SentinelOne Deep Visibility 离线数据处理详细说明

本文涉及的产品
云原生网关 MSE Higress,422元/月
容器镜像服务 ACR,镜像仓库100个 不限时长
注册配置 MSE Nacos/ZooKeeper,182元/月
简介: SentinelOne Deep Visibility 是一款强大的EDR工具,支持威胁根源分析与详细洞察,保护企业安全。其功能包括直观数据搜索、基于假设的搜寻、Storyline主动响应监视列表、IOC威胁搜寻及竞争力数据保留。即使设备离线,DV仍能保存关键数据:Mac OS本地存50个数据包(1000事件/包或5分钟),Linux默认3分钟且部分参数可配置,Windows可存储多达15000数据包,所有参数均可调整。上海甫连信息技术有限公司提供相关技术支持。

SentinelOne Deep Visibility是强大的EDR工具,可以进行威胁的根本原因分析和详细的洞察,从而更好为您的企业提供保护。
SentinelOne Deep Visibility为您提供竞争视角所需的查询信息。这减少了手动调查,并收集了足够的数据,让您优化个人知识库和程序。如果某些事情从您的预防安全网中溜走,Deep Visibility会更进一步,一键快速响应。
直观的数据搜索和基于假设的搜寻:我们使用最佳的、定期更新的网络知识为预定义查询创建了自己的查询语言。
Storyline 主动响应 (STAR) 监视列表:专利的Storyline™每天每时每刻自动跟踪所有操作系统关系(无论是良性的还是恶意的)。这些规则会不断寻找与您最相关的场景。
响应式 IOC 搜寻:需要澄清的是,“威胁搜寻”并非威胁搜索或事件响应。它是一种旨在在网络中的对手发动新的攻击活动之前找到他们的实践。
具有竞争力的数据保留:我们的长期数据保留产品可在最极端的情况下拯救您的组织。通过保留您的数据长达一年(或更长时间),可以防止数据丢失。这对于随时可能发动攻击的逻辑炸弹来说至关重要。
Deep Visibility离线数据
DV数据数据如此重要,有客户就问,如果客户端离线了,那么DV数据会怎么样呢?是不是这段数据就会丢失了?这在SentinelOne对外公开的知识库中解释地相当模糊,我们通过联系原厂的技术支持,找到了后台工程师,才得到了关于这一问题的详细解释。
原来根据不同的客户端操作系统,DV离线数据的保留方式也不相同。先说在Mac OS上,当Mac终端离线后,会在本地存储50个数据包,而每个数据包可以保存1000个事件(event),或者是5分钟内的数据为一个数据包。比如该数据包已经存够1000个事件了,那么就会完成再存下一个数据包,如果过了5分钟还不到1000个事件,那么就会将这5分钟的数据封装为一个数据包。这样共保存50个数据包,后面的数据将不再保存。等终端重新上线后将这些保存的数据上传到SentinelOne数据湖。
这里5分钟的时间参数是默认值,可以通过命令来进行配置:
sudo sentinelctl config DeepVisibility SendEventsInterval number-of-seconds其他两个参数50个数据包和1000个事件是不能配置的。
再来说下linux系统的客户端,时间参数的默认值是3分钟,其他两个值与Mac系统相同;linux系统中时间参数和事件数1000都是可以配置的,50个数据包仍然不可配置。
通过Policy Override来进行配置,设置路径如下图:
1280X1280.JPEG
在第11步填写以下参数:
1{
2 "dv_packet_report_interval": positive_int,
3 "dv_number_of_events_in_packet": positive_int
4 }
最后说下windows系统,其默认的配置为15000个数据包、3分钟、1000个事件。并且这三个参数都是可以配置的,使用命令行到安装目录下,例如:cd "c:\Program Files\SentinelOne\Sentinel Agent 23.4.4.223"
再使用命令,例如改时间参数为:
sentinelctl config deepVisibility.sendIntervalSeconds 25 -k "MY PASS PHRASE"
例如改数据包参数为:sentinelctl config deepVisibility.maxPacketsInQueue 10000 -k "MY PASS PHRASE"
例如改事件参数为:sentinelctlconfigagent.deepVisibility.maxEventsInPacket 2000 -k "MY PASS PHRASE"请注意,windows系统可以存储更多的离线DV数据,但这也需要更多的硬盘空间。
微信截图_20240605152256.png
♚上海甫连信息技术有限公司
DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis | Netskope
长图.png

目录
相关文章
|
4月前
|
传感器 人工智能 安全
守护量子前沿:SentinelOne风投对 Infleqtion 的投资
SentinelOne 致力于通过人工智能驱动的安全解决方案,保护客户免受快速演变的威胁。随着计算技术从大型主机、个人电脑到云计算,再到量子计算的飞跃发展,S Ventures 与量子领域先驱 Infleqtion 合作,布局下一代计算技术。Infleqtion 的中性原子量子平台不仅在室温下实现可靠计算,还提供量子时钟和传感器等实际应用,为各个领域带来变革。 量子计算以超越传统架构的能力,推动人工智能、优化算法及网络安全的突破。然而,其潜在风险也不容忽视。SentinelOne 深知量子技术对安全的重要性,通过投资 Infleqtion,共同构建“量子安全”世界,确保未来数字创新的安全根基。
77 0
守护量子前沿:SentinelOne风投对 Infleqtion 的投资
|
安全 数据安全/隐私保护 Windows
【内网渗透】神器Mimikatz的入门简单实践
【内网渗透】神器Mimikatz的入门简单实践
1475 0
【内网渗透】神器Mimikatz的入门简单实践
|
弹性计算 负载均衡
阿里云负载均衡怎么配置?
很多人对负载均衡一头雾水,不知道怎么用,流程顺序的是什么的。根据本教程教大家如何使用阿里云的负载均衡······
20449 0
|
消息中间件 监控 数据挖掘
基于RabbitMQ与Apache Flink构建实时分析系统
【8月更文第28天】本文将介绍如何利用RabbitMQ作为数据源,结合Apache Flink进行实时数据分析。我们将构建一个简单的实时分析系统,该系统能够接收来自不同来源的数据,对数据进行实时处理,并将结果输出到另一个队列或存储系统中。
928 2
|
监控 数据挖掘 API
数据驱动选品:阿里巴巴商品详情API在电商选品中的应用
阿里巴巴开放平台提供了商品详情数据接口(item_get),用于获取商品标题、价格、品牌等信息。开发者需注册账号、构造请求、发送请求并处理响应。接口包括商品搜索、销售数量查询、历史价格、评论获取等功能。适用于选品、数据分析和价格监控。使用时注意遵守规则,保护API密钥,控制调用频率,并处理异常情况。1688平台有限制调用频率的规定,开发者应确保安全性和稳定性。通过[c0b.cc/R4rbK2]获取API测试账号和SDK。
|
JSON Java 测试技术
一篇文章讲明白JGit学习
一篇文章讲明白JGit学习
530 0
|
机器学习/深度学习 人工智能 安全
SentinelOne监测中隔离的文件,人工如何取消隔离
SentinelOne 的 Agent 在终端设备上实时监测系统的活动,包括文件操作、网络通信、内存访问等, SentinelOne 使用人工智能和机器学习技术对监测到的活动进行行为分析,识别潜在的威胁,包括已知的恶意软件和未知的零日攻击。 基于行为分析和实时监测,SentinelOne 快速识别出可能的威胁,并进行准确的威胁分类,包括病毒、勒索软件、恶意脚本等。 SentinelOne 可以自动采取响应措施,如隔离受感染的设备、终止恶意进程、删除恶意文件等,以尽快减轻威胁带来的影响。当技术人员发现隔离的文件没有危害时,可以手动隔离。文章阐述了怎么手动撤销的过程。
1484 0
SentinelOne监测中隔离的文件,人工如何取消隔离
|
存储 监控 Java
InfluxDB时序数据库安装和使用
InfluxDB时序数据库安装和使用
779 2
|
移动开发 前端开发 JavaScript
前端vue3——html2canvas给网站截图生成宣传海报
前端vue3——html2canvas给网站截图生成宣传海报
526 0