Мы продолжаем серию статей, в которых рассмотриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус нового поколения, EDR и XDR.
Читайте все статьи этой серии: Обзоры возможностей SentinelOne.
Современные киберпреступники непрерывно автоматизируют свои техники, тактики и процедуры, с целью оставаться на шаг впереди средств защиты (СЗИ). Команды ИБ-департаментов также должны автоматизировать реагирование на новейшие угрозы и распознавать злоумышленные кампании, разворачивающиеся в корпоративной инфраструктуре, чтобы не отставать от злоумышленников. Алгоритмы машинного обучения и детекты на основе правил могут выявить аномальное поведение и обычные угрозы. Однако для блокировки новых угроз им зачастую требуется обновление агентов, последнюю версию которых не всегда можно установить на все конечные точки в организации. Кроме того, из потока данных EDR генерируются миллионы или даже миллиарды событий ежедневно, поэтому командам ИБ нужна возможность находить среди них интересные поведенческие и статические индикаторы компрометации (IOC), которые могут указывать на атаки нулевого дня. И хотя качественные EDR-данные полезны для хантинга и расследования уже выявленных инцидентов, из-за их огромного количества они мало помогают эффективному алертингу или обнаружению необычного поведения в моменте.
SentinelOne ActiveEDR дает наилучший детект и лучшее в своем классе понимание происходящего на хосте, а благодаря новой технологии Storyline Active Response (STAR) это решение также позволяет создавать собственные правила обнаружения новых или целевых угроз, актуальных для определенной отрасли или заказчика.
STAR помогает внедрить собственную логику обнаружения и немедленно реализовать ее по всему парку конечных точек или только его части, либо терминируя процесс, соответствующий правилу, либо отправляя о нем алерт для дальнейшего расследования. Команду SOC можно разгрузить благодаря STAR, ведь эту технологию можно использовать как мощный инструмент реализации политик, автоматически устраняя угрозы или изолируя конечные точки.
STAR также позволяет добавить новый тип полезных данных, который находится между явно «плохими» инцидентами и просто данными EDR, так, чтобы алерты поступали не обо всех собранных событиях, а только об особо интересных из них. Отфильтрованные данные можно легко интегрировать в SIEM-систему, что снизит затраты на использование в ней данных EDR и гарантирует выявление абсолютно всех необычных событий.
Принцип работы STAR
ActiveEDR поставляется со встроенным набором поведенческих правил обнаружения, созданных квалифицированными командами аналитиков, и обеспечивает защиту конечных точек с первого дня установки. Клиенты SentinelOne могут воспользоваться этими аналитическими в рамках STAR. С помощью собственных правил обнаружения команды SOC могут превратить запросы в EDR-модуле Deep Visibility в автоматизированные правила хантинга, которые при обнаружении совпадений будут запускать систему алертинга и реагирования. STAR также позволяет автоматический посмотреть на каждое событие со всех конечных точек в организации и оценить их соответствие списку правил.
Создаем STAR-правило в четыре этапа:
1. Напишите запрос в Deep Visibility или создайте свое новое правило. При создании правила вы можете указать дату оконочания его действия
2. Добавьте условие события и область применения
3. Укажите меры реагирования
4. Сохраните правило
STAR оценивает каждое событие на конечной точке на соответствие каждому правилу. В крупных организациях ежедневно обнаруживается около миллиарда событий, которые сопоставляются максимум с 1.000 правил. Сбор такого объема данных возможен благодаря интеграции с Deep Visibility, что позволило в том числе выявить все 176 этапов атаки в последнем тестировании MITRE. Эта ведущая в отрасли технология и язык запросов позволяют STAR прописывать критерии, по которым решение практически в реальном времени определяет, является ли событие подозрительным или опасным.
Особую ценность в STAR представляет набор инструментов для реагирования, который оказывается в распоряжении команды ИБ при обнаружении событий с заданными критериям. STAR интегрируется не только с EDR-модулем Deep Visibility, но и с агентами SentinelOne. При создании правила аналитик может выбрать один из двух вариантов реагирования на событие, которое подойдет под это правило: терминировать все связанные с ним процессы, или автоматически изолировать устройство от сети. Также можно написать правила для обнаружения подозрительных событий и оповещения о них, после чего пользователи смогут изучить полученные алерты в пользовательском интерфейсе или отправить по Syslog для дальнейшего анализа в SIEM.
Основные способы использования STAR
В основном, STAR выполняет в SOC две задачи, и большинство клиентов находит ценность в обоих случаях использования.
1. Защита от новых и зарождающихся угроз
Ни один SOC-аналитик не хочет полностью зависеть от поставщика СЗИ в вопросах защиты организации от новейших атак и угроз, появляющихся в конкретных локациях и отраслях. Как только аналитики видят новую угрозу, им хочется написать правило, которое обнаружит и ликвидирует ее. Таким образом, команды ИБ очень ценят возможность создавать свои собственные политики, когда им это нужно. STAR дает им эту возможность: пользователи могут писать собственные правила для поиска и нейтрализации характерных для их корпоративной среды угроз.
На скриншоте ниже представлено правило STAR для обнаружения угрозы нулевого дня группировки Hafnium в сервере Exchange.
2. Обогащение данных SIEM небольшими объемами ценной телеметрии
STAR позволяет генерировать новые полезные данные, указывая на подозрительные события в корпоративной среде для их автоматической кросс-корреляции в SIEM или дальнейшего расследования вручную. Такие детекты также имеют большое значение для команд ИБ. SentinelOne быстро приобрел известность благодаря лидирующим в отрасли возможностям EDR-мониторинга и продолжительному хранению данных. STAR основан на этом успехе и может генерировать алерты практически обо всем. Команды ИБ используют полученные данные через пользовательский интерфейс, API и Syslog, собирая цепочку событий нацеленной атаки и нейтрализуя ее.
На скриншотах ниже представлено правило STAR для поиска скомпрометированного компьютера, использующего FTP для эксфильтрации данных.
Заключение
Благодаря STAR вы можете опередить злоумышленников, настраивая правила обнаружения, которые подходят вашему бизнесу и инфраструктуре, и автоматизируя их выполнение.
SentinelOne Storyline Active Response позволяет проактивно использовать новые данные киберразведки и реагировать на них, превращая EDR-запросы в автоматизированные правила хантинга. STAR — это простой в использовании, мощный и гибкий инструмент благодаря интуитивно понятному языку запросов Deep Visibility с поддержкой регулярных выражений для сложных запросов.
STAR создан для того, чтобы ваша команда SOC действовала оперативнее и эффективнее. SentinelOne Storyline Active Response удовлетворит все ваши потребности, будь то устранение новых и зарождающихся угроз нулевого дня с помощью собственных правил обнаружения, обогащение SIEM и озера данных небольшими объемами ценных телеметрических данных, автоматический запуск процессов реагирования или автоматизация хантинга.
Демо и бесплатное тестирование SentinelOne
Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.