Das Blue-Shield-Ökosystem wird laufend erweitert, und es freut uns, Ihnen mitteilen zu dürfen, dass mit Anfang Mai folgende große Änderungen ihren Weg in den Produktiv-Channel des Dashboards finden:
1. Erweiterung des REST-IP-Feed-Filters mit Offset und Limit
Blue-Shield blockt über den Kanal „DNS“ erstmals den Zugriff auf bösartige Ressourcen über Namen – egal, ob im Browser, Mail-Client oder einer anderen Applikation. Zusätzlich macht es Sinn, die Zugriffe auch zur bzw. von den IP-Adressen zu blocken. Dazu können Sie die bekannten bösartigen IP-Adressen über einen Web-Feed herunterladen und in Ihre Firewall (als IoC) einlesen und blocken. Zugriff auf den IP-Feed finden Sie im Blue-Shield-Portal unter „Setup“ >> „Umbrella IP Feed“.
Es gibt 2 Feeds:
Empfohlen: https://app.blueshield.io/v2/blocks/ips?format=txt&hr=true
Vollständiger Feed: https://app.blueshield.io/v2/blocks/ips?format=txt
Neu: Die IP-Adressen aus dem empfohlenen Feed werden nach dem Blue Shield Risk Score absteigend sortiert. Diesen URL kann man nun mittels query parameter anpassen, z.B: https://app.blueshield.io/v3/blocks/ips/hr?limit=10&offset=1&format=txt.
2. Live Lookup Feature
Es ist nun möglich, sich in Echtzeit einen Screenshot von einer Domain anfertigen zu lassen. Diese Funktion findet man in den Domain-Details:
Oder im Live-Lookup:Hier wird ein Headless Browser gestartet, der die Domain mit einem HTTP- oder HTTPS-Protokoll auflöst. Als Resolver dienen hier die RFREE Server, um dem Nutzer die korrekte Seite und nicht die Blue Shield Blocking Page anzuzeigen. Der große Vorteil für Sie ist, dass der Host durch das Live-Lookup sofort neu durch Blue Shield geprüft wird – und ggf. auch geblockt. Gerade bei Phishing-Seiten kann es vorkommen, dass der Content rasch wechselt.
3. Windows Agent
Der Windows Agent verfügt über zwei neue Modi, dem „Extended Monitoring“ und dem „Firewall“ Modus. Beide können im Blue Shield Dashboard aktiviert werden. Die Windows Agents synchronisieren sich mit dieser Konfiguration alle 15 Minuten. Der Extended-Monitoring-Modus dient der erweiterten Datenaufzeichnung mittels dem Windows Internal Tool Sysmon. Blockierte Requests des Endgerätes werden somit mit Geräte- und benutzerspezifische Daten angereichert und sind anschließend im Dashboard ersichtlich. Der Firewall-Modus dient zum Einspielen des Recommended IP-Feeds von Blue Shield durch den Windows Agent. Dabei nutzt der Agent die Windows Defender Firewall und spielt alle aktuellen und von Blue Shield blockierten IP-Adressen ein, um das Endgerät noch besser zu schützen. Des Weiteren nutzt der Agent eine neue Balancing-Strategie mittels Geolocating.
0 Comments