Возможности SeninelOne: Удаленная установка агентов с Ranger Pro

Мы продолжаем серию статей, в которых рассматриваем ключевые возможности платформы по защите конечных точек SentinelOne Singularity, включающей в себя антивирус, EDR и XDR нового поколения.

Читайте все статьи этой серии: Обзоры возможностей SentinelOne.

Что нового в SentinelOne? Показываем демо и рассказываем о новых возможностях: Маркетплейс интеграций, автохантиг, IoT-хантинг, массовое скриптование хостов, автоустановка агентов, условные политики, двоичный сейф и др. Смотрите вебинар по ссылке >>>

SentinelOne анонсировал новую подписки Ranger Pro — расширение функционала Ranger, которое помогает устранять пробелы в развертывании агентов проще и эффективнее благодаря автоматизации задач. С Ranger Pro перегруженная команда ИБ становится продуктивнее, освобождаясь от рутинной задачи — установки EPP- и EDR-агентов. Ranger Pro позволяет устанавливать агенты на основе принципов peer-to-peer, а также находит хосты без агента Sentinel и устанавливает его, гарантируя, что ни одна конечная точка не останется без защиты.

Что такое пробелы в покрытии агентов?

Клиенты SentinelOne знают, что модуль Singularity Ranger предназначен для проактивного управления сетевой поверхностью атаки. Во-первых, Ranger обеспечивает выявление всех хостов в корпоративной сети.

Singularity Ranger оснащен запатентованным механизмом снятия отпечатка устройств (FPE), который использует алгоритмы машинного обучения. С его помощью модуль находит все IP-устройства в сети, не требуя установки дополнительных агентов, оборудования или внесения изменений в сетевую конфигурацию. Ranger мгновенно проводит инвентаризацию устройств, сортируя их по функциям и степени защищенности: Secured (защищенные), Unsecured (незащищенные), Unsupported (неподдерживаемые), and Unknown (неизвестные).

• Secured: конечные точки, на которых установлен агент Sentinel.
• Unsecured: устройства, на которых отсутствует, но может быть установлен агент Sentinel.
• Unsupported: устройства, которые не поддерживают агент Sentinel из-за аппаратных или программных ограничений. Например, устройства АСУ ТП, такие как датчики для управления производственными процессами.
• Unknown: устройства, которые механизм FPE пока не может классифицировать.  Чем дольше механизм фингерпринтинга отслеживает обмен данными между устройствами, тем точнее он определяет их категорию.

Именно Unsecured (незащищенные) конечные точки представляют интерес для Ranger Pro. Любое такое устройство — это пробел в области покрытия агентов, увеличивающий потенциальную поверхность атаки. Этот пробел в защите необходимо устранить до того, как вредоносные программы или шифровальщики смогут им воспользоваться.

Откуда берутся хосты без установленных агентов?

Многих интересует: «Как возникают эти пробелы?» Существует несколько сценариев. Во-первых, специалисты ИБ могут думать, что они установили агенты на все хосты, но это не так. Неполное представление о количестве конечных точек в сети — это серьезная проблема в сфере ИБ. Ranger помогает с ней справиться. Как было упомянуто ранее, Ranger выявляет все незащищенные устройства. Благодаря этому специалисты ИБ смогут уверенно ответить на вопрос: «Точно ли я установил агенты на всех конечных точках?» И в случае отрицательного ответа будут знать, где искать незащищенные устройства. Эту мысль нужно запомнить на ближайшие два параграфа.

Во-вторых, есть другой вероятный сценарий — цикл замены оборудования, когда ИТ-департамент приобрел и ввел в эксплуатацию новые конечные точки или сервера, но для их защиты от известных и неизвестных угроз не был установлен агент Sentinel. В-третьих, на работу нанимают новых сотрудников: зачастую им предоставляются новые ноутбуки или настольные компьютеры, которым требуется агент для автономного предотвращения, обнаружения угроз и реагирования на них.

Во всех этих ситуациях Ranger выявит, что конечная точка не защищена агентом Sentinel. Также команды ИБ могут настроить Ranger так, чтобы получать алерты каждый раз при обнаружении незащищенного хоста.

Для чего был создан Ranger Pro?

После обнаружения пробела в защите команда ИБ, безусловно, должна его устранить. Администраторы ИБ могут сделать это вручную через консоль управления SentinelOne, однако такие повторяющиеся задачи напрашиваются на то, чтобы их автоматизировали.

Это не значит, что установка агента не заслуживает внимания, но она стоит ценного времени аналитика SOC. Команды ИБ часто работают на пределе своих возможностей и нуждаются в разумной автоматизации, которая поможет им выполнять задачи эффективнее.

Более того, как долго конечная точка будет оставаться в зоне риска без агента Sentinel, защищающего ее? В конце концов, аналитики SOC находятся на передовой защиты организации от угроз, и ставки этой битвы очень высоки. Подобно медсестрам и врачам в отделении неотложной помощи, службы ИБ часто вынуждены приоритизировать события, уделяя свое время и внимание самым важным из них. Компания SentinelOne разработала Ranger Pro, чтобы это исправить.

Ranger Pro сокращает повышенного риска до нескольких секунд и при этом является гибким в настройке и надежным автоматизированным средством, которое поможет завершить установку агентов Sentinel на незащищенных конечных точках.

Дополнение Ranger Pro включает все возможности модуля Ranger, доступные для выбранного уровня функциональности (Singularity Core, Control или Complete), к которым прибавляется удобное автоматизированное развертывание. Неизбежно возникает вопрос: «Как это работает?»

Принцип работы Ranger Pro

Ниже представлено пошаговое описание работы с Ranger Pro.

После инвентаризации сетевых устройств администратор ИБ замечает несколько конечных точек без защиты. В данном примере в сети имеется пять хостов, четыре из которых незащищены. Администратор выбирает две из этих четырех конечных точек. Можно выбрать все четыре сразу, но это может быть его первый опыт автоматизированной установкой агентов с использованием Ranger Pro, и пока он хочет протестировать его не на всех хостах.

В выпадающем списке Actions он выбирает Deploy Agent.

Открывается окно Auto Deploy, и администратор выбирает подходящий установочный пакет агента.

После этого администратор вводит мастер-пароль от своего защищенного хранилища учетных данных. У SentinelOne нет к ним доступа.

Затем администратор выбирает подходящий сайт для выбранных конечных точек.

Далее Ranger Pro сделает все сам в соответствии с выбранной конфигурацией установки.

Переключившись на вкладку Automation > Tasks, администратор может проверить статус установки: Pending (ожидается), In Progress (выполняется) или Completed (завершено).

Ranger Pro анализирует близлежащие конечные точки с агентом и выбирает ту, которая может наиболее эффективно установить его по принципу соседства (peer-to-peer). На этом скриншоте установка первого агента уже завершилась.

Когда установка агентов завершится и будет проведена последующая инвентаризация устройств, защищенные конечные точки отобразятся в консоли Ranger Pro. В этом примере агент был установлен на двух хостах. На практике администратор ИБ с таким же успехом мог бы развернуть агенты на всех незащищенных устройствах в этой сети. Но, возможно, это была первый опыт с Ranger Pro, и администратор просто хотел изучить процесс на небольшом количестве конечных точек.

После того как администратор полностью освоится с этой функцией, он сможет легко справиться с установкой агентов на оставшихся хостах за несколько кликов.

Сравнение Rogues, Ranger и Ranger Pro

Эта таблица поможет вам выбрать между бесплатным функционалом Rogues и платными опциями Ranger и Ranger Pro.

Заключение

Ranger Pro — это удобное средство для быстрой и надежной установки агента Sentinel на незащищенные устройства. Ranger не нуждается в установке дополнительных серверов или агентов для своего функционала: его ИИ непосредственно встроен в Sentinel. Ranger Pro автоматически находит хосты без агента Sentinel и устанавливает его по принципу соседства, предоставляя администраторам ИБ еще один инструмент проактивного сокращения поверхности атаки.

Хотите узнать больше о SentinelOne?

Закажите демо, расчет цен или тест SentinelOne по этой ссылке.