Быстрое реагирование в SentinelOne XDR с восстановлением в один клик

Реагирование на киберугрозы занимает немало времени, ведь просто нейтрализовать их недостаточно. Специалистам ИБ также нужно убедиться, что все скомпрометированные учетные записи восстановлены, все оставшиеся фишинговые письма, не отправленные в спам и готовые снова запустить вредонос для повторной атаки, очищены, а уязвимое ПО пропатчено или удалено с хостов. И это далеко не полный список.

Многие годы все это можно было достичь только с помощью SOAR-решения. Однако такие СЗИ требовали больших затрат и зачастую привлечения дополнительных сотрудников для создания плейбуков и управления ими. Все это привело к тому, процесс реагирования продолжал сильно зависеть от человека и оставался во многом ручным, из-за чего время блокирования и реагирования на угрозы увеличивалось.

Для решения подобных проблем был создан XDR. SentinelOne Singularity XDR объединяет и расширяет возможности обнаружения угроз, расследования и реагирования на них на всю организацию. SentinelOne XDR дает специалистам по ИБ централизованный мониторинг, анализ угроз и автоматизированное реагирование по всему стеку СЗИ. Благодаря этому каждый процесс ИБ выполняется быстрее, эффективнее и точнее.

Недавно SentinelOne добавил «XDR-приложения» для реагирования на угрозы, которые выводят XDR-подход на новый уровень благодаря возможности восстановления за один клик. Рассмотрим их подробнее.

XDR-реагирование на инциденты с восстановлением за один клик

Релиз XDR-приложений для реагирования — это ключевое событие для SentinelOne, которое и далее продолжит усиливать функционал Singularity XDR. С возможностями реагирования XDR Response пользователь может ввести ключ API в маркетплейсе Singularity, выбрать нужные ответные действия и нужные для них условия, а все остальное автоматически сделает SentinelOne.

Благодаря этому реагирование на угрозы занимает считанные секунды вместо нескольких минут или более, когда командам ИБ приходилось создавать тикет и ждать его отработки.

Для примера возьмем сброс пароля и завершение сессий пользователя. У большинства SOC-аналитиков нет доступа к системам управления учетными записями, поскольку их администраторы не хотят добавлять туда всю команду SOC. В лучшем случае создаются ограниченные роли доступа в Active Directoty, Okta и т.д. специально для сотрудников SOC. Без доступа аналитик не сможет сбросить пароль и завершить сессии пользователя, ему придется создавать тикет и ждать ответа. В Singularity XDR вся проблема решается одной кнопкой. Где она находится? Прямо в карточке инцидента.

Действия XDR Response — это один клик, который позволяет остановить распространение угрозы. Если обнаружится, что по учетным данным внутреннего пользователя кто-то вошел в электронную почту и разослал фишинговые письма, Singularity XDR может временно заблокировать доступ этого пользователя к почте или просто остановить распространение файла с заданным хешем. Пока учетная запись снова не будет признана доверенной, аналитик может назначить для нее более строгую SASE-политику. Это гарантирует безопасность данных, хранящихся в облаке, таких как финансовые отчеты и интеллектуальная собственность.

Как это работает?

Администраторы системы управления УЗ предоставляет администратору SentinelOne ключ API, который нужно ввести в маркетплейсе. Ключ может давать либо широкие, либо минимальные привилегии, необходимые только для задач SentinelOne XDR.

Затем пользователь выбирает, какие интеграции нужно активировать. Далее необходимо указать одно из двух: либо SentinelOne будет реагировать на все угрозы, либо только на те, которые вероятнее всего являются по-настоящему вредоносными. На этом настройка действия XDR Response завершена.

Выбранное XDR-приложение уже запрограммировано на нужную логику. Когда возникнет соответствующая угроза, SentinelOne автоматически отреагирует на нее выбранным действием.

Точно таким же образом в маркетплейсе можно активировать действия, которые следует подтверждать вручную, если администраторы хотят, чтобы перед реагированием на угрозу ее проанализировали аналитики. Благодаря этой возможности администраторы могут просмотреть список доступных мер реагирования на выбранных СЗИ, будь то блокировка хеша, пользователя или IP-адреса.

Это позволяет аналитикам оставаться в курсе происходящего до того, как будет выполнено определенное действие. При этом на восстановление требуются минуты, а не часы или даже дни, т. к. специалисты SOC больше не зависят от других команд.

XDR дает больше гибкости по сравнению с SOAR

SOAR отлично подходит командам ИБ, у которых есть бюджеты и сотрудники. XDR более демократичен — это готовый инструмент, позволяющий большему количеству команд ИБ применять оркестрацию. Плейбуки SOAR позволяют запускать тонко настроенные процессы, но поддерживать их в условиях меняющихся процессов и инструментов оказывается довольно трудно и не всем под силу.

Активация автоматических мер реагирования или их выбор вручную в карточке инцидента — это гибкий подход, с которым любая команда любого размера станет работать эффективнее.

Почему этот функционал появился именно сейчас?

Новая возможность по автоматизации реагирования появляется сейчас, потому что возникла потребность оптимизировать процессы ИБ, объединить разрозненные СЗИ в SOC и при этом оперативно реагировать на угрозы по всей корпоративной поверхности атаки. И хотя маркетплейсы с интеграциями партнеров существуют не первый день, но никогда ранее они не обеспечивали такой глубокой и органичной интеграции.

Для развития XDR вендоры должны активно сотрудничать и создавать все больше тесных интеграций. Современный рынок готов к такому партнерству, поэтому SentinelOne выбрал «нативный и открытый» подход к XDR, делая доступным множество решений в рамках платформе и сотрудничая с лучшими в своем классе поставщиками различных СЗИ.

XDR — это результат анализа того, как работают команды ИБ и что входит в бюджеты. ИБ все больше развиваются в направлении гибких решений, которые не требуют от специалистов создания и поддержки сложной логики или кода.

Рынок ждал простых СЗИ, которые помогут сэкономить деньги и время без огромных стартовых инвестиций. Технологии, сотрудничество и знания позволяют создать кибербезопасность нового поколения.

Заключение

XDR-приложения для реагирования с восстановлением в один клик расширяют возможности Singularity XDR и Singularity Marketplace, предоставляя более тесные, эффективные интеграции и упрощая цикл восстановления после атак.

Автоматические меры реагирования доступны уже сегодня и станут еще более гранулярными в своих возможностях по мере того как партнеры SentinelOne создают новые API. Они обеспечат более тесную интеграцию и позволят полностью раскрывают возможности каждого уровня защиты по снижении рисков и устранению угроз.

Хотите узнать больше о SentinelOne XDR?

Закажите расчет стоимости, презентацию или тестирование SentinelOne прямо сейчас.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/