SentinelOne对可疑驱动程序是怎么阻止的

本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
简介: 简介: SentinelOne 的可疑驱动程序阻止功能可防止恶意或可疑的已签名/未签名驱动程序加载,适用于 Windows 代理程序不同版本。从 23.4 版本起,可在管理控制台配置阻止设置,并通过 AI 引擎发送威胁警报。24.1 版本引入 Storyline™ 技术,增强攻击链检测与终止能力。该功能独立于保护模式运行,需启用防篡改功能以激活。默认设置会阻止所有可疑驱动程序,支持自定义规则,如仅阻止特定类别或哈希值列入阻止列表的驱动程序。关闭此功能后,仍可通过用户自定义阻止列表拦截特定驱动程序。

对于所有版本不超过 23.3 的 Windows 代理程序,系统会阻止可疑或恶意的未签名 / 已签名驱动程序加载,同时静态 AI 引擎会向管理控制台发出威胁警报。
从 Windows 代理程序 23.4 版本及管理系统 Z SP2 版本开始,您可以在管理控制台中配置这些驱动程序阻止设置。对于所有早于 23.4 版本的代理程序,管理控制台中的 “可疑驱动程序阻止” 设置不会对代理程序产生影响。
image.png

同样从 Windows 代理程序 23.4 版本及管理系统 Z SP2 版本开始,当驱动程序被阻止时,系统会通过新引擎向管理控制台的威胁页面发送威胁信息,内容包括:

  1. 已采取的缓解措施 - 驱动程序已阻止(预防性)
  2. 引擎 - 驱动程序阻止引擎
  3. 威胁指标 - 导致驱动程序被阻止的具体威胁指标
    image.png
    在驱动程序被预防性阻止后,您无法选择更多缓解措施,因为此时没有其他措施适用。

从 Windows 代理程序 24.1 版本开始,驱动程序阻止引擎为其释放器、加载器和安装程序属于同一攻击链(Storyline™)的驱动程序提供终止操作。

在端点上,会显示驱动程序已被阻止的通知,并且代理用户界面会在概览和威胁历史记录中显示被阻止的驱动程序。
image.png

可疑驱动程序阻止设置独立于策略中的保护模式运行。例如,即使您将 “恶意威胁” 和 “可疑威胁” 设置为检测模式,可疑驱动程序阻止功能仍会阻止可疑和恶意驱动程序加载,并且 “驱动程序已阻止(预防性)” 威胁将显示在威胁页面中。

可疑驱动程序阻止是一种防篡改引擎。因此,必须启用防篡改功能才能配置可疑驱动程序阻止。如果关闭防篡改功能,可疑驱动程序阻止也将被禁用。

若要配置可疑驱动程序阻止策略,请执行以下操作:

在 Sentinels 工具栏中,点击 “策略”。
在代理设置中,确保 “可疑驱动程序阻止” 已启用。
注意:必须启用防篡改功能才能启用可疑驱动程序阻止。

默认情况下,Windows 代理程序会阻止所有可疑的已签名和未签名 Windows 驱动程序。这是推荐设置。

  1. (optional).若要仅阻止特定类别的 Windows 驱动程序,请点击 “所有驱动程序”,然后取消选择您不想阻止的驱动程序类别。
    image.png
    image.png

  2. 若要禁用可疑驱动程序阻止功能,请点击将其关闭。
    image.png

注意
当 “可疑驱动程序阻止” 功能关闭时,您仍可通过将特定驱动程序的哈希值添加到阻止列表来配置阻止规则。具体操作请参见《将哈希值添加到阻止列表》。
若 “可疑驱动程序阻止” 功能处于关闭状态,且某驱动程序因被列入阻止列表而被阻止加载时,系统会向管理控制台的威胁页面发送以下威胁信息:

  1. 已采取的缓解措施 - 已终止(预防性)

  2. 引擎 - 用户自定义阻止列表

  3. 威胁指标 - 已阻止来自 SentinelOne 拒绝列表的驱动程序
    ♚上海甫连信息技术有限公司DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis |HubSpot|
    image.png

目录
相关文章
|
Python Windows
win64系统安装32位的python解释器和打包成exe程序
本文说明了在win64系统环境下,如何安装32位的python解释器,同时对32位虚拟环境下运行的python程序进行打包,将其打包成可执行的exe程序,以图文相结合的方式记录了操作步骤,供大家参考。
898 0
|
API
JDK8函数式接口之BiConsumer
JDK8函数式接口之BiConsumer
249 0
|
存储 监控 安全
SentinelOne 的入侵指标 (IoC)
SentinelOne 的入侵指标 (IoC) 数据来源包括威胁情报、安全日志监控、网络流量分析、端点安全解决方案、文件扫描工具及云服务集成等。通过这些来源,SentinelOne 能生成准确的 IoC,有效检测和应对潜在威胁。其 Deep Visibility™ 和 STAR 自定义规则可进一步增强威胁预测与缓解能力,同时 reputation 引擎通过哈希值信誉检查实现动态黑名单更新,全面提升防护水平。
116 0
SentinelOne 的入侵指标 (IoC)
|
8月前
|
机器学习/深度学习 计算机视觉 异构计算
YOLOv11改进策略【模型轻量化】| 替换骨干网络 CVPR-2023 FasterNet 高效快速的部分卷积块
YOLOv11改进策略【模型轻量化】| 替换骨干网络 CVPR-2023 FasterNet 高效快速的部分卷积块
380 11
YOLOv11改进策略【模型轻量化】| 替换骨干网络 CVPR-2023 FasterNet 高效快速的部分卷积块
|
网络协议
怎么理解localhost,和127.0.0.1有什么区别
怎么理解localhost,和127.0.0.1有什么区别
|
存储 数据可视化 数据挖掘
R语言绘制圈图、环形热图可视化基因组实战:展示基因数据比较
R语言绘制圈图、环形热图可视化基因组实战:展示基因数据比较
|
12月前
|
Kubernetes Linux 容器
解决删除快照后启动虚拟机显示指定的文件不是虚拟磁盘 打不开磁盘“路径”或它所依赖的某个快照磁盘。 模块“disk”启动失败。 未能启动虚拟
解决删除快照后启动虚拟机显示指定的文件不是虚拟磁盘 打不开磁盘“路径”或它所依赖的某个快照磁盘。 模块“disk”启动失败。 未能启动虚拟
1120 2
|
存储 搜索推荐 Linux
CDN服务器真实地址
Discover CDN server real IP addresses using Traceroute & Whois, CDN provider logs (with provider cooperation), analyzing HTTP headers, online tools, or the ping command. Note that CDN
667 0
|
存储 固态存储 安全
服务器硬件基础知识
服务器硬件基础知识
1040 1
|
机器学习/深度学习 人工智能 安全
SentinelOne监测中隔离的文件,人工如何取消隔离
SentinelOne 的 Agent 在终端设备上实时监测系统的活动,包括文件操作、网络通信、内存访问等, SentinelOne 使用人工智能和机器学习技术对监测到的活动进行行为分析,识别潜在的威胁,包括已知的恶意软件和未知的零日攻击。 基于行为分析和实时监测,SentinelOne 快速识别出可能的威胁,并进行准确的威胁分类,包括病毒、勒索软件、恶意脚本等。 SentinelOne 可以自动采取响应措施,如隔离受感染的设备、终止恶意进程、删除恶意文件等,以尽快减轻威胁带来的影响。当技术人员发现隔离的文件没有危害时,可以手动隔离。文章阐述了怎么手动撤销的过程。
1484 0
SentinelOne监测中隔离的文件,人工如何取消隔离