Tierney - stock.adobe.com
SentinelOne joue la carte chronologique pour traiter les incidents de sécurité
Sa nouvelle fonctionnalité ActiveEDR doit assurer la reconstruction automatique de la chronologie des événements en cas d’incident, et la remonter pour permettre une remédiation plus complète.
SentinelOne continue de faire preuve d’une importante agressivité technique. L’éditeur vient ainsi de profiter de l’ouverture de RSA Conference, qui se déroule cette semaine à San Francisco, pour présenter de nouvelles fonctionnalités étendant encore les capacités de détection et de remédiation (EDR) de sa solution.
La première, baptisée ActiveEDR, consiste en une aide aux analystes en centre opérationnel de sécurité. Dans un billet de blog, l’éditeur explique que cette fonctionnalité assure la reconstruction automatique de l’enchaînement d’événements ayant conduit à un incident malicieux, détecté et traité par l’agent de protection des hôtes. Une fois l’incident traité, cette chronologie est adressée aux analystes dans la console d’administration pour faciliter leur travail d’enquête et de chasse aux menaces : « au lieu de devoir construire des chronologies, les analystes peuvent examiner des chronologies contextualisées complètes à partir d’un seul indicateur de compromission ».
Dans le même temps, SentinelOne a levé le voile sur Ranger, une fonctionnalité au stade de version alpha, qui doit simplifier le gain de visibilité sur le système d’information. Le concept est là simple : utiliser les agents de protection déployés sur hôtes de l’environnement comme autant de sondes chargées d’examiner le réseau, « en combinant des techniques de reconnaissance active et passive », afin d’en produire une cartographie, aussi complète que possible. Mais cela sans chercher à analyser l’ensemble des flux réseau comme pourraient le faire des solutions de détection d’intrusion (IDS) et d’analyse comportementale (NTA). En outre, « Ranger essaie aussi d’identifier le système d’exploitation et le rôle » des appareils découverts. Cet effort vise aussi à éviter d’alerter « sur des appareils incompatibles [avec l’agent S1] comme les appareils de voix-sur-IP, les caméras IP, les imprimantes etc. »
Tout récemment, Sentinel a annoncé une capacité d’accès Powershell complet à distance sur les machines Windows protégées par son agent, afin de faciliter les tâches de support, de remédiation et d’investigation. Début décembre, il avait annoncé l’enrichissement de son offre avec deux nouveaux modules de contrôle, l’un visant le pare-feu de l’hôte protégé, et l’autre l’accès à ses périphériques, USB en particulier.