Возможности SentinelOne: Полноценный удаленный shell

Мы продолжаем серию статей, в которых рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.

Читайте все статьи этой серии: Обзоры возможностей SentinelOne.

Полноценный удаленный shell (Full Remote Shell) дает аналитикам ИБ быстрый способ расследования атак, сбора форензики и устранения нарушений независимо от того, где находятся скомпрометированные конечные точки, устраняя неопределенность и значительно сокращая время простоя в результате атаки.

Full Remote Shell позволяет авторизованному администратору получить безопасный доступ к управляемым конечным точкам непосредственно из консоли SentinelOne. Таким образом, системные администраторы и сотрудники службы ИБ могут быстро установить полнофункциональный сеанс удаленной командной строки для устранения проблем конечных пользователей без необходимости выезжать на место действия.

Опытные администраторы знают, что невозможность видеть и взаимодействовать с любым устройством в сети может превратить ситуацию «проблема решена» в «задержался на работе». Сегодня в сети так много шума, что удаленная оболочка является важным инструментом для более удобного управления конечными точками.

Для чего нужен функционал удаленной командной строки

Ландшафт конечных точек постоянно меняется. Пользователи устанавливают широкий спектр программного обеспечения для более эффективного выполнения своей работы, что затрудняет соблюдение лучших практик ИБ и управления рисками. В современных корпоративных средах администраторы всегда имеют огромное количество вариантов использования полноценного функционала удаленной командной строки.

Вот несколько советов для начала:

  1. Более быстрое устранение проблем, благодаря тому, что администраторам не нужно физически находиться рядом с конечным устройством для решения проблем
  2. Лучшая поддержка удаленных пользователей, так как нет необходимости просить пользователей прийти в офис или посетить ИТ-отдел, или установить сомнительный сторонний софт
  3. Легко изменить локальную конфигурацию, не выходя из помещения
  4. Дистанционное управление безопасным методом
  5. Расследования и форензика с помощью получения дампа памяти и другие продвинутые инструменты
  6. Завершить нежелательное приложение или процесс, запущенный на конечной точке
  7. Опросить любое устройство в сети, локальным методом

Насколько это безопасно?

Возможность предоставления удаленной оболочки с администраторскими правами к каждому устройству в некоторой степени противоречит ДНК решения по защите информации. С другой стороны, функционал remote shell является одной из более популярных и востребованных специалистами по ИБ возможностей. SentinelOne приложил усилия к тому, что реализовать двунаправленные потребности удобства использования и безопасности:

  1. Полный доступ к удаленной оболочке должен быть отдельно включен в политике управления
  2. Для каждого сеанса администратор должен выбрать специальный пароль шифрования сессии
  3. Прежде чем начать доступ, администратор должен включить двухфакторную аутентификацию
  4. Полный аудит — каждый сеанс регистрируется, включая каждый доступ, использование и историю сеансов

Особенности удаленной командной строки SentinelOne

Перед тем, как приступить к разработке полной удаленной оболочки, SentinelOne опросил администраторов об их опыте использования аналогичных возможностей в других продуктах. Основная проблема, о которой сообщали эти пользователи, заключалась в ограниченном количестве команд, которые они могли выполнять. Если им требовалась другая команда, требовалось отправлять запрос на доработку поставщику и другие длительные процессы. Чтобы избежать этих проблем, мы используем нативные возможности оболочки. Другими словами, все, что вы можете делать с PowerShell и Bash, вы также можете делать с помощью SentinelOne Full Remote Shell, и это открывает множество использования. Помимо прочего, поддерживатся завершение команд и другие средства, которые упрощают жизнь системному администратору.

Демо

Заключение

Полная удаленная оболочка SentinelOne помогает организациям избежать «ИТ-кошмара» защищенного управления распределенной сетью. Это позволяет ИТ-персоналу быстро и эффективно реагировать на технические проблемы, не перемещаясь к каждому устройству. Удаленная оболочка обладают всеми возможностями, которые вы ожидаете от типичного сеанса командной строки, при этом она реализована простым и безопасным способом, который является отличительной чертой продуктов SentinelOne.

Вы можете протестировать платформу защиты конечных точек SentinelOne с функционалом Full Remote Shell уже сегодня.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/