SentinelOne Remote Shell

SentinelOne is leverancier van autonome endpoint bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. SentinelOne analyseert het gedrag van endpoints met behulp van slimme zelflerende algoritmes waardoor ook de nieuwste, onbekende malware wordt ontdekt. Door een geheel geautomatiseerd proces dat gestart worden bij detectie van afwijkend gedrag, zorgt deze security oplossing voor een significante vermindering van het security management. Daarnaast is het zeer eenvoudig uit te rollen en managen.

Waarom remote shell?

Sinds de introductie van SentinelOne’s managementportal “Fuji” biedt SentinelOne de mogelijkheid om een remote shell connectie op te zetten via de agent tunnel. Dit stelt een engineer in staat direct te troubleshooten op een machine zonder dat er fysieke toegang nodig is en zonder dat de gebruiker bijvoorbeeld met de laptop langs hoeft te lopen bij IT. Remote control dus, en op een veilige manier.

Wat moet ik doen?

Om gebruik te maken van deze feature heeft de klant de complete licentie nodig. Remote controle is handig, maar vanuit compliance zal dit wel enige vragen met zich meebrengen vanuit de klant. Als partners hebben we op deze manier immers toegang tot systemen en informatie op de endpoints. Er zijn natuurlijk features inbegrepen om dit allemaal in goede banen te leiden.
Ten eerste heeft een beheerder de juiste rechten nodig; de juiste rol moet aan hem zijn toegewezen: Admin, IT, of SoC. Daarnaast moet deze gebruiker twee-factor-authenticatie geactiveerd hebben op zijn management login.

Vervolgens is er een vinkje in de policy van elke groep wat aangeeft of u überhaupt naar deze endpoint van die groep mag verbinden met een remote shell. Heeft de klant dus systemen waar wij niet naar mogen verbinden, zet je deze machines bijvoorbeeld in een aparte groep. Navigeer naar de groepen en de policy, scroll naar beneden tot het einde van de pagina, en daar is een vinkje terug te vinden. Deze staat overigens standaard uit.

De shell draait onder local admin permissies. Binnen de shell is het mogelijk te wisselen van permissies door authenticatie met domain user credentials. De endpoint moet dus wel een OS hebben wat een remote shelll ondersteunt. The SentinelOne Agent maakt een tijdelijke gebruiker aan met de naam SentinelRSHUser in de local Administrators groep wanneer de remote shell wordt gestart en weer verwijderd als de sessie stopt.

Deze gebruiker heeft permissies nodig voor “log on as a batch job”.

 

Hoe activeer ik de remote shell?

Als dit is gelukt kan er een sessie worden opgebouwd door naar de endpoint te navigeren in Sentinels, de desbetreffende endpoint op te zoeken en te selecteren. Klik daarna op actions en zoek op remote shell en selecteer deze. Een voorwaarde is natuurlijk wel dat de endpoint ook echt online moet zijn.

De remote shell window zal openen en hier dient u de user password op te geven waarna er een twee-factor-authenticatie challenge zal worden gedaan zodra u op continue klikt. Geef de twee-factor-authenticatie code op, klik op connect en u krijgt een prompt.

Vanuit de prompt kunt u alles uitvoeren. Weet dat alle activiteiten gewoon gemonitord zullen worden door de SentinelOne Agent. Alle detectie en protectie logica is gewoon van toepassing.

Malware plaatsen en runnen, om maar een voorbeeld te geven, is niet mogelijk. NB: op de policy hoeft “detect interactive threat” niet enabled te zijn hiervoor.
Wanneer er een bedreiging is gedetecteerd, en via de policy is een ‘network quarantine’ actief, dan kan het zijn dat enkele commando’s niet zullen werken. In toekomstige versies zal er een mogelijkheid komen om firewall rules aan te passen om zo enkele poorten open te zetten wanneer de ‘network quarantine’ actief is.

Even terugkomend op compliance. Naast de policy features die reeds benoemd zijn, is het ook noodzakelijk om altijd te kunnen nalezen wat iemand heeft uitgespookt via de remote shell. Om die reden wordt er van elke sessie een transcript opgeslagen binnen de SentinelOne Portal in de Activity List. Een audit trail dus. Na het afsluiten van de sessie is deze beschikbaar en kan een transcript worden gedownload. Het transcript kan enkel gelezen worden na het opgeven van het juiste wachtwoord van de desbetreffende admin user.

 

Heeft u vragen naar aanleiding van deze informatie, neem dan contact met Clifford Knook, Pre-sales Consultant bij Exclusive Networks via cknook@exclusive-networks.nl


Wilt u graag meer informatie over SentinelOne ontvangen? Neem contact op via +31 (0)499 462121 of mail naar info@exclusive-networks.nl