SentinelOne Signal. Автоматическая форензика по инцидентам и хантинг в реальном времени

Для эффективного реагирования на инцидент необходимо понимать общую картину: как, когда и почему он произошел. Это критически важно, поскольку начало реагирования может служить сигналом для злоумышленников, подталкивая их ускорить атаку или скрытно изменить свои техники. Реагирование на инциденты без понимания ситуации в целом может привести в замкнутый круг: компания отражают угрозы, а злоумышленники снова используют тот же метод реализации атаки. Поэтому в теории аналитики SOC проводят время, анализируя как, когда и почему произошел инцидент.

К сожалению, в действительности у аналитиков SOC редко есть время на полноценный анализ, потому что инцидентов слишком много, а среднее время обнаружения (MTTD) или реагирования (MTTR) продолжает увеличиваться. Из-за этого возникает вопрос: как организация может получить необходимые аналитические данные об инцидентах без дополнительной нагрузки на команду SOC?

Обогащение аналитических данных благодаря Singularity Signal

SentinelOne объявляет о доступности платформы киберразведки Singularity Signal для всех клиентов SentinelOne, а также об отчетах по киберразведке для клиентов редакции Singularity Complete.

Singularity Signal сочетает аналитические данные, получаемые как на основе ИИ, так и вручную. Это позволяет организациям быть на шаг впереди, поскольку дает беспрецедентным понимание логики действий злоумышленника. Платформа SentinelOne проводит автоматический анализ TTP злоумышленника и корреляцию всех поступающих угроз в любом масштабе и в реальном времени благодаря движку Singularity Signal на основе ИИ.

Использование этого движка освобождает специалистов ИБ от большей части ручной трудоемкой работы, на которую у них до этого не было времени. В результате организация мгновенно получает обогащенные аналитические данные об инцидентах, которые помогают ориентироваться даже в самых продвинутых атаках. Singularity Signal — это ваш собственный виртуальный аналитик SOC и даже реверс-инженер на основе ИИ, который знаком с вашей инфраструктурой и помогает аналитикам SOC эффективнее реагировать на угрозы.

Автоматический анализ инцидентов по TTP

В консоли SentinelOne Singularity перейдите в инцидент, который нужно расследовать. Вы моментально получите информацию о том, когда угрозу обнаружили впервые, когда она была замечена в последний раз, а также о масштабе взлома. Дополнительно в разделе «Индикаторы угроз» (Threat Indicators) можно в реальном времени просмотреть TTP-анализ и корреляцию событий, выполненную движком Singularity Signal. Вы мгновенно получите важнейшую аналитику о каждом TTP в соответствии с фреймворками MITRE ATT&CK и Cyber Kill Chain.

В примере выше представлено отображение инцидента из консоли управления SentinelOne. Мы видим, что была выявлена зловредная деятельность вируса-шифровальщика. Используя движок Singularity Signal на основе ИИ, мы получаем обогащенные аналитические данные о том, какой инцидент произошел, как и когда он случился, а также сопоставление тактик, техник и процедур MITRE ATT&CK с каждым шагом злоумышленника. В примере выше мы видим такие стадии, как Обход СЗИ и Персистентность, и конкретные события, связанные с ними.

Хантинг за угрозами

В некоторых ситуациях нужна дополнительная информация — тогда критически важен проактивный или реактивный хантинг за угрозами. Поначалу для успешной работы аналитикам SOC было необходимо разобраться с платформой для хантинга, зачастую очень сложной, со специальной схемой данных источников телеметрии, а затем с тем, как построить запросы для хантинга за индикаторами компрометации (IOC), индикаторами атак (IOA) или за конкретным злоумышленником. Модуль Deep Visibility SentinelOne обеспечивает прямой доступ ко всем структурированным данным организации и имеет легкий для понимания язык запросов, что делает его мощным инструментом для специалистов по хантингу.

В примере выше мы работаем в модуле Deep Visibility консоли управления SentinelOne. В одно мгновение можно найти все конечные устройства, на которых есть определенный файл, основываясь на значении хеша.

Оптимизация процесса хантинга и работы аналитика

Экономьте время на выстраивании запросов для хантинга, используя расширение для браузера SentinelOne Hunter, которое поможет мгновенно находить запросы о конкретных злоумышленниках, ТТР и других типах IOC и IOA на посещаемых веб-страницах.

Благодаря поиску в Hunter можно быстро найти нужные запросы для хантинга за угрозами. В данном примере был произведен поиск всех запросов для хантинга, связанных с киберпреступной группировкой Hafnium. Этот запрос можно мгновенно запустить в модуле Deep Visibility консоли управления SentinelOne.

Заключение

Ландшафт киберугроз быстро меняется. В результате во многих организациях время обнаружения и реагирования на угрозы продолжает увеличиваться. На сегодняшний день большинство команд ИБ перегружены из-за большого количества инцидентов, поэтому не могут проводить эффективный и полноценный анализ угрозы в ходе расследования. В Singularity Signal используется движок на основе искусственного интеллекта для моделирования угроз, корреляции инцидентов и TTP-анализа в реальном времени в любом масштабе, предоставляя обогащенные аналитические данные, которые помогут эффективнее реагировать на угрозы.

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по этой ссылке.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/