SentinelOne 的入侵指标 (IoC)

简介: SentinelOne 的入侵指标 (IoC) 数据来源包括威胁情报、安全日志监控、网络流量分析、端点安全解决方案、文件扫描工具及云服务集成等。通过这些来源,SentinelOne 能生成准确的 IoC,有效检测和应对潜在威胁。其 Deep Visibility™ 和 STAR 自定义规则可进一步增强威胁预测与缓解能力,同时 reputation 引擎通过哈希值信誉检查实现动态黑名单更新,全面提升防护水平。

SentinelOne 的入侵指标 (IoC) 数据来源来自各种旨在检测和分析潜在安全威胁的方法和工具。这些来源包括:

威胁情报

:IoC 是通过威胁情报创建的,威胁情报涉及收集和分析有关新出现或现有威胁的信息。此类情报可以来自各种来源,包括第三方信息和专有研究。

监控安全日志

:监控来自各种系统和应用程序的安全日志,以识别可能表明存在入侵的可疑活动。这些日志为生成 IoC 提供了宝贵的数据。

分析网络流量

:网络监控工具,例如入侵检测系统 (IDS) 和安全信息和事件管理 (SIEM) 系统,用于检测异常流量模式、与已知恶意 IP 地址或域的连接以及正在使用的意外协议或端口。

端点安全解决方案

:使用端点安全解决方案(如端点检测和响应 (EDR) 或扩展检测和响应 (XDR) 工具)监控基于主机的活动。这些解决方案有助于识别可疑文件活动、进程或系统配置更改。

文件扫描工具

:通过文件扫描工具(包括 EDR 软件和沙盒工具)检测系统中是否存在恶意文件或恶意软件。这些工具会分析文件哈希、文件名和路径,以查找恶意内容的迹象。

Singularity XDR 中的 PowerQuery

:SentinelOne 的 Singularity XDR 平台使用 PowerQuery 分析数据并识别 IoC。PowerQuery 允许跨主机汇总数据,识别勒索软件哈希、网络连接量和按端点划分的首要威胁指标。

云服务和外部配置集成

:Slack 等平台上的讨论表明,SentinelOne 还将云资产和配置视为其 IoC 数据源的一部分。这包括与 AWS 等云服务集成并分析云库存信息以查找入侵迹象。

这些来源共同使 SentinelOne 能够通过生成准确且可操作的 IoC 来有效地检测、分析和应对潜在的安全威胁。

威胁情报是您收集、处理和分析的数据,以便更好地了解威胁行为者的动机、目标和攻击行为。利用这些信息,您可以快速做出明智的决策,以保护自己免受未来威胁行为者的侵害。

威胁情报和STAR 自定义规则

使用入侵指标 (IoC) 信息与Deep Visibility™数据和STAR Custom Rules自定义规则来预测和缓解威胁。

您可以通过API接口方式,调用您的私有IoC存储库,它允许您使用哈希、IP 地址、URL 和域名等指标从您的私有 IoC 数据库中创建、查看、更新和删除 IoC。

您可以更新的私有IoC存储库范围,取决于您的SentineOne管理员账号权限范围,如您的账号属于哪个account、site或group,您的私有IoC存储库只能在这个范围内使用。

添加 IOC 后,它们会集成到 Deep Visibility 中,可以使用 IndicatorName、IndicatorDescription 等进行搜索。由于检测到的事件将在 Deep Visibility 中具有与其关联的自定义指标,因此可以将其集成到 STAR 规则中,您可以在其中决定检测到时如何处理它们。

配置STAR 自定义规则以生成警报和缓解规则。这些规则由与您的威胁情报数据库匹配的新事件触发。当一个进程生成多个具有相同指标 ID 的命中时,会发生单个事件。当一个进程生成多个具有不同指标 ID 的命中时,会发生多个事件。

威胁情报和Deep Visibility™

当威胁事件或警报发送到Deep Visibility 云数据库时,详细信息将与威胁情报数据库中的条目进行比较。如果找到匹配项,则搜索中将显示新的威胁情报指标事件,并生成指向该事件的链接。

6.png

与 IoC 匹配的元数据包含以下数据:

IoC 类别(DNS、SHA1)风险评分(低、中、高)Feed name(AlienVault、InfraGard)威胁家族(恶意软件、网络钓鱼)

Deep Visibility™查询在事件详细信息中显示丰富的数据。

reputation引擎

SentinelOne 的reputation引擎工作流程如下:

SentinelOne agent每隔60秒向SentinelOne云端检查一次reputation引擎是否有更新;当SentinelOne agent保护的终端上对文件进行检查时,会将该文件哈希与本地存储在agent上的已知哈希列表进行比较,如果不匹配,则允许使用静态和行为引擎扫描该文件;哈希值信息被发送到管理控制台,然后被发送到云端进行“信誉检查”;如果SentinelOne云中有关于此哈希的信息,则会在控制台中更新该黑名单,然后在agent中更新;如果哈希信息在SentinelOne云中更新,在7天内,agent的黑名单就会更新。

7.png


上海甫连信息技术有限公司

DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis | Onfido

SentinelOne的新logo.jpg

目录
相关文章
|
网络协议 数据安全/隐私保护 网络架构
软路由R4S+iStoreOS实现公网远程桌面局域网内电脑
软路由R4S+iStoreOS实现公网远程桌面局域网内电脑
1348 0
|
NoSQL 安全 MongoDB
MongoDB 未授权访问漏洞利用
MongoDB 未授权访问漏洞利用
3568 0
|
机器学习/深度学习 人工智能 自然语言处理
人工智能大模型可以产生自我意识吗?
在科技领域,人工智能(AI)已经成为一种日益强大的力量。特别是,随着计算能力的提高和大数据的发展,大型AI模型已经在许多任务上超越了人类的表现,包括图像识别、自然语言处理和围棋等复杂游戏。然而,这些模型是否具有自我意识,这是一个长久以来一直困扰科学家和哲学家的问题。本文将探讨这个问题,分析大型AI模型是否可能产生自我意识。
737 0
|
弹性计算 JavaScript Ubuntu
WebSocket协议相关的测试命令工具使用简介
本文介绍了针对WebSocket的测试工具wscat和websocat的基本使用方法,以及通过curl命令测试HTTP/HTTPS协议的方式。对于WebSocket,直接使用curl测试较为复杂,推荐使用wscat或websocat。文中详细说明了这两种工具的安装步骤、常用参数及连接示例,例如在ECS上开启8080端口监听并进行消息收发测试。此外,还提供了curl命令的手动设置头部信息以模拟WebSocket握手的示例,但指出curl仅能作为客户端测试工具,无法模拟服务器。
3975 5
|
4月前
|
人工智能 JavaScript 机器人
QQ接入openclaw 保姆级教程
不用代码基础,不用复杂配置,低成本使用windows电脑安装openclaw,接入QQ机器人,实现轻松养龙虾,让QQ变成你的AI智能助手。
1355 5
|
5月前
|
人工智能 安全 机器人
2026年阿里云部署OpenClaw(原Clawdbot)一键接入QQ保姆级教程
2026年,AI自动化工具与国民级社交平台的深度融合,成为个人提效与轻量协作的新趋势。OpenClaw(前身为Clawdbot、Moltbot)作为阿里云生态下开源、轻量化的AI自动化代理工具,凭借“零编程基础、全场景适配、高扩展性”的核心优势,成为个人与中小企业构建专属AI助手的首选;而QQ作为覆盖全年龄段、高渗透率的社交工具,广泛应用于日常沟通、文件传输、群聊协作等场景,是天然的指令交互入口。
1525 1
|
11月前
|
存储 弹性计算 运维
AI 时代下阿里云基础设施的稳定性架构揭秘
十五年磨一剑,稳定性为何是今天的“命门”?
1287 151
|
存储 SQL 关系型数据库
PolarDB架构
PolarDB分布式版产品架构
853 2

热门文章

最新文章