbetsflöde.
Sidan har fått en helt ny design för att stödja Elements konsekvent i design och funktionalitet. Nu kan t.ex. en säkerhetsadministratör navigera mellan förfiltrerade detektioner utan att behöva gå tillbaka till vyn Detektioner.
Uppdateringen är dock mer än bara en ansiktslyftning. Svarsåtgärderna introducerades i den vyn för att belysa den onödiga navigeringen mellan detaljvyerna Karantän och Detektion. Den ytterligare informationen och korslänkningen syftar till att stödja beslutsprocessen.
Inga fler oskyddade brevlådor på grund av licensavbrott
Det finns nu en bättre översikt över tillgängliga licenser, deras användning och avbrott i molntjänster. Den nydesignade prenumerationsvyn på sidan Molntjänster ger insyn i vilka tillgångar som är oskyddade på grund av licensavbrott.
Dessutom meddelar funktionen säkerhetsadministratörer på sidorna Dashboard och Cloud Services om antalet brevlådor överskrider det totala antalet licenser. Detta hjälper till att säkerställa att organisationen fortsätter att uppfylla licenskraven.
Elements Vulnerability Management
Systemskanning
Följande funktioner har lagts till i autentiserad skanning för Windows:
- Upptäck sårbarheter i Vivaldi
- Upptäcka sårbarheter i JSCAPE MFT
- Upptäck sårbarheter i Honeyview
- Upptäck sårbarheter i GitHub
Dessutom har detektering av JSCAPE MFT Server-produkten (utan version) lagts till i fjärrskanningen.
Integrationer
Elements API
Elements Collaboration Protection (ECP) Säkerhetsevenemang
Säkerhetshändelser relaterade till e-post, Teams, Onedrive och Sharepoint har lagts till.
Vänligen observera: För att få tillgång till dessa händelser måste integrationer ändras till en ny API endpoint "Query EPP, EDR and Collaboration Protection Security Events" som ersätter den tidigare "Read list of security events"
Beskrivning tillagd till både EDR incidenter och slutpunkter för detektioner
Man kan läsa EDR incidentanalys via API och lägga till den i en rapport eller ett ärende. Människovänliga beskrivningar av upptäckten i en EDR incident hjälper till att triagera incidenter i en SOAR.
Bättre filtrering av enheter
Det är nu möjligt att filtrera med hjälp av AD-grupp, operativsystem och offentlig IP-adress
Fråga saknas Programvara Uppdatering per enhet
Det är nu möjligt att kontrollera vilka enheter som saknar patchar och sedan hämta listan över saknade patchar.
I samband med lanseringen av dessa nya funktioner i Elements API , tillkännagav vi Livstidsavslut för motsvarande slutpunkt i Endpoint Protection API , och följaktligen är Endpoint Protection API helt avskriven.
Resultatförbättring i Incidenter slutpunkt
För att förbättra prestanda bör den som ringer API inkludera archived=false i frågan
Exempel:
curl -H "Auktorisering: Bearer $TOKEN" https://api.connect.withsecure.com/incidents/v1/incidents?archived=false
Nya svarsåtgärder tillgängliga
För den enhetsoperationer slutpunkt Stöd för följande nya operationer har lagts till:
- tilldela profil
- söka efter skadlig kod
- Visa meddelande
- Aktivera funktion: felsökningsloggning
- samla in diagnostisk fil
Övriga poster av intresse
Månadsvis Threat Highlights Report: September 2023
QakBot och DarkGate
QakBot är en banktrojan som har varit aktiv sedan 2007. På senare år har den använts för att distribuera ransomware och annan skadlig kod. DarkGate är en ny familj av skadeprogram som har observerats fylla tomrummet efter QakBot.
TeamsPhisher och Storm-0324
TeamsPhisher är ett phishing-verktyg som är utformat för att rikta sig till Microsoft Teams-användare. Storm-0324 är en hotaktör som har observerats använda TeamsPhisher för att distribuera skadlig kod.
Skadligt övertagande av underdomäner
Detta avser en teknik där hotaktörer tar kontroll över en underdomän som tillhör en legitim webbplats och använder den för att hysa skadlig kod eller genomföra nätfiskeattacker.
Felaktig bedömning av en sårbarhet i brandväggar och switchar från Juniper
Avser en sårbarhet i brandväggar och switchar från Juniper som ursprungligen bedömdes ha låg allvarlighetsgrad, men som senare visade sig vara mer allvarlig. Sårbarheten kan göra det möjligt för en angripare att kringgå autentisering och få tillgång till känslig information.
Hacktivistattacker i Kanada och Europa
Hacktivism innebär att man använder hackning och andra former av digital aktivism för att främja en politisk eller social sak. Rapporten belyser de senaste hacktivistattackerna i Kanada och Europa, inklusive attacker mot statliga webbplatser och kritisk infrastruktur.
Trender för ransomware
Ransomware är en typ av skadlig kod som krypterar offrets filer och kräver betalning i utbyte mot dekrypteringsnyckeln. Rapporten innehåller statistik och trender för ransomware-attacker, och lyfter även fram flera nya ransomware-familjer.
Högprofilerade sårbarhets- och exploateringsproblem
Rapporten lyfter fram flera sårbarheter och exploateringar som skulle kunna användas av angripare för att få tillgång till känslig information eller störa kritisk infrastruktur. Dessa inkluderar CVE-2018-0802, CVE-2018-8653, CVE-2018-0798, CVE-2023-23397, CVE-2017-0199, CVE-2017-11882, CVE-2010-0033, CVE-2023-28274, CVE-2010-4452 och CVE-2023-21716.
Ladda ner rapport
Månadsvis Threat Highlights Report: Oktober 2023
Phishing-kampanj påverkar Finland
Phishing-kampanj som riktar sig mot finska organisationer. Angriparna använder en mängd olika taktiker för att lura användare att lämna ifrån sig sina inloggningsuppgifter, bland annat genom att skicka falska e-postmeddelanden som ser ut att komma från legitima källor.
Infostealer-marknaden
Nuläget på marknaden för infostealer, som är en typ av skadlig kod som är utformad för att stjäla känslig information från infekterade system. I rapporten konstateras att marknaden för närvarande domineras av ett fåtal nyckelaktörer och att den skadliga programvaran ofta säljs på underjordiska forum.
Fallout efter kompromissen med Okta
Översikt över konsekvenserna av komprometteringen av Okta, ett företag som tillhandahåller tjänster för identitets- och åtkomsthantering till många andra tredje parter. I rapporten noteras att angriparna kunde komma åt kundkonton hos 1Password, Beyond Trust och Cloudflare genom att missbruka referenser, cookies och sessionstoken som finns i HAR-filer.
HTTP/2 snabb återställning DDoS-teknik
En ny DDoS-teknik som är utformad för att utnyttja en sårbarhet i HTTP/2-protokollet. Tekniken innebär att man skickar en serie speciellt utformade förfrågningar som får servern att återställa anslutningen, vilket kan resultera i en överbelastningsattack (denial of service).
Hacktivistiskt landskap
Nuläget för hacktivistlandskapet, som har påverkats ytterligare av den pågående konflikten i Israel. I rapporten konstateras att hacktivistgrupper i allt högre grad använder sociala medier för att sprida sitt budskap och samordna sina aktiviteter.
Ransomware-landskapet
Statistik över kända ransomware-attacker, inklusive antalet attacker och den lösensumma som krävts. I rapporten konstateras att ransomware-attacker fortsätter att vara ett stort hot mot organisationer av alla storlekar
Darkgate skadlig kod
Rapporten innehåller en hänvisning till en bredare forskningsstudie om den skadliga programvaran Darkgate, som är en ekonomiskt motiverad cyberbrottsaktör som använder flera programvarufamiljer för att rikta in sig på yrkesverksamma inom digital marknadsföring.
Ladda ner rapport
Om du missade det
Stöd för macOS 14 "Sonoma"
Du kan läsa mer om vårt nuvarande stöd för macOS 14 på vår dedikerad artikel
Nätverksadresser för WithSecure Elements
För de flesta kunder kommer WithSecure Elements att fungera direkt. Vissa administratörer kontrollerar dock noggrant vilka adresser som är nåbara från deras nätverk, och för dem har vi skapat en omfattande förteckning över alla servrar som våra kunder ansluter till.
Dela dina idéer med oss
Vårt syfte är att tillsammans med dig säkra världen - nu som WithSecure™. För att tillsammans skapa bästa möjliga produkter och tjänster inom cybersäkerhet rekommenderar vi varmt att du delar med dig av dina idéer via vår idéportal, som nu är tillgänglig direkt från WithSecure™ Elements Security Center .
Ytterligare information
Changelogs och Release Notes för alla delar av WithSecure™ Elements finns på Hjälpcenter
