SentinelOne Deep Visibility 离线数据处理详细说明

SentinelOne Deep Visibility是强大的EDR工具，可以进行威胁的根本原因分析和详细的洞察，从而更好为您的企业提供保护。
SentinelOne Deep Visibility为您提供竞争视角所需的查询信息。这减少了手动调查，并收集了足够的数据，让您优化个人知识库和程序。如果某些事情从您的预防安全网中溜走，Deep Visibility会更进一步，一键快速响应。
直观的数据搜索和基于假设的搜寻：我们使用最佳的、定期更新的网络知识为预定义查询创建了自己的查询语言。
Storyline 主动响应 (STAR) 监视列表：专利的Storyline™每天每时每刻自动跟踪所有操作系统关系（无论是良性的还是恶意的）。这些规则会不断寻找与您最相关的场景。
响应式 IOC 搜寻：需要澄清的是，“威胁搜寻”并非威胁搜索或事件响应。它是一种旨在在网络中的对手发动新的攻击活动之前找到他们的实践。
具有竞争力的数据保留：我们的长期数据保留产品可在最极端的情况下拯救您的组织。通过保留您的数据长达一年（或更长时间），可以防止数据丢失。这对于随时可能发动攻击的逻辑炸弹来说至关重要。
Deep Visibility离线数据
DV数据数据如此重要，有客户就问，如果客户端离线了，那么DV数据会怎么样呢？是不是这段数据就会丢失了？这在SentinelOne对外公开的知识库中解释地相当模糊，我们通过联系原厂的技术支持，找到了后台工程师，才得到了关于这一问题的详细解释。
原来根据不同的客户端操作系统，DV离线数据的保留方式也不相同。先说在Mac OS上，当Mac终端离线后，会在本地存储50个数据包，而每个数据包可以保存1000个事件（event），或者是5分钟内的数据为一个数据包。比如该数据包已经存够1000个事件了，那么就会完成再存下一个数据包，如果过了5分钟还不到1000个事件，那么就会将这5分钟的数据封装为一个数据包。这样共保存50个数据包，后面的数据将不再保存。等终端重新上线后将这些保存的数据上传到SentinelOne数据湖。
这里5分钟的时间参数是默认值，可以通过命令来进行配置：
sudo sentinelctl config DeepVisibility SendEventsInterval number-of-seconds其他两个参数50个数据包和1000个事件是不能配置的。
再来说下linux系统的客户端，时间参数的默认值是3分钟，其他两个值与Mac系统相同；linux系统中时间参数和事件数1000都是可以配置的，50个数据包仍然不可配置。
通过Policy Override来进行配置，设置路径如下图：

在第11步填写以下参数：
1{
2 "dv_packet_report_interval": positive_int,
3 "dv_number_of_events_in_packet": positive_int
4 }
最后说下windows系统，其默认的配置为15000个数据包、3分钟、1000个事件。并且这三个参数都是可以配置的，使用命令行到安装目录下，例如：cd "c:\Program Files\SentinelOne\Sentinel Agent 23.4.4.223"
再使用命令，例如改时间参数为：
sentinelctl config deepVisibility.sendIntervalSeconds 25 -k "MY PASS PHRASE"
例如改数据包参数为：sentinelctl config deepVisibility.maxPacketsInQueue 10000 -k "MY PASS PHRASE"
例如改事件参数为：sentinelctlconfigagent.deepVisibility.maxEventsInPacket 2000 -k "MY PASS PHRASE"请注意，windows系统可以存储更多的离线DV数据，但这也需要更多的硬盘空间。

♚上海甫连信息技术有限公司
DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis | Netskope