Что такое SentinelOne Singularity
Платформа SentinelOne Singularity — это первое в отрасли решение, которое реализует функционал защиты конечных точек — антивирус нового поколения (EPP), обнаружения и реагирования на конечных точках (EDR), безопасности Интернета вещей и защиты облачных рабочих нагрузок (CWPP), бесшовно объединяя уровни данных, доступа, управления и интеграции в рамках единой платформы.
В отличие от других антивирусов нового поколения, SentinelOne является СЗИ, которое развивается от автономной защиты хостов до полноценной платформы кибербезопасности — на базе единого кода и с единой архитектурой внедрения, и первым решением, которое поддерживает IoT и CWPP в рамках XDR-платформы.
SentinelOne использует запатентованную технологию для защиты от киберугроз, реализуя многовекторный подхода, включая технологии статического ИИ для защиты до запуска, которые заменяют антивирусное ПО. SentinelOne также использует технологии поведенческого ИИ во время исполнения, которые обнаруживают аномальные действия в реальном времени, включая бесфайловые атаки, эксплойты, вредоносные макросы и вредоносные скрипты, криптомайнеры, программы-вымогатели и другие атаки.
Функции реагирования SentinelOne, активируемые за миллисекунды для блокирования атак и сокращения времени активного присутствия злоумышленника в сети почти до нуля, включают предупреждение, удаление, карантин, устранение нежелательных изменений, откат Windows для восстановления данных, сетевую изоляцию, удаленный shell и многое другое.
Рассмотрим отличительные аспекты и преимущества платформы SentinelOne Singularity.
Общие аспекты
- Один из двух лидеров глобального рынка современных антивирусов + EDR нового поколения (второй лидер – Crowdstrike, не продается в России)
- Адекватная поддержка функционала на Windows, Linux, MacOS, в контейнерах Kubernetes, серверные ОС, VDI, устаревшие ОС, например, Windows XP
- Полноценный API
- Тенанты, поддержка MSSP
- Понятный интерфейс, в котором удобно и приятно работать
- Простота управления. Заказчики типично выделяют одного человека на каждые 100.000 хостов, защищаемых SentinelOne
Инновации
- Rogues – выявление устройств, на которых еще не установлен агент
- Ranger IoT – выявление и мониторинг легитимных и злоумышленных IoT-устройств в сети, и защита хостов от них
Антивирус нового поколения. Предотвращение атак и устранение последствий
- Предотвращение атак без необходимости подключения к сети Интернет на основе статического и поведенческого машинного обучения
- Возможность автоматического блокирования атаки, помещения вредоносного файла в карантин и отката машины к состоянию до заражения
- Запатентованный функционал восстановления нормального состояния хоста после атаки за счет отмены действий злоумышленного ПО
- Откат до предыдущего известно хорошего состояния за один клик за счет теневых копий Windows
- Визуализация сценария развития атаки
- Изоляция хоста
- Удаленный shell для Windows, Linux, macOS
- Защита от нарушения целостности агента
- Инвентаризация установленного на хостах ПО и выявление уязвимостей в них
EDR, расследование инцидентов (Deep Visibility)
- ActiveEDR позволяет отслеживать и контекстуализировать все события на хосте. ActiveEDR способен выявлять злонамеренные действия в режиме реального времени, автоматизируя необходимые действия по устранению угрозы и обеспечивая простой поиск угроз путем поиска по одному IOC
- Storyline (Сюжетные линии) автоматически коррелирует и группирует события в инциденты и аннотирует их тактиками и техниками MITRE ATT&CK
- Каждый элемент результатов поиска в EDR-модуле сопоставляется со всеми другими связанными объектами угрозы (процессами, файлами, потоками, событиями и т.д.). Это позволяет быстро понять взаимосвязь между данными: первопричину угрозы со всем ее контекстом, взаимосвязями и действиями
- Сохранение запросов и получение нотификаций при появлении новых результатов
Оценки аналитиков и заказчиков
- Отчет MITRE ATT&CK APT29 среди 21 вендора решений по защите конечных точек (2020):
- Платформа SentinelOne Singularity показала наибольшее количество комбинированных высококачественных детекций и наибольшее количество автоматических корреляций
- SentinelOne сгруппировал все данные трехдневного теста MITRE в 11 инцидентов в консоли, каждое из которых содержало все детали атаки. Чем меньше отдельных алертов, тем лучше для аналитиков, и Singularity успешно сгруппировала вместе соответствующие связанные данные, контекст и корреляцию, что упростило аналитикам понимание происходящего и принятие решения
- SentinelOne показал наибольшее количество автоматических детектов и наибольшее количество детектов силами MDR
- SE Labs, Лучшее новое решение по защите конечных точек, 2020
- Лучшее EDR-решение по отзывам клиентов Gartner Peer Insight, 2020
- Лучшее EPP-решение по отзывам клиентов Gartner Peer Insight, 2020
- Первое и единственное решение в области защиты нового поколения, получившее сертификат VB100 от Virus Bulletin. Сертификация VB100 пользуется уважением среди антивирусных и вредоносных сообществ из-за строгих требований к тестированию
- Четыре из 10 компаний Fortune 10 выбрали SentinelOne среди множества конкурирующих решений по защите конечных точек
- Статус Strong Performer в отчете Forrester EDR Wave, 2020
- Визионер в Волшебном квадранте Gartner по защите конечных точек (последний отчет, 2019)
- Рекомендован NSS Labs (97,7%, 2018)