Технология Storyline. Фундамент платформы SentinelOne

Мы продолжаем серию статей, в которых рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.

Читайте все статьи этой серии: Обзоры возможностей SentinelOne.

Главная задача специалиста по хантингу — это понимать поведение на конечных точках, фиксировать отклонения от него и очень быстро принимать меры по сдерживанию потенциальных угроз. Для этого нужно иметь возможность проводить поиск поведенческих индикаторов, которые сопоставлены с базой MITRE ATT&CK, в один клик и по всем конечным точкам. Кроме того, необходимо автоматизировать хантинг за известными атаками, или настроить автоматизацию в соответствии с собственными потребностями аналитика. Все это, и даже больше, предоставляет технология SentinelOne Storyline, причем быстрее, чем когда-либо. Поговорим о ней подробнее.

Что такое Storyline?

Модуль Deep Visibility в решении SentinelOne предоставляет возможности молниеносного хантинга благодаря запатентованной технологии Storyline. Каждый автономный агент Sentinel выстраивает модель инфраструктуры конечной точки и ее текущего поведения. Storyline ID — это идентификатор, присваиваемый группе связанных событий в этой модели. При обнаружении аномального события, которое может представлять угрозу, воспользуйтесь Storyline ID, чтобы быстро найти все связанные с ним процессы, файлы, потоки, другие события, данные — и все это в одном запросе.

Благодаря Storyline модуль ИИ Deep Visibility предоставляет полные, контекстуализированные данные, позволяющие быстро понять первопричину угрозы, весь ее контекст, связи и релевантные действия, которые выявляются за один раз. Storyline непрерывно обновляется в реальном времени по мере поступления новых телеметрических данных, позволяя целиком увидеть картину активности на конечных точках.

Благодаря этой технологии специалисты по хантингу видят всю историю произошедшего на конечной точке. Используйте Storyline для простого хантинга, отображения полной цепочки событий и экономии времени сотрудников ИБ.

Простота использования Deep Visibility EDR

Графический пользовательский интерфейс Deep Visibility EDR в консоли управления делает процесс хантинга эффективным и интуитивно понятным. Язык запросов SentinelOne Deep Visibility основан на простом и удобном SQL-подмножестве, которое будет знакомо по многим другим ИТ-инструментам.

Интерфейс помогает построить верный синтаксис с помощью предложений по заполнению и набором команд в один клик. Это позволяет тратить меньше времени и избавляет аналитиков от необходимости запоминать процесс построения запросов, даже если они не знакомы с синтаксисом.

image of command palette

Графический индикатор показывает корректность или некорректность синтаксиса, поэтому больше не нужно терять время и ждать, пока неправильно сформированный запрос вернет сообщение об ошибке. Для примера проведем поиск распространенной техники злоумышленников «living off the land» (вредоносная активность без ВПО): сформируем запрос, который покажет все процессы за последний год с добавлением сетевого пользователя:

image of query language

Здесь можно найти полезную шпаргалку, которая поможет повысить эффективность вашей команды по хантингу.

Пример: реагирование на инциденты

Предположим, что от ваших фидов об угрозах пришел отчет о новом индикаторе компрометации (IOC). Подвержена ли организация этой угрозе? Это можно легко и быстро выяснить, запустив запрос по всей среде.

Во вкладке Visibility начните печатать в поле ввода запросов и из набора команд выберите подходящий алгоритм хэширования, после чего выберите или напечатайте =. Чтобы полностью сформировать запрос, вставьте скопированный хэш в кавычках.

image of use case 1

Теперь создавать эффективные запросы для хантинга могут даже члены команды ИБ, которые малознакомы или совсем незнакомы с синтаксисом SQL.

В результатах запроса отобразятся все конечные точки, на которые когда-либо был файл с таким хэшем. Все очень просто.

image of results

Результаты появляются так быстро, не успеешь налить кофе

Платформа SentinelOne обрабатывает около 10 млрд. событий ежедневно, и понятно, что вы не можете ждать результаты часами, когда запрашиваете огромные объемы данных. Deep Visibility молниеносно возвращает результаты запросов, а в режиме Streaming позволит увидеть результаты подзапросов до того, как поиск данных по целому запросу полностью завершится.

Deep Visibility предоставляет подробную информацию от всех агентов SentinelOne, например, такие атрибуты, как путь (path), ID процесса (Process ID), Storyline ID и многое другое.

Благодаря модулю Deep Visibility можно получать данные раньше, сортировать их легче, переключаться на новые детализированные запросы и представлять всю историю инцидента гораздо быстрее, чем при работе с другими EDR-решениями.

Быстрые запросы по поведенческим индикаторам MITRE

Скорее всего, лучшим инструментом для специалиста по хантингу станут запросы по фреймворку MITRE ATT&CK. С модулем Deep Visibility платформы SentinelOne хантинг по TTP из базы MITRE ATT&CK проходит легко и быстро: нужно только ввести MITRE ID.

image of mitre search

Например, с помощью одного простого запроса можно проверить все конечные точки на наличие процесса или события, которые по поведению похожи на инъекцию кода:

IndicatorDescription Contains "T1055"

Более того, не придется формировать отдельные запросы для разных ОС. Один запрос в SentinelOne предоставит результаты поиска со всех конечных точек, при этом неважно, работают ли они на Windows, Linux или macOS.

image of mitre indicators

Автоматизированный хантинг: будьте на шаг впереди

Команда SentinelOne разработала Deep Visibility для снижения нагрузки на команду ИБ во всех отношениях. По этой причине в этом модуле есть инструменты, которые позволяют настраивать процесс хантинга и время его запуска с помощью списков отслеживания (Watchlists).

Они позволяют сохранять запросы Deep Visibility или создавать новые, периодически отправлять запросы и получать уведомления, когда придут их результаты. Таким образом, организация защищена, даже когда вы или ваша команда не на рабочем месте.

Создать список отслеживания очень просто: в консоли управления во вкладке Visibility отправьте запрос. Затем нажмите Save new query, назначьте запросу имя и выберите тех, кто должен получать уведомления по завершении поиска по запросу. Процесс хантинга будет начинаться по всей среде через определенные промежутки времени, и выбранным специалистам будут приходить уведомления обо всех результатах.

image of watchlists

Глубокая аналитика на всех уровнях

Deep Visibility создан для детализации. Вы можете в подробностях изучить любой элемент данных, предоставленный в результатах Deep Visibility. В каждой колонке в алфавитном порядке отображается список полученных элементов. Можно выбрать фильтры для отображения одного и более элементов. В списке результатов вы можете расширить ячейку и увидеть детали. Для наибольшей детализации данных можно открыть подпункт результатов и подробно его изучить. Или же вы можете использовать выбранные элементы результатов поиска для создания нового запроса.

image of new query

Заключение

Хантинг позволяет обнаружить подозрительное поведение на его ранних стадиях до того, как оно перерастет в атаку, в ответ на которую сгенерируется алерт. Он служит дополнением к автоматизированным правилам инструментов детекта, которые отправляют алерт только тогда, когда есть большая уверенность в подозрительном поведении. Но эффективный хантинг подразумевает меньше работы для аналитиков ИБ и больше защиты для вашей организации, данных, сервисов и клиентов. Благодаря Deep Visibility от SentinelOne вы получите подробные аналитические данные обо всем, что произошло в среде. Deep Visibility предоставляет не только возможности мониторинга, но и простоту использования, скорость, контекст — поэтому хантинг становится эффективнее, чем когда-либо. Чтобы узнать больше, свяжитесь с нами или запросите бесплатное демо.

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.

Демо автоматических возможностей Storyline за 15 минут

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/