Small nick 01

Jérôme BENBIHI

SentinelOne 2.0 : les avantages de la nouvelle version

 

AdenisSentinelOne Jérôme BENBIHI (CEO ADENIS) et  Lionel GOUSSARD (Regional Manager SENTINELONE)

Depuis novembre 2016 ADENIS est le premier partenaire MSSP en France de SentinelOne

SentinelOne vient d’annoncer la seconde version de sa solution de protection du poste travail : SentinelOne 2.0. Pour détecter les attaques, elle s’appuie toujours sur l’analyse comportementale en local, et sur l’inspection de fichiers en profondeur, avec son moteur Deep File Inspection d’analyse statique qui a été introduit il y a quelques mois.

Avec ses nombreuses nouveautés, SentinelOne 2.0 offre une visibilité intégrale sur les incidents et leur contexte.

- CLUF simplifié

-Amélioration des performances (multi-plateforme)

-Prise en charge SSO pour la connexion à la console de gestion

-L'espace disque VSS ne dépasse pas 10% (à moins que l'administrateur ne l'ait configuré pour une limite différente)

-Outils de support et options de dépannage à distance pour vos agents

-Options de proxy supplémentaires, y compris le basculement vers la connexion directe (pour les périphériques itinérants) et le proxy authentifié

-le flux Auto-Immune est améliorée et fonctionne désormais uniquement sur les menaces vérifiées.

-Les noms de document ne sont pas envoyés à la console, sauf s'ils sont malveillants…

Le mode de fonctionnement SentinelOne n’a jamais été compliqué, mais maintenant avec SentinelOne 2.0 il est encore plus simple, vous n’avez que deux options pour les menaces avérées et soupçonnées : « Detect » et « Protect ».

- l’option Détecter génère des alertes sans bloquer les éléments suspects

- l’option Protéger automatise le blocage et la mise en quarantaine des menaces détectées ou soupçonnées

Le premier mode de fonctionnement relève de l’EDR (Endpoint Detection and Response), la détection de menaces, laissant le volet protection à d’autres. Vous avez la possibilité de choisir d’activer ou désactiver l’un des moteurs de détection. Il est toutefois préférable de laisser fonctionner les deux en continu, notamment pour lutter contre les menaces ne s’appuyant pas sur des fichiers. Par ailleurs, le moteur DFI permet désormais de lancer une analyse complète des ressources de stockage locales du poste protégé. Que les menaces aient été bloquées ou seulement détectées, SentinelOne 2.0 permet de savoir quel moteur est à l’origine de la détection, ainsi que d’accéder à l’entrée VirusTotal correspondante pour les menaces connues, et une recherche Google, directement.

De plus, des informations contextuelles supplémentaires sont fournies, telles que le nom de l’utilisateur concerné, ainsi que des arguments de ligne de commande utilisés par les processus s’exécutant lors de l’incident.

Désormais, c’est la console d’administration qui supporte le SSO, et pour simplifier l’analyse, à l’interface ont été ajoutés des filtres supplémentaires.

Par ailleurs, le nouveau module Deep Visibility permet d’accéder à des indicateurs complémentaires, portant sur l’activité réseau. Et cela concerne également les flux chiffrés, en profitant d’un point d’observation idéal pour cela : le point de terminaison.

Enfin, SentinelOne élargie son offre au domaine du service :

- supervision continue du parc clients, classement et hiérarchisation des alertes. L’équipe de surveillance doit fournir des rapports trimestriels.

- conseil, réponse à incident et analyse en profondeur d’échantillons suspects.

Laissez un commentaire