SentinelOne 的入侵指标 (IoC)

本文涉及的产品
云原生网关 MSE Higress,422元/月
容器镜像服务 ACR,镜像仓库100个 不限时长
注册配置 MSE Nacos/ZooKeeper,182元/月
简介: SentinelOne 的入侵指标 (IoC) 数据来源包括威胁情报、安全日志监控、网络流量分析、端点安全解决方案、文件扫描工具及云服务集成等。通过这些来源,SentinelOne 能生成准确的 IoC,有效检测和应对潜在威胁。其 Deep Visibility™ 和 STAR 自定义规则可进一步增强威胁预测与缓解能力,同时 reputation 引擎通过哈希值信誉检查实现动态黑名单更新,全面提升防护水平。

SentinelOne 的入侵指标 (IoC) 数据来源来自各种旨在检测和分析潜在安全威胁的方法和工具。这些来源包括:

威胁情报

:IoC 是通过威胁情报创建的,威胁情报涉及收集和分析有关新出现或现有威胁的信息。此类情报可以来自各种来源,包括第三方信息和专有研究。

监控安全日志

:监控来自各种系统和应用程序的安全日志,以识别可能表明存在入侵的可疑活动。这些日志为生成 IoC 提供了宝贵的数据。

分析网络流量

:网络监控工具,例如入侵检测系统 (IDS) 和安全信息和事件管理 (SIEM) 系统,用于检测异常流量模式、与已知恶意 IP 地址或域的连接以及正在使用的意外协议或端口。

端点安全解决方案

:使用端点安全解决方案(如端点检测和响应 (EDR) 或扩展检测和响应 (XDR) 工具)监控基于主机的活动。这些解决方案有助于识别可疑文件活动、进程或系统配置更改。

文件扫描工具

:通过文件扫描工具(包括 EDR 软件和沙盒工具)检测系统中是否存在恶意文件或恶意软件。这些工具会分析文件哈希、文件名和路径,以查找恶意内容的迹象。

Singularity XDR 中的 PowerQuery

:SentinelOne 的 Singularity XDR 平台使用 PowerQuery 分析数据并识别 IoC。PowerQuery 允许跨主机汇总数据,识别勒索软件哈希、网络连接量和按端点划分的首要威胁指标。

云服务和外部配置集成

:Slack 等平台上的讨论表明,SentinelOne 还将云资产和配置视为其 IoC 数据源的一部分。这包括与 AWS 等云服务集成并分析云库存信息以查找入侵迹象。

这些来源共同使 SentinelOne 能够通过生成准确且可操作的 IoC 来有效地检测、分析和应对潜在的安全威胁。

威胁情报是您收集、处理和分析的数据,以便更好地了解威胁行为者的动机、目标和攻击行为。利用这些信息,您可以快速做出明智的决策,以保护自己免受未来威胁行为者的侵害。

威胁情报和STAR 自定义规则

使用入侵指标 (IoC) 信息与Deep Visibility™数据和STAR Custom Rules自定义规则来预测和缓解威胁。

您可以通过API接口方式,调用您的私有IoC存储库,它允许您使用哈希、IP 地址、URL 和域名等指标从您的私有 IoC 数据库中创建、查看、更新和删除 IoC。

您可以更新的私有IoC存储库范围,取决于您的SentineOne管理员账号权限范围,如您的账号属于哪个account、site或group,您的私有IoC存储库只能在这个范围内使用。

添加 IOC 后,它们会集成到 Deep Visibility 中,可以使用 IndicatorName、IndicatorDescription 等进行搜索。由于检测到的事件将在 Deep Visibility 中具有与其关联的自定义指标,因此可以将其集成到 STAR 规则中,您可以在其中决定检测到时如何处理它们。

配置STAR 自定义规则以生成警报和缓解规则。这些规则由与您的威胁情报数据库匹配的新事件触发。当一个进程生成多个具有相同指标 ID 的命中时,会发生单个事件。当一个进程生成多个具有不同指标 ID 的命中时,会发生多个事件。

威胁情报和Deep Visibility™

当威胁事件或警报发送到Deep Visibility 云数据库时,详细信息将与威胁情报数据库中的条目进行比较。如果找到匹配项,则搜索中将显示新的威胁情报指标事件,并生成指向该事件的链接。

6.png

与 IoC 匹配的元数据包含以下数据:

IoC 类别(DNS、SHA1)风险评分(低、中、高)Feed name(AlienVault、InfraGard)威胁家族(恶意软件、网络钓鱼)

Deep Visibility™查询在事件详细信息中显示丰富的数据。

reputation引擎

SentinelOne 的reputation引擎工作流程如下:

SentinelOne agent每隔60秒向SentinelOne云端检查一次reputation引擎是否有更新;当SentinelOne agent保护的终端上对文件进行检查时,会将该文件哈希与本地存储在agent上的已知哈希列表进行比较,如果不匹配,则允许使用静态和行为引擎扫描该文件;哈希值信息被发送到管理控制台,然后被发送到云端进行“信誉检查”;如果SentinelOne云中有关于此哈希的信息,则会在控制台中更新该黑名单,然后在agent中更新;如果哈希信息在SentinelOne云中更新,在7天内,agent的黑名单就会更新。

7.png


上海甫连信息技术有限公司

DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis | Onfido

SentinelOne的新logo.jpg

目录
相关文章
|
4月前
|
人工智能 Windows
SentinelOne对可疑驱动程序是怎么阻止的
简介: SentinelOne 的可疑驱动程序阻止功能可防止恶意或可疑的已签名/未签名驱动程序加载,适用于 Windows 代理程序不同版本。从 23.4 版本起,可在管理控制台配置阻止设置,并通过 AI 引擎发送威胁警报。24.1 版本引入 Storyline™ 技术,增强攻击链检测与终止能力。该功能独立于保护模式运行,需启用防篡改功能以激活。默认设置会阻止所有可疑驱动程序,支持自定义规则,如仅阻止特定类别或哈希值列入阻止列表的驱动程序。关闭此功能后,仍可通过用户自定义阻止列表拦截特定驱动程序。
70 5
|
网络协议 数据安全/隐私保护 网络架构
软路由R4S+iStoreOS实现公网远程桌面局域网内电脑
软路由R4S+iStoreOS实现公网远程桌面局域网内电脑
733 0
|
数据采集 机器学习/深度学习 安全
Python爬虫之极验滑动验证码的识别
了解极验滑动验证码、特点、识别思路、初始化、模拟点击、识别缺口、模拟拖动。
954 0
|
JSON 前端开发 JavaScript
富文本编辑器Ueditor实战(三)-springboot集成
通过本文,您可了解springboot如何集成ueditor,如何自定义扩展后端的文件上传功能。
930 0
富文本编辑器Ueditor实战(三)-springboot集成
|
存储 固态存储 安全
服务器硬件基础知识
服务器硬件基础知识
1040 1
|
机器学习/深度学习 计算机视觉
ICML 2024:人物交互图像,现在更懂你的提示词了,北大推出基于语义感知的人物交互图像生成框架
【8月更文挑战第30天】在计算机视觉和机器学习领域,人物交互图像生成一直充满挑战。然而,北京大学团队在ICML 2024上提出的SA-HOI(Semantic-Aware Human Object Interaction)框架带来了新突破。该框架通过评估人物姿态质量和检测交互边界区域,结合去噪与细化技术,显著提升了生成图像的合理性与质量。广泛实验表明,SA-HOI在多样化和细粒度的人物交互类别上表现出色,为该领域提供了新的解决方案。尽管存在数据集质量和计算复杂度等局限,未来仍有很大改进空间和应用潜力。
258 3
|
存储 缓存 前端开发
【硬件知识】了解服务器基础硬件组成
【硬件知识】了解服务器基础硬件组成
1023 1
单模、多模能混合使用吗?这篇给您讲明白!
单模、多模能混合使用吗?这篇给您讲明白!
326 5
|
机器学习/深度学习 算法 TensorFlow
【深度学习】基于卷积神经网络(tensorflow)的人脸识别项目(一)
【深度学习】基于卷积神经网络(tensorflow)的人脸识别项目(一)
468 0
【深度学习】基于卷积神经网络(tensorflow)的人脸识别项目(一)