Redaktörens höjdpunkter
Extended Detection and Response
Endpoint Protection
Elements Agent för Windows: version 24.6
En ny version av endpoint-klienterna är tillgänglig.
Denna utgåva gör Elements Agent version 24.6 tillgänglig (intern version 24.6.339).
Slutpunkterna uppgraderas automatiskt utan omstart.
Funktioner:
Elements Agent stöder nu migrering från Countercept. Om du aktiverar en prenumeration som innehåller komponenten EDR avinstalleras Countercept Agent.
En ny säkerhetshändelse skickas när Elements Agent avinstalleras
En ny status för "Senaste omstartstid" skickas till portalen
Dessutom..:
- Elements Agent stöder konfiguration av APIPA-adresser (Automatic Private Internet Protocol Addressing) i Inställningar för nätverksplats / Platser och regler.
- Elements Agent stöder nu Windows Server 2025.
Elements Agent för macOS: Releaseversion 24.5.53798
En ny version av Elements Agent för macOS har släppts
Denna utgåva innehåller en produktvariant som endast finns på EDR
Installationsprogrammet kan laddas ner från här.
Elements Agent macOS 24.5.53798 stöder följande macOS-versioner:
- macOS 15 Sequoia
- macOS 14 Sonoma
- macOS 13 Ventura
Elements Mobile Protection: Ny version för iOS (24.8.11250)
En uppdatering av appen WithSecure Elements Mobile Protection för iOS (24.8.11250) har släppts.
Den innehåller följande nya funktioner och förbättringar:
- Gör det möjligt för användare att blockera alla bearbetade webbadresser lokalt.
- Stöder inställningen "Blockera allt utom listan med tillåtna filer".
- Stöd för utökad filtrering för varningsmeddelanden relaterade till blockerade webbadresser.
Endpoint Detection and Response
EDR: Förbättrad filtrering
Med vår nya filtreringsförbättring kan du enkelt gå ner i detalj och bläddra bland händelser från agent. Detta gör att du kan använda EventSearch för att undersöka händelserna och ignorera händelser som inte är användbara för din undersökning. Den här förbättringen är utformad för att göra din upplevelse av portalen smidigare. Trevlig sökning!
Vi har släppt följande förbättringar i vyn Event Search:
Förfyllda filter
När användaren tillämpar filter kan han eller hon se att rullgardinsmenyn fylls på med alla unika värden.
Det finns max 500 värden som kommer att visas i rullgardinsmenyn. Om administratören inte hittar värdet i listan måste de begränsa sin sökning genom att tillämpa lämpliga filter.
Vissa av fälten har också möjlighet att välja operatorn "Does Not Equals" för att söka baserat på undantag.
När du använder filter kan administratören nu välja flera värden från rullgardinsmenyn. Detta gäller både operatörerna "Lika" och "Inte lika
EDR: Trigger-responsåtgärder nu tillgängliga från med BCD
För att möjliggöra snabbare utredningar och förbättra användarupplevelsen för Endpoint BCD:er kan administratörsanvändaren på Elements nu utlösa svarsåtgärder från BCD-detaljerna, så att de inte behöver växla mellan BCD-vyn och svarsvyn när de gör en utredning av en BCD.
Hur man lämnar in en svarsåtgärd:
Administratören kan navigera till Endpoint BCD i portalen Elements
I BCD-detaljer -> Snabbåtgärder kan administratören se listan över svarsåtgärder som kan utlösas för BCD. För närvarande kan användaren utlösa följande svarsåtgärder:
Räkna upp uppgifter
Räkna upp processer
Administratören har också möjlighet att utföra dessa svarsåtgärder från processdetaljerna
När administratören utlöser ett svarsjobb visas ett popup-meddelande och de kan se om svarsjobbet skickades framgångsrikt tillsammans med länken till svarsinformationen
Genom att klicka på "Se svarsdetaljer" kan administratören se detaljerna för det svarsjobb som skickas in
Administratören kan navigera tillbaka till BCD genom att klicka på länken "Source BCD".
Administratören kan också visa alla svar i vyn Response (Svar). Om du bara vill se Endpoint-svaren filtrerar du data efter Action Type = 'Endpoint'.
Identity Security
Uppdateringar av modellen för detektering av inloggning
- Förbättrad platskontext: Vi har förbättrat vår modell så att den bättre känner igen vanliga platser och minskar antalet falska varningar för omöjliga resor för varje enskild användare.
- Medvetenhet om VPN: Vår modell har nu förbättrad detektering för både personliga och företags-VPN. Denna förbättring hjälper till att minska falska positiva resultat som orsakas av VPN-användning, vilket kan få det att se ut som om du loggar in från en ny plats när du i själva verket inte gör det. Genom att känna igen VPN-mönster kan modellen mer exakt bestämma din verkliga plats och minska onödiga varningar
Minska bullret i riskrapporter för inloggning (för kunder med Microsoft P2-licens)
- Färre anmälningar som inte kan åtgärdas: Vi har tagit bort varningar med för många avvikelser som inte kräver åtgärder, vilket gör det lättare att fokusera på viktiga frågor.
- Undertryckande av vanliga avvikelser: Vi undertrycker nu frekventa avvikelser från kända källor för att minska onödigt brus.
Exposure Management
Status för flera rekommendationer kan nu ställas in från sidan Rekommendationslista
Om du väljer flera rekommendationer aktiveras åtgärdspanelen. Statusen sparas i rekommendationerna för vidare spårning. t.ex. Den status som visas i widgeten Hem → Exponering visar endast aktiva rekommendationer (aktiv rekommendation = statusen är inte "Klar" eller "Falskt positiv")
Ändringar i widgeten "Slutsatser i denna rekommendation"
Denna widget på rekommendationens detaljsida har en ny "senast sedd"-kolumn som visar tidsstämpeln när detta fynd senast sågs. Den här kolumnen ger en tydligare uppfattning om hur färska scanningsresultaten är.
Förbättrad precision i bedömningen av åtgärdens effekt
Detta kommer att bidra till en mer exakt urskiljning av rekommendationer och en mer förbättrad prioritering av dem när deras poäng för åtgärdseffekt ligger nära varandra.
Ändringar i identitetsgranskningsloggen
När användaren ändrar Identity-egenskaper som betydelse och affärssammanhang finns de nu tillgängliga i Elements Audit Logs. När användaren utför åtgärder som att lyfta en rekommendation till WithSecure ingår dessa också.
Utökad logik för kontroll av identitetens MFA-status
Korrekt MFA-status visas nu på Identity med trafikljusfärger beroende på rapporterad MFA-status i O365, Portal och på andra ställen av Microsoft.
Ny widget för "Täckning" på startsidan → Widget för exponering
Denna nya widget visar Exposure Management:s bevakning av ett utvalt företag från olika vinklar.
Grön färg i varje område anger om företaget har slutfört WithSecure Exposure Management onboarding framgångsrikt och skanningar körs perfekt på det området.
Orange Färg: Indikerar att företaget har rätt licenser för att komma ombord på Exposure management, men inte all konfiguration eller ombordstigning är klar. i det här fallet, genom att klicka på området, kommer användaren att tas till en relevant vy där konfigurationen eller ombordstigningen kan slutföras.
Grå Färg: Indikerar att företaget inte har de licenser som krävs för att komma in på området. I så fall ber vi dig kontakta säljpersonalen för mer information om hur du skaffar den relevanta licensen.
Vulnerability Management
EVM: System Scan
Möjligheten att upptäcka sårbarheter i följande produkter har lagts till i Authenticated Scanning for Windows:
- Acronis Cyber Files
- Autodesk Revit
- BandiView
- Stöd för HPs snabbtangenter
- Intel oneAPI Base Toolkit
- iTunes för Windows
- NetApps verktyg för övergång till 7-mode
- Okta Verify för Windows
- Solarwinds Kiwi CatTools
- Splashtop för privatpersoner och företag
- Splashtop Software Updater
- Synology Active Backup för företag Agent
- Synology-assistent
- Synology Cloud Station Drive
- Synology Drive-klient
- Vagrant VMware-verktyg
Övriga poster av intresse
Rapporter om hot i fokus: November
Rådgivning om hot: Citrix Virtual Apps & Desktops (CVE-2024-8068 / CVE-2024-8069)
Citrix publicerade ett säkerhetsråd den 12 november 2024 angående en sårbarhet som påverkar deras produkt "Virtual Apps & Desktops".
Funktionen "Citrix session recording" i produkten har en sårbar implementering av nätverksmeddelandefunktionen (MSMQ HTTP messaging) som används för att ansluta det virtuella skrivbordet och Citrix session recording-servern.
Om sårbarheten utnyttjas kan behörigheten ökas till en användare på SYSTEM-nivå (och även befintliga användare kan utge sig för att vara andra).
Citrix rådgivande noterar att sårbarheten kräver att vissa villkor är uppfyllda (nämligen en autentiserad användare på samma Active Directory-domän). Forskarna som avslöjade sårbarheten noterade dock att om man har en server för sessionsinspelning som kan nås via internet kan det möjliggöra ett framgångsrikt fjärrutnyttjande av sårbarheten.
Ett proof of concept släpptes samma dag som meddelandet och kort därefter har försök att utnyttja sårbarheten observerats på nätet.
Hotmeddelande: Tolkningsprogram för kommandon och skript
I oktober 2024 sammanställde Splunk flera aktuella säkerhetsrapporter. Från denna sammanställning sticker en teknik ut: Kommando- och skriptinterpreteraren (T1059)
Denna teknik utnyttjar det faktum att de flesta operativsystem har ett inbyggt kommandoradsgränssnitt och skriptfunktioner.
Angripare kan utnyttja dessa tekniker på olika sätt för att utföra godtyckliga kommandon.
Du kan Registrera dig för att få de månatliga hotrapporterna med fullständig information om dessa hot.
Ytterligare information
Changelogs och Release Notes för alla delar av WithSecure™ Elements finns på Hjälpcenter.
