查看: 15915|回复: 93
收起左侧

[技术原创] [多图]知名企业安软SentinelOne功能 & 介绍

  [复制链接]
呵呵大神001
发表于 2022-12-24 22:40:07 | 显示全部楼层 |阅读模式
本帖最后由 呵呵大神001 于 2022-12-25 14:40 编辑

SentinelOne
Singularity XDR Platform

==================================================================



sentinelone是一款在企业安软界较为知名的NGAV+EDR产品,官网SentinelOne
sentenlone在ATT&CK® Evaluations组织的EDR测试中取得了优异的成绩,见下图
看不懂的可以看我这篇:新兴技术介绍1.5 看懂mitre-engenuit


吾辈用的是sentinelone与sonicwall合作的版本,相比纯s1增加了sonicwall的云沙箱判定,其他功能并无区别。
稍后将附上sentinelone与magniber的对决,敬请期待~
*本文部分使用翻译软件翻译,不保证翻译准确性*

1.控制台
包含威胁视图,威胁可见性面板(就是threat hunting啦)端点事件、端点政策等,功能多样。




2.端点政策介绍
此处将介绍sentinelone的一些特色检测引擎和防护方法,上图= =


(1)基础策略模式
分为仅检测(detect mode)模式和保护(protect mode)模式,可以对反病毒引擎和行为引擎分别设置
和竞争对手不同的是,在仅检测模式下事件是可以手动响应的(比如执行勒索病毒的回滚操作),而bitdefender EDR的仅检测模式则做不到这一点。
(2)保护等级
分为结束进程和隔离/修正/回滚三个等级,前者仅仅会结束恶意进程,后者则会在前者的基础上修复恶意软件对系统的更改。
(3)引擎设置
①声誉引擎
使用 SentinelOne Cloud 确保没有已知的恶意文件写入磁盘或执行的引擎。此引擎不能关闭。
②入侵检测引擎(Windows)
入侵检测引擎是行为引擎的一部分,重点关注系统内部威胁(例如,一个经过认证的用户从CMD或PowerShell命令行中运行恶意行为)。这个引擎可以检测互动会话中的恶意命令。默认情况下,入侵检测引擎是禁用的。如果你想保护你的设备免受在CLI中输入的恶意命令的影响,请启用这个引擎。但是,如果你为CLI活跃用户的设备启用这个引擎,你可能会得到到一些误报。
③文档/脚本引擎
行为AI,专注于所有类型的文档和脚本。
④静态引擎
一个预防性静态 AI 引擎,用于扫描写入磁盘的恶意文件。它支持可移植的可执行 (PE) 文件
⑤静态引擎(可疑)
扫描更多潜在的恶意软件,可以理解为敏感更高的静态引擎
⑥横向移动引擎
一种行为 AI 引擎,可检测远程设备发起的攻击。
⑦无文件攻击&漏洞利用检测引擎
一种行为 AI 引擎,专注于漏洞利用和所有无文件攻击尝试,例如与 Web 相关的漏洞利用和命令行漏洞利用。
⑧行为引擎—可执行文件
实现高级机器学习工具的行为 AI 引擎。 该引擎在进程执行时实时检测恶意活动。
⑨PUA引擎(macOS)
macOS 设备上的静态 AI 引擎,用于检查非恶意但被认为不适合商业使用的应用程序。
(4)高级设置
可以选择是否启用深度可见性(威胁搜索,Storyline™专利分析引擎,XDR)和是否启用文件诱饵



和checkpoint的诱饵文件不一样,sentinelone的诱饵文件完全看不出来是啥.....(不会注明自己是诱饵文件)
这个Storyline™专利分析引擎就是用AI对恶意软件事件进行关联并作图,提高准确性并降低误报。


rundll32.exe 产生 cmd.exe 然后 powershell.exe 从 Outlook 读取 SenderEmailAddress 值(来源于MITRE Corporation)
此图就是由Storyline™生成的,个人认为比bitdefender EDR的可见性要好,BD EDR测评见Bitdefender 勒索防护大战Magniber
(5)网络内容过滤


可以过滤公司不想让员工看见的功能,可以开启回环过滤(过滤代{过}{滤}理流量),sentinelone已经预设了许多类别,手动开启就行
(6)设备控制


可以阻止特定的应用运行并生成事件报表

3.威胁视图介绍



附带有很多信息,检测引擎,mitre标签,端点信息,分析师评论等,图中已标注
图2为详细事件界面,Storyline™视图在前文已经展示过,此处不再展示
P.S.威胁文件会自动上传virustotal,这点赞,方便分析师判断

4.威胁搜寻
通过深度可见性来在全部设备之间搜索有关事件,可通过文件哈希、位置、名称、ioc等进行搜索,此处与Storyline™视图不同的是提供了更多的文件信息,我还没有测试恶意软件所以先用官方发布的视频素材作为示例(可能有点模糊)(现在等级太低传不了大于500k的图像)




5.端点管理



可以详细地查看端点状态,如是否在线,网络状态,安装的应用,现在的任务等



独特的黑白名单,由SentinelOne Cloud生成,也包括其他人提交的规则,可以自己选择是否删除哪一条规则,也可以自己提交规则,是ngav压误报的好方法


可以查看应用程序风险情况,有风险可提示用户卸载

6.生成报表
企业软件常有的功能,可以显示一段时间内的威胁数量和情况,以及sonicwall特有的云沙箱判决情况


7.客户端界面





占用情况(仅供参考)

8.点评
优点:
sentinelone是游戏规则的改变者,他在一众ngav厂商中拥有相当靠谱的主防和回滚技术,EDR的表现也长居mitre检测覆盖率前三,个人认为是目前NGAV+EDR厂商中顶级的存在,扎实的基本功,是我欣赏s1的主要原因。视图清晰易懂,检测率高,引擎多样都是他的优势。
缺点:
虽然EDR和回滚都很强力,但是ML引擎仍然不够好,最近貌似好像VT上检测率还不如crowdstrike和sophos,而且也没有自己的沙箱,而其他家如crowdstrike、sophos、bitdefender、飞塔、卡巴等几乎所有企业安软都是可以选配云沙箱的,可惜sentinelone仍然缺乏自己的沙箱技术,和sonicwall合作便是s1给出的对策,但是sonicwall沙箱自己做的好像也没有前几家那么好。
sentinelone的产品线也没有crowdstrike/Kaspersky/Symantec丰富,虽然最近也在努力收购初创公司扩充产品线但距成熟还需一些时日。大企业的订单可能会更多的流向那些产品线更丰富的企业。不支持中文也挺不好的。还有隔离区文件无法手动删除,必须等14天自己没,难受。。。
另外sentinelone endpoint security这东西50user起售,小企业/个人可能不好买。

过几天应该会更sentinelone检测模式大战magniber勒索,看能不能回滚成功


























本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7原创 +1 分享 +3 人气 +23 收起 理由
Zy. + 3 精品文章
megakotaro + 1 精品文章
屁颠屁颠 + 1 + 3 + 3 版区有你更精彩: )
danger + 2 精品文章
隔山打空气 + 2

查看全部评分

呵呵大神001
 楼主| 发表于 2022-12-29 15:04:03 | 显示全部楼层
二更。。。。
s1严重白嫖VT(双击之后行为都没跑出来直接Behavioral AI检测到了,但是纯扫描不会报)
很符合B100D1E55大大的测试:https://bbs.kafan.cn/thread-2125195-1-1.html
过几天将更新s1的各种问题合集
天原
发表于 2022-12-25 00:36:03 | 显示全部楼层
关注下后续
呵呵大神001
 楼主| 发表于 2022-12-25 08:58:11 | 显示全部楼层

过几天更
Eunismal
发表于 2022-12-25 10:03:40 | 显示全部楼层
本帖最后由 Eunismal 于 2022-12-25 10:05 编辑

客户端改界面了,以前很简陋的。还有,买不到,差评拿个人邮箱申请试用,连自动回复的邮件都不给你发一封
呵呵大神001
 楼主| 发表于 2022-12-25 10:05:49 | 显示全部楼层
本帖最后由 呵呵大神001 于 2022-12-25 10:08 编辑
Eunismal 发表于 2022-12-25 10:03
客户端改界面了,以前很简陋的。还有,买不到,差评拿私人邮箱申请试用,连自动回复的邮件都不给你发 ...

确实难搞,这个试用得给他们客服发邮件,还不一定给,估计得直接找代{过}{滤}理要
买了一年,这个ui真的养眼

Eunismal
发表于 2022-12-25 10:37:15 | 显示全部楼层
对了,你都用S1了,怎么不用FortiGate用SonicWall?
呵呵大神001
 楼主| 发表于 2022-12-25 10:40:59 | 显示全部楼层
本帖最后由 呵呵大神001 于 2022-12-25 10:42 编辑
Eunismal 发表于 2022-12-25 10:37
对了,你都用S1了,怎么不用FortiGate用SonicWall?

不玩防火墙,而且不太喜欢用forticlient,曾经给我电脑搞蓝屏一次.......sonicwall能集成s1
Eunismal
发表于 2022-12-25 10:50:58 | 显示全部楼层
呵呵大神001 发表于 2022-12-25 10:40
不玩防火墙,而且不太喜欢用forticlient,曾经给我电脑搞蓝屏一次.......sonicwall能集成s1

防火墙也挺好玩的
LeeHS
发表于 2022-12-25 17:00:46 | 显示全部楼层
50user起售比起CS就很好了,之前听神龟说CS要上千用户起售。想问一下one的防火墙功能怎么样,CS只能做到简单的黑白名单。。
呵呵大神001
 楼主| 发表于 2022-12-25 17:28:22 | 显示全部楼层
LeeHS 发表于 2022-12-25 17:00
50user起售比起CS就很好了,之前听神龟说CS要上千用户起售。想问一下one的防火墙功能怎么样,CS只能做到简 ...

挺细致的,能设置防火墙规则和端点网络隔离,规则属性可以匹配协议/方向/本地/远程/端口等等
另外,cs官网说他们5user起售
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-7-20 17:28 , Processed in 0.131732 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表