本帖最后由 呵呵大神001 于 2022-12-25 14:40 编辑
SentinelOne Singularity XDR Platform
==================================================================
sentinelone是一款在企业安软界较为知名的NGAV+EDR产品,官网SentinelOne
sentenlone在ATT&CK® Evaluations组织的EDR测试中取得了优异的成绩,见下图
看不懂的可以看我这篇:新兴技术介绍1.5 看懂mitre-engenuit
吾辈用的是sentinelone与sonicwall合作的版本,相比纯s1增加了sonicwall的云沙箱判定,其他功能并无区别。
稍后将附上sentinelone与magniber的对决,敬请期待~
*本文部分使用翻译软件翻译,不保证翻译准确性*
1.控制台
包含威胁视图,威胁可见性面板(就是threat hunting啦)端点事件、端点政策等,功能多样。
2.端点政策介绍
此处将介绍sentinelone的一些特色检测引擎和防护方法,上图= =
(1)基础策略模式
分为仅检测(detect mode)模式和保护(protect mode)模式,可以对反病毒引擎和行为引擎分别设置
和竞争对手不同的是,在仅检测模式下事件是可以手动响应的(比如执行勒索病毒的回滚操作),而bitdefender EDR的仅检测模式则做不到这一点。
(2)保护等级
分为结束进程和隔离/修正/回滚三个等级,前者仅仅会结束恶意进程,后者则会在前者的基础上修复恶意软件对系统的更改。
(3)引擎设置
①声誉引擎
使用 SentinelOne Cloud 确保没有已知的恶意文件写入磁盘或执行的引擎。此引擎不能关闭。
②入侵检测引擎(Windows)
入侵检测引擎是行为引擎的一部分,重点关注系统内部威胁(例如,一个经过认证的用户从CMD或PowerShell命令行中运行恶意行为)。这个引擎可以检测互动会话中的恶意命令。默认情况下,入侵检测引擎是禁用的。如果你想保护你的设备免受在CLI中输入的恶意命令的影响,请启用这个引擎。但是,如果你为CLI活跃用户的设备启用这个引擎,你可能会得到到一些误报。
③文档/脚本引擎
行为AI,专注于所有类型的文档和脚本。
④静态引擎
一个预防性静态 AI 引擎,用于扫描写入磁盘的恶意文件。它支持可移植的可执行 (PE) 文件
⑤静态引擎(可疑)
扫描更多潜在的恶意软件,可以理解为敏感更高的静态引擎
⑥横向移动引擎
一种行为 AI 引擎,可检测远程设备发起的攻击。
⑦无文件攻击&漏洞利用检测引擎
一种行为 AI 引擎,专注于漏洞利用和所有无文件攻击尝试,例如与 Web 相关的漏洞利用和命令行漏洞利用。
⑧行为引擎—可执行文件
实现高级机器学习工具的行为 AI 引擎。 该引擎在进程执行时实时检测恶意活动。
⑨PUA引擎(macOS)
macOS 设备上的静态 AI 引擎,用于检查非恶意但被认为不适合商业使用的应用程序。
(4)高级设置
可以选择是否启用深度可见性(威胁搜索,Storyline™专利分析引擎,XDR)和是否启用文件诱饵
和checkpoint的诱饵文件不一样,sentinelone的诱饵文件完全看不出来是啥.....(不会注明自己是诱饵文件)
这个Storyline™专利分析引擎就是用AI对恶意软件事件进行关联并作图,提高准确性并降低误报。
rundll32.exe 产生 cmd.exe 然后 powershell.exe 从 Outlook 读取 SenderEmailAddress 值(来源于MITRE Corporation)
此图就是由Storyline™生成的,个人认为比bitdefender EDR的可见性要好,BD EDR测评见Bitdefender 勒索防护大战Magniber
(5)网络内容过滤
可以过滤公司不想让员工看见的功能,可以开启回环过滤(过滤代{过}{滤}理流量),sentinelone已经预设了许多类别,手动开启就行
(6)设备控制
可以阻止特定的应用运行并生成事件报表
3.威胁视图介绍
附带有很多信息,检测引擎,mitre标签,端点信息,分析师评论等,图中已标注
图2为详细事件界面,Storyline™视图在前文已经展示过,此处不再展示
P.S.威胁文件会自动上传virustotal,这点赞,方便分析师判断
4.威胁搜寻
通过深度可见性来在全部设备之间搜索有关事件,可通过文件哈希、位置、名称、ioc等进行搜索,此处与Storyline™视图不同的是提供了更多的文件信息,我还没有测试恶意软件所以先用官方发布的视频素材作为示例(可能有点模糊)(现在等级太低传不了大于500k的图像)
5.端点管理
可以详细地查看端点状态,如是否在线,网络状态,安装的应用,现在的任务等
独特的黑白名单,由SentinelOne Cloud生成,也包括其他人提交的规则,可以自己选择是否删除哪一条规则,也可以自己提交规则,是ngav压误报的好方法
可以查看应用程序风险情况,有风险可提示用户卸载
6.生成报表
企业软件常有的功能,可以显示一段时间内的威胁数量和情况,以及sonicwall特有的云沙箱判决情况
7.客户端界面
占用情况(仅供参考)
8.点评
优点:
sentinelone是游戏规则的改变者,他在一众ngav厂商中拥有相当靠谱的主防和回滚技术,EDR的表现也长居mitre检测覆盖率前三,个人认为是目前NGAV+EDR厂商中顶级的存在,扎实的基本功,是我欣赏s1的主要原因。视图清晰易懂,检测率高,引擎多样都是他的优势。
缺点:
虽然EDR和回滚都很强力,但是ML引擎仍然不够好,最近貌似好像VT上检测率还不如crowdstrike和sophos,而且也没有自己的沙箱,而其他家如crowdstrike、sophos、bitdefender、飞塔、卡巴等几乎所有企业安软都是可以选配云沙箱的,可惜sentinelone仍然缺乏自己的沙箱技术,和sonicwall合作便是s1给出的对策,但是sonicwall沙箱自己做的好像也没有前几家那么好。
sentinelone的产品线也没有crowdstrike/Kaspersky/Symantec丰富,虽然最近也在努力收购初创公司扩充产品线但距成熟还需一些时日。大企业的订单可能会更多的流向那些产品线更丰富的企业。不支持中文也挺不好的。还有隔离区文件无法手动删除,必须等14天自己没,难受。。。
另外sentinelone endpoint security这东西50user起售,小企业/个人可能不好买。
过几天应该会更sentinelone检测模式大战magniber勒索,看能不能回滚成功
| 
[复制链接]
发表于 2022-12-24 22:40:07
楼主
发表于 2022-12-25 00:36:03
