A propos de SentinelOne
La solution SentinelOne de sécurité combine dans un agent unique les aspects de EPP (End-Point Protection Platform, pour la protection), et d’EDR (End-Point Detection & Response, pour la remediation, la visibilité et l’investigation), afin de protéger les End-Points (postes de travail et serveurs) contre tous types de vecteurs de menaces, et toute la chaîne des phases d’une attaque – avant, pendant et après.
L’agent, disponible en multi-OS Windows, Mac et Linux, VDI, Docker… est totalement autonome, c’est-à-dire qu’il n’est pas dépendant du Cloud pour son efficacité – ce qui signifie que son efficacité offline reste la même qu’on-line.
Il met en oeuvre des techniques d‘Intelligence Artificielle et de Machine Learning bien plus efficaces que les anti-virus traditionnels à base de signatures. C’est ce qui lui permet de bloquer des menaces sophistiquées qui ne sont typiquement pas stoppées par un AV – par exemple des menaces sans fichier directement en mémoire.
La fonction de Remediation automatisée permet alors de réparer ou nettoyer les traces laissées par une menace, et la fonction de Rollback permet même de restaurer des fichiers qui auraient accidentellement déjà été endommagés par exemple par un ransomware.
La solution inclut une vue Forensics détaillée sur les menaces traitées et les process qui se sont déroulés – y compris sous forme graphique de “process tree”.
La fonctionnalité Deep Visibility est celle qui couvre les aspects EDR avancé, à savoir visibilité sur tous les process, y compris bénins, y compris sur le trafic chiffré, mais aussi l’investigation, recherche d’IOC (Indicator of Compromise), Threat Hunting, etc., le tout représentant un outil précieux pour un SOC – qui fait gagner un temps précieux dans les réponses à incidents.
Une grande variété de réponses est disponible – jusque même un Secure Remote Shell complet pour prendre la main à distance sur les postes – en faisant un outil d’efficacité pour une équipe de SOC et de réponse à incidents.
La solution a ainsi vocation à remplacer totalement un anti-virus existant. Cela dit, elle peut aussi parfaitement être déployée en complément de celui-ci.
Les fonctions annexes récemment ajoutées, de contrôle de ports / devices, de contrôle de Firewall personnel, et de Contrôle d’applications / Vulnerability management, permettent plus facilement de se permettre de retirer le vieil Anti-virus.
La solution permet en outre de simplifier l’aspect opérationnel / administration par rapport à votre antivirus actuel, avec une console d’administration centralisée disponible à 100% dans le Cloud:
En résumé :