Domande frequenti

La piattaforma Singularity SentinelOne è il primo data lake del settore a fondere perfettamente in una sola piattaforma centralizzata i livelli di dati, di accesso, di controllo e integrazione delle sue funzioni di protezione degli endpoint (EPP), rilevamento e risposta alle minacce agli endpoint (EDR), sicurezza IoT e protezione dei carichi di lavoro cloud (CWPP). Con Singularity è possibile accedere ai dati del backend dell’intero sistema aziendale tramite un’unica soluzione che offre una visione coerente della rete e delle risorse aggiungendo un livello di protezione autonomo in tempo reale su tutte le risorse aziendali.

SentinelOne viene valutato periodicamente dalle principali società di analisi e dai principali test indipendenti del settore, ad esempio:

• Gartner: le migliori soluzioni di rilevamento e risposta alle minacce agli endpoint (EDR) secondo le recensioni dei clienti
• Gartner: le migliori piattaforme di protezione degli endpoint (EPP) secondo le recensioni dei clienti
• Rapporto MITRE ATT&CK APT29:
  • La piattaforma Singularity SentinelOne ha fatto registrare il maggior numero di rilevamenti combinati di alta qualità e di correlazioni automatiche.
  • SentinelOne ha raggruppato tutti i dati dei 3 giorni del test MITRE in soli 11 avvisi della console, ciascuno dei quali conteneva al suo interno tutti i dettagli. Nella console di gestione è preferibile che gli avvisi siano in numero ridotto, e Singularity è riuscito a raggruppare insieme i dati correlati pertinenti, il contesto e la correlazione, facilitando la comprensione e l’intervento da parte degli analisti.
  • SentinelOne ha fatto registrare il maggior numero di rilevamenti solo strumentali e di rilevamenti umani/MDR.

Gli analisti annegano nei dati e non sono in grado di tenere testa a vettori di attacco sofisticati. SentinelOne aiuta a trasformare i dati in storie e consente agli analisti di concentrarsi sugli avvisi prioritari.

SentinelOne partecipa a numerosi test ed è stata premiata più volte. Ecco un elenco di test e di riconoscimenti recenti da parte di organismi indipendenti:

• Rapporto MITRE ATT&CK APT29: Maggior numero di rilevamenti combinati di alta qualità e di correlazioni automatiche, maggior numero di rilevamenti solo strumentali e di rilevamenti umani/MDR
• La prima e l’unica soluzione di sicurezza informatica di ultima generazione a ricevere la certificazione VB100 da Virus Bulletin. La certificazione VB100 è un riconoscimento molto ambito nelle comunità antivirus e anti-malware, per via dei requisiti rigorosi dei test.
• Gartner: le migliori soluzioni di rilevamento e risposta alle minacce agli endpoint (EDR) secondo le recensioni dei clienti
• Gartner: le migliori piattaforme di protezione degli endpoint (EPP) secondo le recensioni dei clienti
• Il test delle prestazioni di Passmark del gennaio 2019 ha confrontato SentinelOne con vari prodotti antivirus esistenti. Il test ha evidenziato che SentinelOne ha prestazioni migliori delle altre marche quando l’agente è soggetto a carichi pesanti. Con i normali carichi di lavoro degli utenti, in genere i clienti notano un carico della CPU inferiore al 5%.

SentinelOne è una private company finanziata da venture capitalist di primo piano. È stata fondata nel 2013 e ha sede a Mountain View, in California.

SentinelOne è stata fondata nel 2013.

SentinelOne e CrowdStrike sono considerate le due principali soluzioni EDR/EPP sul mercato. SentinelOne è superiore a CrowdStrike e l’ha superata nelle recenti valutazioni di organismi indipendenti.

SentinelOne offre una soluzione EPP+EDR autonoma con un unico agente e la migliore copertura del settore in fatto di sistemi operativi – da Linux a MacOS e Windows. SentinelOne mette inoltre a disposizione un servizio MDR opzionale denominato Vigilance; a differenza di CrowdStrike, per le sue funzioni di rilevamento e risposta – le migliori della categoria – SentinelOne non si avvale di analisti umani o di connettività cloud, ma utilizza un agente ActiveEDR che conduce un’analisi pre-esecuzione e durante l’esecuzione sui dispositivi per rilevare e proteggere gli endpoint autonomamente sia dalle minacce note che da quelle ignote.

SentinelOne è conforme allo standard SOC2, come specificato nella nostra Informativa sulla sicurezza.

Per fare domanda di assunzione in SentinelOne, consultare le opportunità di impiego e inviare un CV tramite la nostra sezione Opportunità professionali.

Un software per la sicurezza degli endpoint è un programma installato su computer laptop, desktop e/o server per proteggerli dai numerosissimi attacchi che possono infettare un endpoint (malware, exploit, attacchi in corso, attacchi basati su script e simili) allo scopo di sottrarre dati, realizzare guadagni illeciti o danneggiare in altro modo sistemi, soggetti o aziende.

Un endpoint è un’estremità di un canale di comunicazione. Il termine indica quelle parti della rete che non si limitano a trasmettere le comunicazioni attraverso i canali della stessa, o a passare tali comunicazioni da un canale a un altro. Un endpoint è il punto da cui hanno origine le comunicazioni e quello in cui vengono ricevute.

I server sono considerati endpoint, e quasi tutti i server hanno sistema operativo Linux. L’agente SentinelOne per Linux garantisce ai server Linux lo stesso grado di sicurezza di tutti gli altri endpoint.

Le soluzioni di protezione degli endpoint di ultima generazione sono proattive, ovvero neutralizzano e prevedono le minacce in vari modi. Valutando tutte le attività di una rete, sia nel kernel che nello spazio utente, questi strumenti monitorano attentamente qualsiasi attività all’apparenza sospetta. I processi di machine learning sono molto efficaci nel prevedere dove si verificherà un attacco. Gli strumenti di sicurezza possono usare metodi come il monitoraggio out-of-band per intensificare la sorveglianza e per intercettare precocemente i virus, il malware e altri tipi di attacchi.

La Endpoint Protection Platform (EPP) di SentinelOne unifica prevenzione, rilevamento e risposta in un unico agente studiato appositamente che sfrutta il machine learning e l’automazione. La piattaforma assicura la prevenzione e il rilevamento degli attacchi su tutti i principali vettori, l’eliminazione rapida delle minacce con funzioni di risposta totalmente automatiche basate su criteri e la completa visibilità dell’ambiente degli endpoint con rapporti forensi in tempo reale dotati di contesto completo.

Gli agenti SentinelOne sono collegati alla console di gestione, che gestisce tutti gli aspetti del prodotto centralizzando tutte le funzioni e rendendo superfluo qualsiasi strumento e programma aggiuntivo separato.

La migliore protezione degli endpoint si realizza combinando AI statica e comportamentale in un unico agente autonomo che protegge l’endpoint da malware basato su file, attacchi privi di file, script malevoli ed exploit della memoria, sia quando l’endpoint è online che quando è offline.

La Endpoint Protection Platform di SentinelOne è stata valutata dal MITRE ATT&CK Round 2 il 21 aprile 2020. Ha fatto registrare il minor numero di mancati rilevamenti e ha ottenuto il maggior numero di rilevamenti combinati di alta qualità e di rilevamenti correlati. L’aspetto importante è che SentinelOne non si basa sull’analisi umana e neutralizza gli attacchi tramite un agente ActiveEDR autonomo.

ActiveEDR consente di monitorare e contestualizzare tutte le attività di un dispositivo. ActiveEDR è in grado di identificare le attività malevole in tempo reale, automatizzando le risposte necessarie e facilitando l’individuazione delle minacce con la ricerca su un singolo IOC.

L’agente SentinelOne è un programma software installato sui singoli endpoint (desktop, laptop, server e ambienti virtuali compresi) ed eseguito in modo autonomo su ogni dispositivo, senza necessità di connessione a internet. L’agente risiede a livello di kernel e monitora tutti i processi in tempo reale. Di questo processo si occupa il nostro Motore di rilevamento comportamentale dinamico, che permette agli utenti di vedere esattamente quello che è successo su un endpoint in ogni fase di esecuzione con dati come origine, paziente zero, attività dei processi e dei file, eventi del registro, connessioni di rete e dati forensi.

Per implementare delle misure di sicurezza sugli endpoint è necessario installare gli agenti SentinelOne su tutti gli endpoint di un’azienda. I team addetti alla sicurezza possono monitorare gli avvisi, scovare le minacce e applicare criteri locali e globali ai dispositivi di tutta l’azienda.

Una soluzione di sicurezza degli endpoint non è un antivirus. Gli antivirus sono una tecnologia antiquata e superata che si basa sulle firme dei file di malware. La soluzione di sicurezza degli endpoint SentinelOne non usa i tradizionali metodi antivirus basati sulle firme per individuare gli attacchi malevoli. La protezione dei sistemi avviene invece combinando l’analisi statica tramite machine learning e l’analisi comportamentale dinamica. Tutti i file sono valutati in tempo reale prima dell’esecuzione e durante l’esecuzione. Poiché la tecnologia SentinelOne non fa uso di firme, i clienti non devono preoccuparsi di appesantire la rete con gli aggiornamenti o dell’uso intensivo in I/O dei sistemi locali per scansioni quotidiane dei dischi.

Norton e Symantec sono soluzioni antivirus di vecchia generazione. Come molte altre, si basano sulle firme per identificare le minacce. La soluzione di sicurezza degli endpoint SentinelOne non usa i tradizionali metodi antivirus basati sulle firme per individuare gli attacchi malevoli. La protezione dei sistemi avviene invece combinando l’analisi statica tramite machine learning e l’analisi comportamentale dinamica. Tutti i file sono valutati in tempo reale prima dell’esecuzione e durante l’esecuzione. Poiché la tecnologia SentinelOne non fa uso di firme, i clienti non devono preoccuparsi di appesantire la rete con gli aggiornamenti o dell’uso intensivo in I/O dei sistemi locali per scansioni quotidiane dei dischi.

La piattaforma SentinelOne si serve di una tecnologia brevettata per mantenere le aziende al riparo dalle minacce informatiche. Adotta un approccio multi-vettore, con l’uso di tecnologie di analisi statica pre-esecuzione mediante AI che sostituiscono le applicazioni antivirus.

SentinelOne si serve inoltre di tecnologie di analisi comportamentale in esecuzione mediante AI che rilevano le azioni anomale in tempo reale come gli attacchi privi di file, gli exploit, le macro e gli script malevoli, i cryptominer, il ransomware e altri attacchi.

Le funzioni di risposta di SentinelOne, che agiscono nel giro di qualche millisecondo per bloccare gli attacchi e ridurre quasi a zero il tempo di permanenza, includono fra l’altro avviso, blocco, quarantena, correzione di modifiche indesiderate, ripristino di Windows per recuperare i dati, contenimento in rete e shell remota.

L’agente SentinelOne è attivo anche quando si è offline e protegge dal malware anche quando il dispositivo non è connesso a internet. La visibilità e le funzioni amministrative della console vengono invece ripristinate solo quando il dispositivo è nuovamente online.

È trascorso più di un decennio dall’introduzione degli antivirus, e negli ultimi anni il panorama delle minacce è cambiato radicalmente. SentinelOne è una piattaforma di protezione degli endpoint, e come tale è più avanzata delle tradizionali soluzioni antivirus basate sulle firme e le sostituisce.

È possibile e altamente consigliabile usare SentinelOne per sostituire la propria soluzione antivirus. Eventualmente, si può eseguire simultaneamente sia Microsoft Defender che SentinelOne.

SentinelOne è stato progettato per sostituire integralmente l’antivirus. Le aziende hanno l’esigenza di ridurre il numero degli agenti, non di aumentarlo. SentinelOne è dotato di molte funzioni che permettono ai clienti di usarlo in sostituzione dell’antivirus tradizionale. SentinelOne può anche sostituire i tradizionali prodotti di analisi del traffico di rete (NTA, Network Traffic Analysis), le appliance per la visibilità della rete (come Forescout) e le piattaforme di threat hunting dedicate.

L’agente SentinelOne è studiato per funzionare sia online che offline. L’agente presente sull’endpoint esegue l’analisi comportamentale statica e dinamica sia prima che durante l’esecuzione.

Questi due metodi sono i principali sistemi di prevenzione e rilevamento impiegati e non richiedono connessione a internet. Quando è online, tuttavia, oltre a eseguire i controlli locali l’agente può inviare una query al cloud SentinelOne per ulteriori controlli.

SentinelOne utilizza una serie di motori a cascata: reputazione, funzioni StaticAI e ActiveEDR per prevenire e rilevare i vari tipi di attacchi in fasi diverse.

SentinelOne è studiato per prevenire qualsiasi tipo di attacco, anche quelli malware. Il componente Endpoint Prevention (EPP) SentinelOne analizza (online e offline) i file eseguibili prima dell’esecuzione mediante la funzione di prevenzione StaticAI; in questo modo non è più necessario ricorrere alle tradizionali firme, che vengono aggirate facilmente, richiedono aggiornamenti costanti e scansioni che assorbono notevoli risorse sul dispositivo.

Il motore SentinelOne esegue anche l’analisi dei documenti PDF e Microsoft OLE (vecchi MS Office), dei formati MS Office XML (MS Office attuali) e di altri tipi di file che potrebbero contenere codice eseguibile. Lo scopo della funzione StaticAI del prodotto è rilevare i malware generici e di nuova introduzione con un modello di machine learning compatto integrato nell’agente che sostituisce i grandi database di firme utilizzati nei vecchi prodotti antivirus.

Gli algoritmi di machine learning di SentinelOne non sono configurabili.

I clienti non possono personalizzare l’algoritmo di machine learning/intelligenza artificiale, e non è necessario “addestrare” l’AI nel proprio ambiente.

I modelli AI/ML vengono invece addestrati dai nostri esperti di dati nel laboratorio di sviluppo SentinelOne, per migliorare rilevamento e protezione e ridurre il tasso dei falsi positivi. Periodicamente vengono introdotti nuovi modelli con gli aggiornamenti del codice dell’agente.

SentinelOne è in grado di rilevare gli attacchi in memoria.

SentinelOne è integrato con la tecnologia Intel® Threat Detection Technology (Intel TDT) basata su hardware che consente scansioni della memoria accelerate.

SentinelOne è principalmente un SaaS. Offriamo ai clienti la scelta tra il servizio gestito come cloud in hosting su Amazon AWS e un’appliance virtuale on premise. Tuttavia, la logica di prevenzione, rilevamento e risposta dell’agente SentinelOne è eseguita localmente sull’agente, e quindi i nostri agenti e le funzioni di rilevamento non dipendono dal cloud.

A differenza di quanto avviene in altri prodotti, l’agente non deve caricare dati su cloud per cercare degli indicatori di attacco (IoA), né inviare codice a un sandbox su cloud per l’analisi dinamica.

Con gli altri prodotti, basati sul cloud, tra il momento dell’infezione, del rilevamento su cloud e della risposta trascorre un lasso di tempo notevole, durante il quale l’infezione può diffondersi o gli aggressori possono raggiungere i loro obiettivi.

SentinelOne è dotato di client per Windows, macOS e Linux, comprese le versioni di sistemi operativi non più supportate come Windows XP.

SentinelOne si può installare su tutte le workstation e in tutti gli ambienti supportati.

SentinelOne può sostituire in tutto e per tutto le soluzioni anti-malware tradizionali o funzionare parallelamente a esse. Il vecchio antivirus si può disinstallare o mantenere, a seconda delle preferenze.

L’agente SentinelOne non rallenta l’endpoint su cui è installato. È studiato per influire il meno possibile sull’utente finale, pur garantendo una protezione efficace sia online che offline.

A differenza di altri prodotti anti-malware che richiedono aggiornamenti costanti delle firme dei file “.dat” e scansioni quotidiane dei dischi, il nostro agente utilizza l’analisi statica dei file con AI e l’analisi comportamentale con AI che consuma meno risorse a livello di CPU, memoria e I/O dei dischi. Questo assicura agli utenti finali migliori prestazioni di elaborazione. Il consumo delle risorse del sistema può variare a seconda del carico di lavoro del sistema stesso.

SentinelOne può essere dimensionato per proteggere ambienti di grandi dimensioni. Alcuni dei nostri clienti hanno più di 150.000 endpoint nei loro ambienti.

SentinelOne si disattiva dalla console di gestione. Da remoto è possibile modificare varie funzioni degli agenti, ad esempio avviarli o arrestarli oppure iniziare una disinstallazione completa in caso di necessità.

Gli agenti si gestiscono tutti dalla console di gestione. Da remoto è possibile modificare varie funzioni degli agenti, ad esempio avviarli o arrestarli oppure iniziare una disinstallazione completa in caso di necessità.

Non occorre un personale di sicurezza numeroso per installare e gestire SentinelOne.

Generalmente i nostri clienti assegnano un addetto a tempo pieno equivalente ogni 100.000 nodi gestiti. Il numero può variare in funzione dei requisiti aziendali. Questa stima può inoltre aumentare o diminuire a seconda della quantità degli avvisi di sicurezza nell’ambiente.

Il servizio opzionale Vigilance di SentinelOne può integrare il vostro team con gli analisti della sicurezza informatica SentinelOne che collaborano con voi per velocizzare il rilevamento e la classificazione delle minacce per priorità e la conseguente risposta. I clienti che scelgono di utilizzare Vigilance noteranno una riduzione sensibile delle ore settimanali di impegno per i loro dipendenti.

SentinelOne si può integrare con altri software per endpoint.

Attualmente SentinelOne è predisposto per le seguenti integrazioni:

• Splunk SIEM e Splunk Cloud
• Qradar SIEM
• Logrythm SIEM
• Slack
• ServiceNow
• Joe Sandbox
• Palo Alto Wildfire
• ServiceNow

SentinelOne è progettato per sostituire integralmente l’antivirus e fungere da soluzione EPP/EDR unica.  Le aziende hanno l’esigenza di ridurre il numero degli agenti, non di aumentarlo. SentinelOne è dotato di molte funzioni che permettono ai clienti di usarlo in sostituzione dell’antivirus tradizionale.

Attualmente SentinelOne è predisposto per le seguenti integrazioni:

• Splunk SIEM e Splunk Cloud
• Qradar SIEM
• Logrythm SIEM
• Slack
• Joe Sandbox
• Palo Alto Wildfire
• ServiceNow

SentinelOne si integra agevolmente con strumenti di analisi dei dati come i sistemi SIEM, tramite feed syslog o la nostra API. Offriamo svariate integrazioni con SIEM tramite app, fra cui:

• Splunk
• QRadar
• LogRhythm

La piattaforma SentinelOne è “API first”, e questo è uno dei nostri principali elementi di differenziazione sul mercato.

“API first” significa che i nostri sviluppatori creano le API per le funzioni dei nuovi prodotti prima di programmare qualunque altro tipo di codice. Quasi tutte le funzioni dell’interfaccia utente hanno un’API lato cliente. A causa di questa sovrapposizione marcata tra interfaccia utente e API, la soluzione SentinelOne si può utilizzare come prodotto singolo (tramite l’interfaccia utente), oppure come componente importante dello stack di sicurezza tramite l’API.

L’API SentinelOne è un’API RESTful ed è dotata di oltre 300 funzioni per consentire l’integrazione bidirezionale con altri prodotti di sicurezza. Tutte le API sono ben documentate direttamente nell’interfaccia utente con riferimenti API tramite Swagger e includono risorse che consentono agli sviluppatori di testare il codice.

SentinelOne è dotato di un SDK per l’astrazione dell’accesso API senza alcun costo aggiuntivo.

L’SDK SentinelOne, completo di documentazione, è disponibile per tutti i clienti SentinelOne direttamente dalla console di gestione.

Sì, è possibile avere una versione di prova di SentinelOne.

Le demo gratuite si possono richiedere tramite questa pagina Web: https://it.sentinelone.com/request-demo/

I prezzi di SentinelOne variano a seconda del numero di endpoint su cui vengono installati gli agenti.

La piattaforma Singularity SentinelOne è una piattaforma di sicurezza informatica di ultima generazione unica nel suo genere. Singularity è il primo data lake del settore a fondere perfettamente in una sola piattaforma centralizzata i livelli di dati, di accesso, di controllo e integrazione delle sue funzioni di protezione degli endpoint (EPP), rilevamento e risposta alle minacce agli endpoint (EDR), sicurezza IoT e protezione dei carichi di lavoro cloud (CWPP). Con Singularity è possibile accedere ai dati del backend dell’intero sistema aziendale tramite un’unica soluzione che offre una visione coerente della rete e delle risorse aggiungendo un livello di protezione autonomo in tempo reale su tutte le risorse aziendali.

A differenza di altri prodotti di ultima generazione, SentinelOne è la prima soluzione di sicurezza a evolversi da protezione cloud nativa ma autonoma a piattaforma completa di sicurezza informatica (con la stessa codebase singola e lo stesso modello di distribuzione), e la prima a incorporare IoT e CWPP in una piattaforma allargata di rilevamento e risposta (XDR).

Singularity è una piattaforma di semplice gestione per la prevenzione, il rilevamento, la risposta e l’individuazione attiva delle minacce nel contesto di tutte le risorse aziendali, che offre un grado di visibilità senza precedenti e permette alle aziende di gestire le incognite. È l’unica piattaforma basata su AI dotata di funzioni avanzate di threat hunting e di visibilità completa di ogni dispositivo, virtuale o fisico, on premise o su cloud.

Vigilance è il servizio MDR (Managed Detection and Response) di SentinelOne che assicura monitoraggio, individuazione attiva e risposta alle minacce ai clienti esistenti a un costo aggiuntivo.

Mette a disposizione un SOC (Security Operations Centre) attivo 24×7 con analisti e ricercatori esperti per fornire agli utenti monitoraggio delle minacce quasi in tempo reale, annotazioni sulle minacce nella console e risposta alle minacce e agli eventi sospetti (per i clienti con contratto premium).

Per maggiori informazioni su SentinelOne Vigilance, consultate questa pagina.

SentinelOne Ranger è una tecnologia di individuazione e contenimento dei dispositivi inaffidabili.

Consente di individuare i dispositivi non gestiti o “inaffidabili” sia in modo passivo che attivo. Una volta individuati tali dispositivi, Ranger può segnalarne la presenza agli addetti alla sicurezza e proteggere dispositivi gestiti come workstation e server dal rischio rappresentato da questi dispositivi non gestiti.

Per maggiori informazioni su SentinelOne Ranger, consultate questa pagina.

SentinelOne Ranger è una tecnologia di individuazione e contenimento dei dispositivi inaffidabili.

Consente di individuare i dispositivi non gestiti o “inaffidabili” sia in modo passivo che attivo. Una volta individuati tali dispositivi, Ranger può segnalarne la presenza agli addetti alla sicurezza e proteggere dispositivi gestiti come workstation e server dal rischio rappresentato da questi dispositivi non gestiti.

Per maggiori informazioni su SentinelOne Ranger, consultate questa pagina.

La piattaforma Singularity SentinelOne è una piattaforma di sicurezza informatica di ultima generazione unica nel suo genere. Singularity è il primo data lake del settore a fondere perfettamente in una sola piattaforma centralizzata i livelli di dati, di accesso, di controllo e integrazione delle sue funzioni di protezione degli endpoint (EPP), rilevamento e risposta alle minacce agli endpoint (EDR), sicurezza IoT e protezione dei carichi di lavoro cloud (CWPP). Con Singularity è possibile accedere ai dati del backend dell’intero sistema aziendale tramite un’unica soluzione che offre una visione coerente della rete e delle risorse aggiungendo un livello di protezione autonomo in tempo reale su tutte le risorse aziendali.

A differenza di altri prodotti di ultima generazione, SentinelOne è la prima soluzione di sicurezza a evolversi da protezione cloud nativa ma autonoma a piattaforma completa di sicurezza informatica (con la stessa codebase singola e lo stesso modello di distribuzione), e la prima a incorporare IoT e CWPP in una piattaforma allargata di rilevamento e risposta (XDR).

Singularity è una piattaforma di semplice gestione per la prevenzione, il rilevamento, la risposta e l’individuazione attiva delle minacce nel contesto di tutte le risorse aziendali, che offre un grado di visibilità senza precedenti e permette alle aziende di gestire le incognite. È l’unica piattaforma basata su AI dotata di funzioni avanzate di threat hunting e di visibilità completa di ogni dispositivo, virtuale o fisico, on premise o su cloud.

Deep Visibility di SentinelOne è un componente integrato dell’agente SentinelOne che raccoglie e invia informazioni dagli agenti alla console di gestione SentinelOne. Con questi dati, gli addetti alla sicurezza e gli amministratori possono cercare gli indicatori di compromissione (IoC) e andare a caccia di minacce.

Sì, SentinelOne si può usare per la risposta agli incidenti.

Le funzioni di correzione e ripristino di SentinelOne sono un’esclusiva per il settore, brevettate dallo U.S. Patent and Trade Office. La funzione ActiveEDR di SentinelOne registra e monitora tutti i processi caricati direttamente in memoria come una serie di “storie” correlate.

L’agente conserva una cronologia locale di queste relazioni contestuali tra processi e delle eventuali modifiche correlate del sistema. Conservando il contesto delle storie per tutta la durata dell’esecuzione del software, l’agente può stabilire quando i processi diventano malevoli e mettere in atto la risposta specificata nei criteri di gestione.

Se i criteri richiedono la correzione automatica o se l’amministratore la esegue manualmente, l’agente ha in memoria il contesto cronologico relativo all’attacco e usa questi dati per gestire la minaccia e ripulire il sistema dagli artefatti indesiderati distribuiti dal codice malevolo. Essenzialmente, l’agente capisce che cosa è accaduto in relazione all’attacco e ne esegue all’inverso le operazioni per eliminare le modifiche non autorizzate.

SentinelOne supporta il framework MITRE ATT&CK sfruttando il nostro Motore comportamentale dinamico per mostrare il comportamento dei processi sugli endpoint protetti.

Per facilitare e velocizzare l’impiego di queste conoscenze, mappiamo i nostri indicatori di comportamento nel framework MITRE ATT&CK.

È possibile creare query pronte all’uso e cercare le caratteristiche MITRE ATT&CK in tutto l’ambito dei propri endpoint. Con SentinelOne è sufficiente l’ID MITRE o un’altra stringa nella descrizione, nella categoria, nel nome o nei metadati.

SentinelOne è stato valutato dal MITRE ATT&CK Round 2 il 21 aprile 2020. SentinelOne ha fatto registrare il minor numero di mancati rilevamenti e ha ottenuto il maggior numero di rilevamenti combinati di alta qualità e di rilevamenti correlati.

SentinelOne prevede svariate risposte per contrastare il ransomware, fra cui:

• Capacità di arrestare i processi malevoli
• Quarantina di file e di script
• Correzione (inversione) delle modifiche indesiderate
• Ripristino dello stato precedente dei sistemi Windows
• Contenimento in rete automatico o manuale dei dispositivi conservando la capacità dell’amministratore di mantenere l’interazione con l’endpoint tramite la console o la nostra API RESTful.

Il ransomware è una minaccia estremamente concreta. Secondo il rapporto DBIR 2020 di Verizon, oltre un quarto delle violazioni di dati causate da malware si servono di ransomware.

SentinelOne è studiato per proteggere le aziende dal ransomware e dagli altri tipi di malware. SentinelOne riconosce i comportamenti del ransomware e gli impedisce di crittografare i file.

Inoltre, SentinelOne è in grado di ripristinare lo stato precedente dei dispositivi Windows qualora i file venissero crittografati. Se SentinelOne non riesce a ripristinare i file crittografati, vi verrà rimborsato un importo di 1.000 $ per ogni dispositivo crittografato, fino a un massimo di 1 milione di $.