SentinelOne 的入侵指标 (IoC) 数据来源来自各种旨在检测和分析潜在安全威胁的方法和工具。这些来源包括:
威胁情报
:IoC 是通过威胁情报创建的,威胁情报涉及收集和分析有关新出现或现有威胁的信息。此类情报可以来自各种来源,包括第三方信息和专有研究。
监控安全日志
:监控来自各种系统和应用程序的安全日志,以识别可能表明存在入侵的可疑活动。这些日志为生成 IoC 提供了宝贵的数据。
分析网络流量
:网络监控工具,例如入侵检测系统 (IDS) 和安全信息和事件管理 (SIEM) 系统,用于检测异常流量模式、与已知恶意 IP 地址或域的连接以及正在使用的意外协议或端口。
端点安全解决方案
:使用端点安全解决方案(如端点检测和响应 (EDR) 或扩展检测和响应 (XDR) 工具)监控基于主机的活动。这些解决方案有助于识别可疑文件活动、进程或系统配置更改。
文件扫描工具
:通过文件扫描工具(包括 EDR 软件和沙盒工具)检测系统中是否存在恶意文件或恶意软件。这些工具会分析文件哈希、文件名和路径,以查找恶意内容的迹象。
Singularity XDR 中的 PowerQuery
:SentinelOne 的 Singularity XDR 平台使用 PowerQuery 分析数据并识别 IoC。PowerQuery 允许跨主机汇总数据,识别勒索软件哈希、网络连接量和按端点划分的首要威胁指标。
与云服务和外部配置集成
:Slack 等平台上的讨论表明,SentinelOne 还将云资产和配置视为其 IoC 数据源的一部分。这包括与 AWS 等云服务集成并分析云库存信息以查找入侵迹象。
这些来源共同使 SentinelOne 能够通过生成准确且可操作的 IoC 来有效地检测、分析和应对潜在的安全威胁。
威胁情报是您收集、处理和分析的数据,以便更好地了解威胁行为者的动机、目标和攻击行为。利用这些信息,您可以快速做出明智的决策,以保护自己免受未来威胁行为者的侵害。
威胁情报和STAR 自定义规则
使用入侵指标 (IoC) 信息与Deep Visibility™数据和STAR Custom Rules自定义规则来预测和缓解威胁。
您可以通过API接口方式,调用您的私有IoC存储库,它允许您使用哈希、IP 地址、URL 和域名等指标从您的私有 IoC 数据库中创建、查看、更新和删除 IoC。
您可以更新的私有IoC存储库范围,取决于您的SentineOne管理员账号权限范围,如您的账号属于哪个account、site或group,您的私有IoC存储库只能在这个范围内使用。
添加 IOC 后,它们会集成到 Deep Visibility 中,可以使用 IndicatorName、IndicatorDescription 等进行搜索。由于检测到的事件将在 Deep Visibility 中具有与其关联的自定义指标,因此可以将其集成到 STAR 规则中,您可以在其中决定检测到时如何处理它们。
配置STAR 自定义规则以生成警报和缓解规则。这些规则由与您的威胁情报数据库匹配的新事件触发。当一个进程生成多个具有相同指标 ID 的命中时,会发生单个事件。当一个进程生成多个具有不同指标 ID 的命中时,会发生多个事件。
威胁情报和Deep Visibility™
当威胁事件或警报发送到Deep Visibility 云数据库时,详细信息将与威胁情报数据库中的条目进行比较。如果找到匹配项,则搜索中将显示新的威胁情报指标事件,并生成指向该事件的链接。
与 IoC 匹配的元数据包含以下数据:
IoC 类别(DNS、SHA1)风险评分(低、中、高)Feed name(AlienVault、InfraGard)威胁家族(恶意软件、网络钓鱼)
Deep Visibility™查询在事件详细信息中显示丰富的数据。
reputation引擎
SentinelOne 的reputation引擎工作流程如下:
SentinelOne agent每隔60秒向SentinelOne云端检查一次reputation引擎是否有更新;当SentinelOne agent保护的终端上对文件进行检查时,会将该文件哈希与本地存储在agent上的已知哈希列表进行比较,如果不匹配,则允许使用静态和行为引擎扫描该文件;哈希值信息被发送到管理控制台,然后被发送到云端进行“信誉检查”;如果SentinelOne云中有关于此哈希的信息,则会在控制台中更新该黑名单,然后在agent中更新;如果哈希信息在SentinelOne云中更新,在7天内,agent的黑名单就会更新。
♚上海甫连信息技术有限公司
DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis | Onfido