denisismagilov - Fotolia
SentinelOne étend ses capacités d’investigation
La nouvelle version de la solution de protection du poste de travail simplifie le choix de son mode de fonctionnement et propose une visibilité étendue sur les incidents et leur contexte.
SentinelOne vient d’annoncer la seconde version de sa solution de protection du poste travail. Pour détecter les attaques, elle mise toujours sur, d’une part, l’analyse comportementale en local, et d’autre part, l’inspection de fichiers en profondeur, avec son moteur DFI d’analyse statique introduit en début d’année.
Mais SentinelOne 2.0 apporte plusieurs nouveautés. Et cela commence par le mode de fonctionnement, simplifié : il n’y a ainsi plus que deux options, tant pour les menaces avérées que pour celles soupçonnées. La première option est « détecter », qui se contente de générer des alertes sans bloquer les éléments suspects. Le mode « protéger » va plus loin, en automatisation le blocage et la mise en quarantaine des menaces détectées ou soupçonnées. Comme l’éditeur l’indique, le premier mode de fonctionnement relève de l’EDR, la détection de menaces, laissant le volet protection à d’autres.
SentinelOne 2.0 permet en outre de choisir d’activer/désactiver l’un de ses moteurs de détection. Mais l’éditeur recommande de laisser fonctionner les deux en continu, notamment pour lutter contre les menaces ne s’appuyant pas sur des fichiers. Accessoirement, le moteur DFI permet désormais de lancer une analyse complète des ressources de stockage locales du poste protégé.
La nouvelle mouture de la solution fait par ailleurs la part belle à l’investigation. Que les menaces aient été bloquées ou seulement détectées, SentinelOne 2.0 permet de savoir quel moteur est à l’origine de la détection, ainsi que d’accéder à l’entrée VirusTotal correspondante pour les menaces connues, et une recherche Google, directement. Des informations contextuelles complémentaires sont également fournies : nom d’utilisateur concerné, et arguments de ligne de commande utilisés par les processus s’exécutant lors de l’incident. Des filtres supplémentaires ont été ajoutés à l’interface pour simplifier l’analyse, et la console d’administration supporte désormais le SSO.
Un peu plus tôt en septembre, SentinelOne a annoncé un nouveau module pour sa solution. Baptisé Deep Visibility, il doit permettre d’accéder à des indicateurs supplémentaire, portant sur l’activité réseau. Et cela concerne également les flux chiffrés, en profitant d’un point d’observation idéal pour cela : le point de terminaison.
Enfin, SentinelOne étend son offre au domaine du service, proposant d’apporter à ses clients une supervision continue de leur parc équipé pour classer et hiérarchiser les alertes. L’équipe de surveillance doit fournir des rapports trimestriels. Un second service va au-delà, intégrant conseil, réponse à incident et analyse en profondeur d’échantillons suspects, à la demande.