Каждый день компании сталкиваются с множеством киберугроз, к сожалению, базовая защита больше не справляется. Чтобы защитить бизнес от злоумышленников, существует острая необходимость в чем-то надежном, передовом и адаптивном. Такими продуктами может похвалиться лидер в сфере кибербезопасности SentinelOne. Компания предлагает предприятиям надежную линию защиты от угроз.
Но прежде чем начнем обзор продуктов SentinelOne, давайте разберемся, что такое Endpoint Protection Platform (EPP). Проще говоря, EPP — это решение, разработанное для защиты конечных точек или пользовательских устройств, таких как компьютеры и мобильные телефоны, от угроз. Его основные функции включают обнаружение вредоносных программ, управление брандмауэром и контроль приложений. Это обеспечивает комплексную безопасность устройств в организации. Теперь, когда у нас есть базовое понимание EPP, давайте рассмотрим, почему SentinelOne с лучшей платформой EPP, необходим для бизнеса.
Программы от SentinelOne – это как агенты безопасности вокруг вашей ИТ-инфраструктуры, которые держат киберугрозы на расстоянии. Эти агенты не только бдительные охранники, но и независимые оперативники. Даже когда конечная точка отключена от основной сети или вообще не имеет подключения, эти агенты действуют. Они предназначены для перехвата опасностей на передовой, гарантируют, что устройства в организации защищены от потенциальных киберугроз.
Производитель использует выявление и принятие мер в ответ на угрозы на базе искусственного интеллекта, объединяет EDR с функциями защиты устройств, работает во всех аспектах сети, включая контейнеры, облачные рабочие нагрузки, IoT.
SentinelOne Singularity — инновационное антивирусное решение (NGAV) EDR, которое выводит традиционное антивирусное ПО на новый, продвинутый уровень защиты конечных устройств. Это выход за рамки традиционной идентификации вредоносных программ на основе сигнатур, переход к системно-ориентированному способу защиты устройств на основе облака.
SentinelOne предлагает три тарифных пакета: Singularity Core, Singularity Control и Singularity Complete.
Singularity Core
Лицензия Core - фундаментальный уровень защиты конечных устройств. Современный корпоративный антивирус позволит организациям поменять старую защиту на практичную EPP-платформу.
Singularity Core обладает первичным функционалом системы EDR, объединяет инструменты EPP и EDR в рамках одного агента. Исследование угроз – составляющая традиционного решения, реализуется посредством ИИ и облака Sentinel.
Что входит в функционал SentinelOne Singularity Core:
- инновационный антивирус. Программа анализирует компьютер или другие устройства с использованием искусственного интеллекта, выявляет атаки в реальном времени до нанесения вреда. Singularity Core обеспечивает защиту от любых вредоносных программ, троянского ПО, взлома, некорректного применения скриптов.
- автономность. Работа защитной системы Sentinel построена без привязки к типу подключения конечной точки, локальному размещению или облачному. Обнаружение выполняется изолировано в реальном времени.
- моментальное восстановление. Ваши сотрудники смогут продолжить рабочий процесс уже через несколько минут, не нужно повторно создавать образы, писать скрипты. Все незаконные, подозрительные правки в ходе атаки можно аннулировать, используя опции «1-Click Remediation» (исправить) и «1-Click Rollback» (откатить) в ОС Windows.
- исследование вредоносных событий, отчетность. Отчеты содержат детальные данные об инцидентах, когда произошла атака и о том, кто пострадал. Система автоматически определяет и сравнивает TTP с MITRE ATT&CK. Вам доступны консоли управления с данными, встроенная отчетность, возможность настроить аннотации, сделать заключение, графическое отображение инцидентов и адаптация к нуждам вашей компании.
Singularity Control
Лицензия Singularity Control содержит все возможности Core плюс дополнительные функции безопасности для мониторинга устройств.
Какие основные функции SentinelOne Singularity Control:
- мониторинг поступающих и отправляемых сетевых данных. Вы сможете отслеживать подключения с бесконтактной фиксацией геолокации;
- отслеживание USB, Bluetooth систем. Программа позволяет определить режим полного чтения-записи или только чтения;
- обнаружение нелегального доступа к устройствам. Идентифицируйте все несанкционированные устройства, которые не защищены SentinelOne – вы увидите полный обзор всей вашей сети. Узнаете, какие есть пробелы в развертывании сети и сможете их исправить без использования стороннего ПО;
- работа с уязвимостями. Кроме проверки программ, анализируйте внешние приложения с известными уязвимостями, сравнивайте их с БД MITRE CVE.
Singularity Complete
Это антивирусный пакет с расширенными функциями выявления, устранения и ответных действий на конечных устройствах. Версия Complete подходит предприятиям, которым нужна модернизированная защита устройств c единой системой EDR.
Singularity Complete содержит возможности Core+Control, и дополнительные опции.
Что входит в функционал SentinelOne Singularity Control:
- полнофункциональная система EDR для предприятий, единый агент для комплексной кибербезопасности. Вы сможете управлять сетью, просматривать USB- Bluetooth устройства, использовать встроенную защиту от сетевых атак, а именно модуль Ranger;
- методика StorylineTM для автоматизации видимости. Storyline эффективно проверяет гипотезы, что обеспечивает быстрые аналитические выводы RCA;
- ActiveEDR. Функция помогает мониторить данные, и подозрительные, и безвредные;
- инструменты обнаружения. Вы сможете выполнять поиск угроз с помощью методов MITRE ATT&CK. Готовые концепции сбора информации помогут упростить анализ инцидентов;
- система MDR для улучшения автономной безопасности. Vigilance MDR – выявление угроз и принятие мер 24/7. Отдел аналитиков и специалистов по кибербезопасности ежедневно и круглосуточно на чеку, они выполняют обнаружение опасностей, чтобы вы смогли фокусироваться на более важных задачах.
Sentinel One – производитель антивирусных решений на базе искусственного интеллекта. Он предлагает одну из самых мощных XDR-концепций. Суть метода XDR заключается в автоматическом отслеживании и реагировании на подозрительные действия на конечной точке.
Singularity XDR
Продукт SentinelOne Singularity всегда входит в пятерку лучших программ в сфере кибербезопасности. Система XDR - это расширенные возможности обнаружения EDR и ответных действий с централизованной панелью управления. Вы получите прозрачность на нескольких уровнях и автоматизацию ответных действий в рамках всего стека безопасности. Решение позволяет вашей команде SOC легко обнаруживать и останавливать атаки до того, как они начнут распространяться или нанесут значительный ущерб.
Особенности SentinelOne XDR
Рассмотрим основные возможности платформы Singularity XDR.
Корреляция и наглядность данных между стеками. Каждый стек безопасности имеет некоторую структуру и неструктурированные данные. Лучшее в SentinelOne XDR — это то, что он принимает данные из разных доменов и объединяет их на одной панели.
В результате он устраняет слепые пятна в вашей системе безопасности и позволяет команде увидеть, где скрываются уязвимости. Эти данные собираются и сопоставляются со всех доменов, таких как сети, облачные рабочие нагрузки, конечные точки, устройства IoT и т. д.
Единая панель управления предлагает контекст атаки и инцидента. Кроме того, она позволяет вашей команде изучить всю систему, внести изменения и быстро выполнить многоуровневый анализ.
SentinelOne StoryLine. Эта запатентованная технология предлагает историю инцидента и атаки в реальном времени, преобразуя разрозненные данные в подробный контент. Ваша команда может быстро получить ясную картину того, что и где происходит, с помощью этой платформы.
Storyline связывает все события и действия, так что вашей команде не придется тратить часы на поиск истории, стоящей за атакой. Нет необходимости анализировать и расследовать вручную или тратить время, когда Storyline поможет вашей команде на каждом этапе пути.
Интегрированная информация об угрозах
Эта платформа помогает специалистам ускорить анализ и расследование угроз с помощью интегрированной разведки угроз. Портал XDR может обогащать данные об угрозах с помощью автоматического усиления из более чем 800 000 источников.
В результате вы сможете принять окончательное решение относительно угроз и предпринять необходимые действия для их устранения.
Ваша команда имеет доступ к источникам киберрисков, таким как IP-адреса, хэши, уязвимости и домены. Специалисты могут быстро узнать, является ли конкретный IP-адрес или домен вредоносным или нет, с помощью быстрого поиска.
Автоматизированное реагирование на угрозы
Реагируйте на угрозу одним нажатием мыши. Вам больше не нужно писать скрипты на одном или нескольких порталах. Это позволяет вам предпринимать действия, такие как изоляция машины или карантин процесса с вашей панели управления.
Простая интеграция со сторонним программным обеспечением
Хотите интегрировать Singularity со сторонним решением безопасности, таким как SOAR или SIEM? Найдите оптимальное решение Singularity, чтобы интегрировать передовые программы и сделайте их частью вашего полного стека безопасности бизнеса в кратчайшие сроки.
SentinelOne в 2024 году представила серию новых инноваций Purple AI, Cloud, Endpoint и Identity для платформы Singularity. Все новые предложения и возможности используют самую передовую в отрасли технологию генеративного ИИ, современную архитектуру с одним агентом. Она - безопасна по своей конструкции, включает самое производительное озеро данных для защиты организаций от атак на любой поверхности, от конечной точки до облака.
Singularity Cloud
Платформа Singularity Cloud защищает ваше предприятие от разных угроз на всех этапах. Ее запатентованный искусственный интеллект расширяет безопасность от известных сигнатур и шаблонов до самых сложных атак, таких как 0-day и программы-вымогатели. Программа защищает контейнерные рабочие нагрузки, работающие на AWS Fargate для Amazon ECS и Amazon EKS.
Защита краткосрочных ресурсов
Временные контейнерные рабочие нагрузки, которые работают на AWS Fargate быстро масштабируются и развертываются для обновления сред. Однако их краткосрочный характер не означает, что они автоматически безопасны. Хотя эти ресурсы существуют всего несколько минут, злоумышленники могут быстро их скомпрометировать и искать возможности для перехода к более ценным, долгосрочным ресурсам до удаления временного ресурса. Киберпреступники также могут получить начальную опору в другом месте облачной среды и перейти к бессерверным контейнерным ресурсам для проведения атак, таких как криптомайнинг.
Обеспечение защиты на основе ИИ
Singularity Cloud Workload Security для Serverless Containers — это защита на основе ИИ, которая использует автономные механизмы обнаружения угроз (программы-вымогатели, уязвимости нулевого дня и эксплойты). Теперь клиенты AWS могут защищать свои контейнерные рабочие нагрузки, независимо от того, как они запущены, от Amazon EC2 до AWS Fargate.
Cloud Workload Security является частью портфеля облачной безопасности SentinelOne, который включает Singularity Cloud Native Security и Singularity Cloud Data Security. Решение работает поверх платформы Singularity и озера данных Singularity, предоставляет наиболее полный CNAPP на рынке.
Единая интеллектуальная платформа принимает данные из любого источника и применяет передовой ИИ и машинное обучение для консолидации аналитических данных в едином мощном озере данных. Благодаря простой интеграции можно также использовать соответствующие журналы AWS, включая AWS CloudTrail и AWS Security Hub.
Повышение эффективности SOC
Платформа Singularity оснащена мощными возможностями Purple AI — передового генеративного аналитика безопасности на основе ИИ. Аналитик предоставляет автономные инструменты SecOps, предназначенные для радикального ускорения поиска и расследования угроз службами безопасности. В этой статье еще расскажем более подробно об Purple AI.
Singularity Cloud Data Security
SentinelOne запустила линейку продуктов Cloud Data Security Threat Detection for Amazon S3 и Threat Detection for NetApp. Эти продукты разработаны, чтобы помочь организациям, которые используют объектное хранилище Amazon S3 и файловое хранилище NetApp. Программы обнаруживают и предотвращают распространение вредоносного ПО в своих облачных средах и корпоративных сетях. Предложения - часть семейства продуктов SingularityTM Cloud и дополняют существующую линейку продуктов Cloud Workload Security от SentinelOne. Продукты позволяют клиентам выявлять, исследовать и автоматически устранять угрозы на своих серверах и контейнерах в публичных, частных и гибридных облачных средах.
Threat Detection для NetApp и Amazon S3 автоматически сканирует каждый файл, добавляемый в NetApp и объект в хранилище Amazon S3, на предмет вредоносного ПО и 0-day угроз. При обнаружении вредоносного файла SentinelOne автоматически исправляет его и помещает в карантин, сохраняя корзины чистыми, а пользователей — в безопасности.
Среди основных функций обнаружения угроз для продуктов NetApp и Amazon S3:
- файлы или объекты не покидают среду клиента;
- сканирование происходит в локальном режиме. Передовые механизмы машинного обучения SentinelOne для обнаружения любого вредоносного ПО
- кастомизированное покрытие на базе политик и автоматизация реагирования
- единая консоль для управления конечными устройствами, рабочей нагрузкой в облаке, идентификацией и продуктами безопасности облачных данных
- создан для производительности, автоматически масштабируется для поддержки самых сложных условий
- метаданные об угрозах, включая источник вредоносного ПО извлечение файлов карантинных и зашифрованных угроз <.li>- карантин/снятие карантина
- исключения файлов, список заблокированных пользователей
- тестирование, сертификация NetApp и Amazon Web Services (AWS).
Singularity Identity Security (SIS)
SIS — это набор функций безопасности, которые устанавливаются на конечные устройства, регуляторы домена Active Directory. Решение предотвращает хищение логина и пароля, их скрытое перемещение по всей среде.
Программа расширяет возможности защиты Singularity XDR, используя агентов Sentinel, которые защищают контроллеры домена Microsoft Active Directory, конечные устройства пользователей.
Личные данные – ключевое направление атак для преступников. Уязвимости и ошибочное применение Active Directory повлекли за собой разрушительные атаки с участием программ-вымогателей. SentinelOne предлагает единый, обдуманный способ защиты идентификационных данных.
Ключевые свойства Singularity Identity Security:
- систематическая проверка AD, Entra ID на предмет ошибочных настроек, уязвимостей;
- ознакомление с детальным обзором локальных служб доменов Active Directory, Entra ID и многооблачных пространств;
- сдерживание внутрисетевых преступников, и любознательных сотрудников предприятия;
- интеграция данных и процедур SOAR с текущими программами по работе с идентификацией.
Singularity Hologram
Среди продуктов SentinelOne в этом разделе — Singularity Hologram — сетевой обман, который заставляет сетевых и внутренных злоумышленников раскрыть себя, взаимодействуя с операционными системами и приложениями-приманками.
Вы сможете устанавливать правдоподобные приманки для выявления активности киберпреступников в сети, уменьшить средний тайминг время обнаружения. Ложными системами могут быть ICS-SCADA, ОС Linux, Windows, методики бессерверного, облачного хранилища данных, POS-устройства, сетевые роутеры.
Data & AI
Революция ИИ происходит и в кибербезопасности. Искусственный интеллект предоставляет мгновенный доступ к обширной базе знаний, которую вы можете использовать. Он выступает в роли второго пилота, упрощает выполнение ряда сложных задач и автоматизирует защиту компьютерных систем и сетей.
В 2024 году SentinelOne объявила о запуске своего ИИ-аналитика безопасности Purple AI.
Purple AI
Инновационная возможность призвана упростить и ускорить поиск угроз, расследование и реагирование, тем самым позволяет обеспечивать повышенный уровень защиты.
С помощью Purple AI SentinelOne предоставляет самую передовую в отрасли технологию безопасности GenAI, которая помогает обнаруживать угрозы раньше, реагировать быстрее и опережать атаки.
С точки зрения пользователя значительно сокращается время поиска угроз, а пользователи утверждают, что добились увеличения скорости до 80 процентов.
Purple AI выделяется своей способностью выходить за рамки возможностей чат-бота безопасности или поисковой консоли. Он радикально упрощает поиск угроз и расследования, переводя естественный язык в структурированные запросы. Он также предлагает группам безопасности возможности, включая упрощение сложных запросов, поиск и смягчение скрытых рисков в их среде и сокращение времени реагирования и расследования.
Purple AI от SentinelOne — это достижение, которое использует возможности искусственного интеллекта для трансформации подхода центров безопасности к обнаружению, анализу и реагированию на угрозы.
AI SIEM
Платформа AI SIEM создана на базе SentinelOne Singularity Data Lake. Программа защищает конечную точку, облако, сеть, идентификационные данные, электронную почту. Вы сможете принимать собственные и сторонние данные из любых источников, получая 10 ГБ в день бесплатно. Автоматизированные процессы расследования и реагирования позволят уменьшить ошибки, вызванные человеческим фактором.
Главные особенности Singularity AI SIEM:
- реагирование на инциденты. Ускорьте реагирование на инциденты с помощью автоматизированных схем. Решение SIEM предоставляет пошаговые инструкции по обработке различных сценариев угроз, гарантируя последовательные и эффективные ответные действия.
- интеграция данных об угрозах. Улучшайте свои операции по обеспечению безопасности с помощью интегрированной разведки угроз. Будьте в курсе последних угроз и уязвимостей и заблаговременно защищайтесь от потенциальных атак.
- обнаружение с улучшенными возможностями ИИ. Используйте возможности ИИ для обнаружения даже самых сложных угроз. Передовые алгоритмы Sentinel анализируют большие объемы данных, выявляют закономерности и аномалии, которые традиционные решения SIEM могут пропустить.
- видимость в реальном времени. Вы получите обзор в реальном времени в вашей среде безопасности. Интуитивно понятная панель инструментов обеспечивает полную видимость всех событий безопасности, позволяет быстро и обоснованно принимать решения.
- автоматизированные рабочие процессы. Автоматизируйте повторяющиеся задачи и оптимизируйте рабочие процессы безопасности. SentinelOne AI SIEM сокращает ручные действия, ваша команда может сосредоточиться на более стратегических инициативах.
Вывод. SentinelOne разрабатывает современные решения в области кибербезопасности, которые защищают бизнес от меняющихся киберугроз. Продукты SentinelOne для конечных точек предлагают комплексный функционал для уникальных задач безопасности, с которыми сталкиваются предприятия.
Если вам нужна поддержка в вопросах снижения угроз в сетях или для эффективного развертывания SentinelOne, свяжитесь с нашей командой. Эксперты по кибербезопасности предоставят бесплатную консультацию.
Для наглядности мы подготовили таблицу с продуктовой линейкой, функциональными возможностями. Вы увидите какая функция включена в определенный тарифный пакет, а какая ограничена или устанавливается как расширение.
| Функциональные возможности |
Singularity Core Cloud-Native NGAV |
Singularity Control Security + Suite Features | Singularity Complete Enterprise Security |
| Общие функции платформы Singularity | |||
| Многопользовательское SaaS-решение с поддержкой облака | √ | √ | √ |
| Полностью настраиваемая панель управления с помощью многогрупповой архитектуры | √ | √ | √ |
| Полностью настраиваемый контроль доступа на основе ролей и интеграция MFA | √ | √ | √ |
| Запатентованная корреляция и контекст Storyline™ | √ | √ | √ |
| Интерфейс аналитики данных платформы Skylight | - | - | √ |
| Интеграция MITRE ATT&CK® | √ | √ | √ |
| Локализация данных | Доступно | Доступно | Доступно |
| Функции Singularity XDR | |||
| Собственный прием данных от агентов поверхности SentinelOne (конечная точка, облако, идентификация, мобильные устройства и т. д.) — без уменьшения квоты приема Open XDR. | √ | √ | √ |
| Прием данных Open XDR 10 ГБ/день из любого внешнего, отличного от SentinelOne источника. Возможность обновления до нескольких терабайт/день. | - | √ | √ |
| Хранение принятых данных включает как данные Open XDR, так и собственные данные. 14 дней по умолчанию. Обновление до 3 лет. | - | - | √ |
| Приложения Singularity XDR Marketplace | - | √ | √ |
| Настраиваемые правила обнаружения Storyline Active Response™ (STAR). 100 по умолчанию. | - | Только данные Open XDR | √ |
| Поверхности конечных точек | |||
| Безопасность конечных точек для Windows Workstation, macOS и устаревших Windows (XP, 7, 2003SP2+, 2008) | √ | √ | √ |
| Современная защита конечных точек и NGAV с использованием статического и поведенческого ИИ | √ | √ | √ |
| Автоматизированное устранение и откат | √ | √ | √ |
| Сортировка и расследование угроз: обзор за 1 год | √ | √ | √ |
| Обнаружение несанкционированных и незащищенных устройств. Требуется модуль Ranger для удаленной установки и других сетевых функций. | √ | √ | √ |
| Поддержка мобильных конечных точек: iOS, Android, Chrome OS | Add-on | Add-on | Add-on |
| Возможности управления EPP Suite: управление устройствами, управление брандмауэром, удаленная оболочка | - | √ | √ |
| Инвентаризация приложений и CVE приложений | - | √ | √ |
| Встроенные скрипты сбора данных | - | - | √ |
| Собственный прием данных EDR с Storyline™ и MITRE Engenuity ATT&CK® Mapping | - | - | √ |
| Собственный поиск угроз EDR через Skylight | - | - | √ |
| Собственная аналитика EDR | - | - | √ |
| Облачные поверхности | |||
| Безопасность облачных рабочих нагрузок в реальном времени для виртуальных машин Linux, кластеров Kubernetes и серверов и виртуальных машин Windows | - | √ | √ |
| Автоматизированное или одним щелчком исправление и откат. Удаленная оболочка. | - | √ | √ |
| Сортировка и расследование угроз: ретроспективный обзор за 1 год | - | √ | √ |
| Синхронизация метаданных рабочей нагрузки поставщика облачных услуг | - | √ | √ |
| Автоматизированное управление приложениями для виртуальных машин Kubernetes и Linux | - | √ | √ |
| Встроенные скрипты сбора данных | - | - | √ |
| Собственный прием данных EDR с Storyline™ и MITRE Engenuity ATT&CK® Mapping | - | - | √ |
| Собственный поиск угроз EDR через Skylight | - | - | √ |
| Собственная аналитика EDR | - | - | √ |
| Поверхность Identity | |||
| Модуль Singularity Ranger AD: Мониторинг и сокращение поверхности атак Active Directory и Azure AD в реальном времени. | Add-on | Add-on | Add-on |
| Модуль защиты Singularity Ranger AD: Мониторинг и сокращение поверхности атак Active Directory и Azure AD в реальном времени дополнительно дополнены обнаружением и реагированием на угрозы идентификации на основе контроллера домена AD. | Add-on | Add-on | Add-on |
| Модуль Singularity Identity: Обнаружение и реагирование на угрозы идентификации для Active Directory и Azure AD и конечных точек, присоединенных к домену AD. | Add-on | Add-on | Add-on |
| Параметры модуля платформы | |||
| Модуль управления поверхностью атак Singularity Ranger®: Обнаружение активов, снятие отпечатков пальцев и инвентаризация. Автоматическое развертывание агента. Изоляция подозрительных устройств. Переход к поиску угроз Skylight. | - | Add-on | Add-on |
| Модуль RemoteOps: Организованная криминалистика, удаленное расследование и быстрое реагирование в масштабе. | - | - | Add-on |
| Модуль Binary Vault: Автоматизированная загрузка вредоносных и безопасных файлов для дополнительного криминалистического анализа. | √ | √ | Add-on |
| Підкладки на основі PDF | √ | √ | |
| Служба поддержки | |||
| Стандартная поддержка 5/9 | √ | √ | √ |
| Поддержка предприятий 24/7/365 | Add-on | Add-on | Add-on |
| Поддержка предприятий + технический менеджер по работе с клиентами | Add-on | Add-on | Add-on |
| Услуга развертывания SentinelOne Guided Onboarding («GO») | Add-on | Add-on | Add-on |
| Подписка на Vigilance Respond Managed Detection & Response (MDR) | Ограничено | Ограничено | Add-on |
| Подписка Vigilance Respond Pro MDR + Digital Forensics & Incident Response (DFIR) | Ограничено | Ограничено | Add-on |
| Отслеживание угроз и отчеты разведки WatchTower Active | Add-on | Add-on | Add-on |
| Индивидуальный поиск угроз и оценка компрометации WatchTower Pro | Add-on | Add-on | Add-on |
| Vigilance IR Retainer | Add-on | Add-on | Add-on |
*Add-on – дополнительное расширение