Nieuwe Features
Microsoft Sentinel Add-on
Het belangrijkste nieuws in deze release is de addon voor Microsoft Sentinel. Iets waar we in feite al 4 jaar mee bezig zijn, en waar ontzettend veel backend werk voor nodig was, en dat dan samenvatten onder 1 noemer is bijna respectloos naar ons zelf 😉
Met deze toevoeging aan de Attic voor Microsoft 365 oplossing, wordt Attic je SOC-as-a-Service. Zie ook onze productpagina online, en deel het met je netwerk!
Microsoft Sentinel is een component dat Microsoft 365 abonnees zonder meerkosten van Microsoft kunnen installeren. Meer informatie over Sentinel vind je in ons blog: zolder.io/microsoft-sentinel/
In Sentinel zal Attic een aantal rules activeren om verdacht gedrag te signaleren en op te volgen zoals je van Attic gewend bent. De rules die we nu lanceren, vind je verderop in deze releasenotes. Maar van nu af aan zullen we de frequentie van nieuwe content (checks, rules en fixes) aanzienlijk verhogen!
De addon is beschikbaar als toevoeging aan Attic voor Microsoft 365 Premium tegen een meerprijs die per actieve gebruiker in de Microsoft tenant wordt bepaald. In de laagste staffel (1-250 medewerkers) bedragen de kosten 1 euro per maand per actieve gebruiker, bovenop het Premium abonnement. Als voorbeeld: bij 25 gebruikers heb je dan voor 80 + 25 = 105 euro per maand een SOC functie geregeld, wel zo handig ook als je NIS2-plichtig bent!
Tot 31 december willen we Early Birds een speciale introductiekorting geven. Bij aanschaf van de addon voor 1 jaar, krijg je de eerste 3 maanden gratis. Ofwel: 25% korting. Gebruik kortingscode: SENTINELEARLYBIRD om de korting te claimen in onze webshop, of laat het ons weten als je een offerte wenst te krijgen. Aanbod geldig t/m 31 december 2023.
Nieuwe Incidentview
We hebben de pagina met incidenten in de mobiele en web versie van Attic grondig onder handen genomen. De directe aanleiding hiervoor was dat door de introductie van Sentinel, het waarschijnlijker wordt dat bij 1 incident meerdere fixes worden geadviseerd. Bijvoorbeeld het verwijderen van aan bepaald artifact, in combinatie met het uitschakelen van een gebruikersaccount.
Om dat scenario overzichtelijk te houden, moesten we de interface onder handen nemen. Daarbij hebben we ons als doel gesteld om vooral heel duidelijk te maken wat de ‘normale’ flow is: Beoordeel de voorgestelde fixes, en accepteer ze. Bij Attic willen we het zo simpel mogelijk houden én jullie veilig houden en dan is dit simpelweg de bedoelde flow. Wil je toch weigeren of negeren, dan kan dat natuurlijk. Het volgende screenshot spreekt voor zich:
Algemene Usability
Omdat we toch de app onder handen gingen nemen, hebben we direct een paar styling, usability en andere algemene fixes toegepast. De app werkt daar niet anders door, en de kans is groot dat je het niet eens ziet. Maar wij zijn er toch trots op dat de app net weer iets beter uitkomt dan voorheen.
Security Content
Deze release worden deze rules toegevoegd aan de Sentinel Addon. Wij zijn zorgvuldig geweest om rules te maken die echt aansluiten bij de dreigingen van vandaag de dag (met name misbruik van gelekte inloggegevens voor BEC/CEO-Fraude of Ransomware). Maar tegelijkertijd geen Rules die veel false-positive detecties opleveren. False-positives zijn namelijk de grote vijand van een SOC-functie, en kwaliteit betekent false-positives vermijden.
Alle rules staan beschreven in het Attic Helpcenter: support.atticsecurity.com
- RULE-1020 : Mailboxrule Forwarding
- RULE-1022 : Mailboxrule Keywords
- RULE-1023 : Mailbox Auto-Forwarding
- RULE-1024 : Transportrule Forwarding
- RULE-1026 : Transportrule Keywords
- RULE-1123 : Guest Account High Privileges
- RULE-1138 : Guest Invite High Privileges
- RULE-1129 : Emergency Admin Account Used
- RULE-1520 : Public SharePoint Site
- RULE-1521 : Malware Detected on SharePoint
- RULE-1522 : Malware Downloaded from SharePoint