Обзор платформы защиты конечных точек SentinelOne

Представляем нового вендора в портфеле Тайгер Оптикс! Компания SentinelOne была основана в 2013 году в Израиле элитной командой экспертов по кибербезопасности и защите, которые разработали принципиально новый революционный подход к защите конечных точек.

SentinelOne является пионером в обеспечении автономной безопасности конечных точек, центров обработки данных и облачных сред, помогая организациям быстро и просто защищать свои активы. SentinelOne объединяет предотвращение, обнаружение, реагирование и устранение последствий атак, а также форензику в рамках единой платформы антивируса нового поколения (EPP) / EDR / XDR на базе искусственного интеллекта. С помощью SentinelOne организации могут обнаруживать вредоносное поведение по множеству направлений, быстро блокировать и устранять угрозы с помощью полностью автоматизированного интегрированного реагирования, и адаптировать свою защиту под самые сложные кибератаки.

Читайте также серию статей, в которых мы рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity: Обзоры возможностей SentinelOne.

Признание SentinelOne

  • Gartner признал SentinelOne Визионером в Волшебном квадранте по защите конечных точек (последний отчет, 2019)
  • В тесте MITRE ATT&CK APT29 платформа SentinelOne показала наиболее число высококачественных детекций и наивысшее число автоматических корреляций среди 21 вендора решений по защите конечных точек
  • Лучшие EDR-решение по отзывам клиентов Gartner Peer Insight
  • Лучшие EPP-решение по отзывам клиентов Gartner Peer Insight
  • Первое и единственное решение в области защиты нового поколения, получившее сертификат VB100 от Virus Bulletin. Сертификация VB100 пользуется уважением среди антивирусных и вредоносных сообществ из-за строгих требований к тестированию
  • Четыре из 10 компаний Fortune 10 выбрали SentinelOne среди множества конкурирующих решений по защите конечных точек
  • Статус Strong Performer в отчете Forrester EDR Wave, 2020

Платформа SentinelOne Singularity

Платформа защиты конечных точек SentinelOne Singularity дает командам ИБ, SOC и ИТ более эффективный способ защиты информационных активов от современных сложных угроз. Singularity представлена в трех редакциях и обеспечивает дифференцированную защиту конечных точек (антивирус нового поколения), обнаружение атак и реагирование на них (EDR), безопасность Интернета вещей, защиту облачных ресурсов и функционал для повседневной ИТ-деятельности, объединяя несколько существующих технологий в одно решение. SentinelOne предлагает ресурсоэкономные автономные агенты «Sentinel» для Windows, Mac, Linux и Kubernetes и поддерживает различные форм-факторы, включая физические, виртуальные, VDI, корпоративные ЦОДы, гибридные и публичные облака.

Платформа SentinelOne Singularity
Платформа SentinelOne Singularity

По умолчанию платформа SentinelOne Singularity работает по SaaS-модели. SentinelOne предлагает клиентам выбор между развертыванием сервера управления в облаке Amazon AWS или локально в виде виртуального устройства. Использование облачного исполнения сервера управления позволяет получать неограниченные ресурсы для функционала активного EDR / XDR. Однако логика предотвращения, обнаружения и реагирования агента SentinelOne выполняется локально на агенте, что означает, что агенты и возможности обнаружения SentinelOne не зависят от облака. В отличие от других поставщиков, агенту не нужно загружать данные в облако для поиска индикаторов атаки (IoA), а также отправлять код в облачную песочницу для динамического анализа.

Все клиенты SentinelOne Singularity имеют доступ к следующим функциям консоли управления SaaS:

  • Глобальная SaaS-платформа с высокой доступностью. Выбор локации (Европа, США, Азиатско-Тихоокеанский регион)
  • Гибкая аутентификация и авторизация администраторов: SSO, МФА, ролевая модель доступа
  • Все защищаемые конечные точки консолидируются по аккаунтам, группам и локациям в соответствии с вашей организационной структурой
  • 365 дней истории инцидентов с угрозами
  • Встроенная киберразведка SentinelOne и индикаторы MITRE ATT&CK
  • Дашборды с аналитикой по состоянию безопасности
  • Настраиваемые уведомления по электронной почте и syslog
  • Интеграция Singularity со сторонними системами на основе API (SIEM, песочница, Slack, сторонняя киберразведка и т.д.)
  • Единый API с более чем 340 функциями
Платформа SentinelOne Singularity
Редакции платформы SentinelOne Singularity

Лицензирование

Платформа SentinelOne Singularity лицензируются по числу агентов и продается по подписке, с равным ежегодным платежом, который включает доступ к выбранной редакции платформы, стандартную поддержку и обновления ПО. Минимальная лицензия составляет 100 агентов.

Также доступны подписки на услуги, в том числе Vigilance Managed Detection & Response (MDR) для круглосуточной поддержки безопасности организации специалистами SOC-а SentinelOne по модели аутсорсинга.

Singularity Core

Core — это базовая версия ПО SentinelOne для обеспечения безопасности конечных точек. Это антивирус нового поколения для организаций, которые хотят заменить устаревшие антивирусы или NGAV на более эффективный и простой в управлении EPP-продукт. Core также включает базовые функции EDR, демонстрирующие истинное слияние возможностей EPP + EDR в рамках одного агента. Анализ угроз является частью стандартного предложения и интегрирован через функции искусственного интеллекта и Sentinel Cloud.

Функции SentinelOne Core включают:

  • Антивирус нового поколения. Встроенный анализ на основе статического и поведенческого ИИ предотвращает и обнаруживает широкий спектр атак в режиме реального времени до того, как они нанесут ущерб. Core защищает от известных и неизвестных вредоносных программ, троянов, инструментов взлома, программ-вымогателей, эксплойтов памяти, неправильного использования скриптов, плохих макросов и многого другого.
  • Агенты Sentinel автономны, что означает, что они применяют технологию предотвращения и обнаружения с подключением к облаку или без него и запускают защитные реакции в режиме реального времени.
  • Восстановление происходит быстро, и пользователи возвращаются к работе за считанные минуты без перезаливки образов или необходимости написания скриптов. Любые несанкционированные изменения, произошедшие во время атаки, можно отменить одним щелчком с помощью функций «1-Click Remediation» (вылечить) и «1-Click Rollback» (откатиться) для Windows
  • Безопасный доступ к SaaS-консоли. Выбор локации в Европе, США, Азиатско-Тихоокеанском регионе.
  • Панели управления на основе данных, управление политиками для иерархий сайтов и групп, анализ инцидентов с интеграцией MITRE ATT&CK и многое другое.

Singularity Control

Control предназначен для организаций, которым требуется лучшая в своем классе безопасность, доступная в редакции SentinelOne Core, с добавлением функций комплексной защиты и управления конечными точкам.

Функции SentinelOne Control включают:

  • Все функции SentinelOne Core
  • Контроль хостового МСЭ для управления входящими и исходящими сетевыми подключениями с учетом местоположения
  • Функционал контроля устройств для управления USB-устройствами и периферийными устройствами Bluetooth / BLE.
  • Выявление Rogues («чужаков»), то есть устройств в сети, на которых еще нет агента SentinelOne.
  • Инвентаризация приложений и управление уязвимостями, что позволяет выявлять сторонние приложения, которые имеют известные уязвимости, сопоставленные с базой данных MITRE CVE.

Singularity Complete

Complete создан для организаций, которым необходимы современные средства защиты и контроля конечных точек, а также ActiveEDR — расширенный EDR-функционал. Complete также имеет запатентованную технологию Storyline («сюжетные линии»), которая автоматически группирует в инциденты и контекстуализирует события и взаимосвязи процессов ОС [даже при перезагрузках] каждую секунду каждого дня, и сохраняет их для будущих расследований.

Интерфейс расследования инцидента SentinelOne
Интерфейс расследования инцидента SentinelOne

Storyline избавляет аналитиков от утомительных задач корреляции событий и быстро помогает им найти первопричину инцидента. SentinelOne Complete разработан для снижения нагрузки на администраторов ИБ, аналитиков SOC, хантеров и специалистов, занимающихся реагированием на инциденты, за счет автоматической корреляции телеметрии и ее сопоставления с платформой MITRE ATT&CK. Самые зрелые глобальные организации используют SentinelOne Complete для удовлетворения своих жестких требований к кибербезопасности.

Возможности Singularity Complete включают:

  • Все функции SentinelOne Core + SentinelOne Control
  • Запатентованная технология Storyline («сюжетные линии») для быстрого выявления причин инцидента и легкого пивотинга между событиями ИБ.
  • Интегрированный мониторинг на основе ActiveEDR как для легитимных, так и вредоносных данных.
  • Хранение исторических данных EDR на протяжении 14–365+ дней, а также высокая скорость выполнения запросов в любом масштабе
  • Хантинг на основе техник MITRE ATT&CK
  • Возможность помечать безвредные сюжетные линии как угрозы для защиты со стороны функции EPP
  • Функции наблюдения Automated Storyline Active Response (STAR Watchlist Functions)
  • Таймлайны, удаленный shell, скачивание файлов, интеграции с песочницами и многое другое.

Singularity Ranger IoT

Распространение Интернета вещей, открытых политик BYOD и удаленной работы экспоненциально увеличивает количество неуправляемых IP-устройств, непосредственно соседствующих с инфраструктурой организации. Один взломанный принтер может стать площадкой злоумышленника для разведки, латерального движения и взлома.

SentinelOne устраняет этот риск с помощью Singularity Ranger, неотъемлемого компонента платформы Singularity XDR, который превращает агенты Sentinel на конечных точках в распределенные сетевые сенсоры. Sentinel Ranger позволяет контролировать поверхность атаки корпоративных сетей в режиме реального времени, обнаруживая, идентифицируя и сдерживая любые угрозы со стороны устройств. Теперь ваши конечные точки могут автономно защищать вычислительную инфраструктуру от атак Интернета вещей, взломанных устройств и уязвимостей. При этом не нужно приобретать новое оборудование или менять сеть, достаточно включить функционал Ranger в политике защиты конечных точек, и агенты Sentinel обеспечат защиту.

Отличие Rogues и Ranger

Как Rogues, так и Ranger встроены в агент SentinelOne. Возможности различаются в зависимости от приобретенного уровня лицензии. Rogues бесплатно включены в пакеты Singularity Complete и Singularity Control. Ranger — это опциональный дополнительный продукт с множеством расширенных возможностей мониторинга и контроля сети.

Отличия возможностей Rogues и Ranger
Отличия возможностей Rogues и Ranger

Услуги SentinelOne

Техническая поддержка

Техническая поддержка оказывается собственной командой экспертов SentinelOne 1, 2 и 3 уровня, обученных всем аспектам платформы Singularity, без привлечения аутсорсеров. Центры поддержки, расположенные по всему миру в Европе, Северной Америке и Азии, в том числе в Израиле, готовы оказать помощь в режиме 24x7x365.

Все клиенты имеют доступ к внутреннему ресурсному центру и порталу поддержки клиентов. При уровне Standard Support инженеры службы технической поддержки будут работать над решением проблем в течение рабочего дня центра поддержки. При выборе Enterprise Support работа над решением критических тикетов будет вестись круглосуточно и по выходным. Добавив опцию технического менеджера аккаунта (TAM) к Enterprise Support, клиенты получат специального технического менеджера по работе с клиентами, который обеспечивает более персонализированный уровень обслуживания, включая отслеживание заявок и периодические отчеты о состоянии инсталляции по методике ONEscore.

Подписка на управляемые услуги Vigilance MDR

SentinelOne Vigilance Managed Detection & Response (MDR) — это подписка на услуги, предназначенная для повышения безопасности заказчиков. Vigilance MDR повышает ценность продукта, гарантируя, что каждая угроза проверяется, устраняется, документируется и эскалируется по мере необходимости силами аналитиков SOC SentinelOne. В большинстве случаев специалисты SentinelOne интерпретируют и устраняют угрозы примерно за 20 минут и связываются с заказчиками только по срочным вопросам. Vigilance MDR позволяет клиентам сосредоточиться только на тех инцидентах, которые имеют значение, что делает его идеальным помощником для перегруженных команд ИТ / SOC.

Подписка на сервис готовности SentinelOne Readiness

SentinelOne Readiness — это консультационный сервис по подписке, предназначенный для сопровождения заказчика до, во время и после установки продукта с использованием структурированной методологии, которая поможет вам быстро приступить к работе и поддерживает работоспособность вашей инсталляции с течением времени. Клиенты SentinelOne Readiness получают рекомендации по развертыванию, периодическую помощь в обновлении агентов и ежеквартальные проверки состояния ONEscore, что гарантирует оптимальную работу инсталляции SentinelOne.

Семь причин перейти на антивирус нового поколения SentinelOne

В чем польза перехода на антивирус нового поколения + EDR SentinelOne? Читайте статью на сайте Cnews Club.

Закажите демо платформы защиты конечных точек SentinelOne у Тайгер Оптикс, официального дистрибьютора SentinelOne в России и СНГ.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/