Questions fréquentes (FAQ)

La plateforme SentinelOne Singularity est un data lake révolutionnaire qui associe, au sein d’une plateforme centralisée, les composants de données, d’accès, de contrôle et d’intégration de nos technologies de détection/intervention (EDR), de protection des endpoints (EPP), de sécurité de l’Internet des objets (IoT) et de protection des charges de travail cloud (CWPP). Grâce à Singularity, tous les services de l’entreprise ont accès à des données backend via une solution unique qui, renforcée à l’aide d’une couche de sécurité autonome et en temps réel, leur offre une vue cohérente de leur réseau et des ressources qui s’y connectent.

SentinelOne fait régulièrement l’objet d’évaluations par de grands bureaux d’études et des tests indépendants. Voici quelques-unes de leurs conclusions :

• Gartner a désigné SentinelOne parmi les meilleures solutions de détection/intervention (EDR) selon les clients.
• Gartner a désigné SentinelOne parmi les meilleures plateformes de protection des endpoints (EPP) selon les clients.
• Rapport MITRE ATT&CK APT29 :
  • La plateforme SentinelOne Singularity a enregistré le plus grand nombre de détections de haute qualité combinées et le plus grand nombre de corrélations automatisées.
  • SentinelOne a regroupé toutes les données du test MITRE d’une durée de 3 jours en seulement 11 alertes de console, contenant chacune tous les détails. Il est préférable que la console de gestion affiche un nombre limité d’alertes ; Singularity regroupe donc les données pertinentes connexes, le contexte et la corrélation de façon claire et fiable, permettant ainsi aux analystes de comprendre plus facilement la situation et de réagir plus rapidement.
  • SentinelOne a enregistré le plus grand nombre de détections par outil seul et le plus grand nombre de détections assistées.

Les analystes se noient dans le volume de données et ne peuvent tout simplement pas faire face à la multitude de vecteurs d’attaque sophistiqués. SentinelOne aide à transformer les données en narrations, afin que les analystes puissent se concentrer sur les alertes les plus importantes.

SentinelOne participe à divers tests et a remporté de nombreuses récompenses. Voici un florilège des tests indépendants et distinctions récents :

• Rapport MITRE ATT&CK APT29 : Le plus grand nombre de détections de haute qualité combinées et le plus grand nombre de corrélations automatisées, le plus grand nombre de détections par outil seul et le plus grand nombre de détections assistées.
• La première et la seule solution de cybersécurité de nouvelle génération à obtenir la certification VB100 de Virus Bulletin. La certification VB100 est une distinction très respectée au sein des communautés de lutte contre les virus et les malwares, en raison de ses exigences rigoureuses en matière de tests.
• Gartner a désigné SentinelOne parmi les meilleures solutions de détection/intervention (EDR) selon les clients.
• Gartner a désigné SentinelOne parmi les meilleures plateformes de protection des endpoints (EPP) selon les clients.
• Le test de performance réalisé en janvier 2019 par Passmark comparait SentinelOne à plusieurs produits antivirus d’ancienne génération. Les tests ont montré que SentinelOne est plus performant que les autres fournisseurs lorsque l’agent est soumis à une charge élevée. En conditions d’utilisation normales, la charge du processeur est généralement inférieure à 5 %.

SentinelOne est une société privée soutenue par des sociétés de capital-risque de premier plan. SentinelOne a été fondé en 2013 et son siège social est situé à Mountain View, en Californie.

SentinelOne a été fondé en 2013.

SentinelOne et CrowdStrike sont considérés comme les deux solutions EDR/EPP dominantes sur le marché. SentinelOne offre des performances supérieures à CrowdStrike et l’a surpassé lors d’évaluations indépendantes récentes.

SentinelOne offre une solution EPP+EDR autonome à agent unique avec une couverture inégalée sur les systèmes d’exploitation Linux, MacOS et Windows. SentinelOne propose également en option un service MDR (Managed Detection and Response) appelé Vigilance. Contrairement à CrowdStrike, SentinelOne ne dépend pas d’analystes humains ou d’une connexion au cloud pour ses fonctionnalités de détection et d’intervention de pointe. En effet, il utilise un agent EDR actif (ActiveEDR) qui effectue une analyse avant et pendant l’exécution sur l’équipement pour détecter les menaces connues et inconnues et protéger les endpoints de façon autonome.

Oui, SentinelOne est conforme à la norme SOC2. Pour plus d’informations, consultez notre déclaration de sécurité.

Pour postuler auprès de SentinelOne, consultez nos offres d’emploi et envoyez-nous votre curriculum vitae via notre section Emplois.

Un logiciel de sécurité des endpoints est un programme installé sur les ordinateurs portables, les ordinateurs de bureau et/ou les serveurs qui les protège contre la multitude d’attaques susceptibles d’infecter un endpoint (malwares, exploits, attaques dynamiques, attaques par script, etc.) dans le but de voler des données, de tirer un profit financier ou de nuire de toute autre manière aux systèmes, aux personnes ou aux entreprises.

Un endpoint est une des extrémités d’un canal de communication. Il se réfère aux éléments d’un réseau qui ne se contentent pas de relayer les communications sur ses canaux, ou de les faire transiter d’un canal à l’autre. Un endpoint est l’endroit d’où proviennent les communications et où elles sont reçues.

Les serveurs sont considérés comme des endpoints, et la plupart des serveurs fonctionnent sous Linux. L’agent SentinelOne pour Linux offre le même niveau de sécurité pour les serveurs Linux que pour tous les autres endpoints.

Les solutions de sécurité des endpoints de nouvelle génération sont proactives. Elles anticipent et prédisent les menaces de plusieurs façons. En évaluant toute l’activité d’un réseau, tant dans le noyau que dans l’espace utilisateur, ces outils surveillent de près tout ce qui semble suspect. Les processus d’apprentissage automatique (machine learning) sont capables de prévoir avec précision où une attaque se produira. Les outils de sécurité peuvent avoir recours à des techniques telles que la surveillance hors bande pour renforcer la surveillance et détecter rapidement les virus, malwares et autres types d’attaques.

SentinelOne Endpoint Protection Platform (EPP) unifie la prévention, la détection et l’intervention sur incident au sein d’un agent unique spécialement conçu, optimisé par l’apprentissage automatique et l’automatisation. Cette solution prévient et détecte les attaques sur les principaux vecteurs, élimine rapidement les menaces grâce à des fonctionnalités d’intervention entièrement automatisées et pilotées par des stratégies, et offre une visibilité complète sur l’environnement d’endpoints à l’aide d’investigations numériques contextualisées et en temps réel.

Les agents SentinelOne se connectent à la console de gestion, qui gère à elle seule tous les aspects du produit et toutes ses fonctionnalités, éliminant ainsi la nécessité d’outils et de modules complémentaires distincts.

La meilleure protection des endpoints s’obtient en combinant l’analyse statique et comportementale par intelligence artificielle au sein d’un agent autonome. Cet agent défend l’endpoint contre les malwares avec fichiers, les attaques sans fichier, les scripts malveillants et les exploits de mémoire, que l’endpoint soit en ligne ou hors ligne.

SentinelOne Endpoint Protection Platform a été évalué par MITRE ATT&CK Round 2 le 21 avril 2020. Il a enregistré le plus petit nombre d’erreurs de non-détection, ainsi que le plus grand nombre de détections de haute qualité combinées et de détections corrélées. Il est important de noter que SentinelOne ne s’appuie pas sur une analyse humaine et qu’il déjoue les attaques grâce à une approche EDR active autonome.

La fonctionnalité ActiveEDR permet de suivre et de contextualiser toutes les activités sur un équipement. Elle peut non seulement identifier les actes de malveillance en temps réel, mais elle automatise également les interventions requises et simplifie la traque des menaces en permettant aux analystes d’effectuer des recherches sur un seul indicateur de compromission.

L’agent SentinelOne est un logiciel déployé sur chaque endpoint (ordinateur de bureau, ordinateur portable, serveur ou environnement virtuel) et qui fonctionne de façon autonome sur chaque équipement, sans dépendre d’une connexion Internet. L’agent réside au niveau du noyau et surveille tous les processus en temps réel. Ce processus est assuré par notre moteur DBT (Dynamic Behavior Tracking) et permet aux utilisateurs de voir exactement ce qui s’est passé sur un endpoint à chaque étape de l’exécution. Ils ont ainsi accès à des informations pertinentes telles que l’origine, le « patient zéro », les activités des processus et des fichiers, les événements du registre, les connexions réseau et les données d’investigation numérique.

La mise en œuvre des mesures de sécurité des endpoints nécessite le déploiement d’agents SentinelOne sur tous les endpoints d’une entreprise. Les équipes de sécurité peuvent surveiller les alertes, traquer les menaces et appliquer des stratégies locales et générales aux équipements de l’entreprise.

Non, la solution de sécurité des endpoints n’est pas un antivirus. L’antivirus est une ancienne technologie obsolète qui repose sur les signatures de fichiers des malwares. La solution de sécurité des endpoints SentinelOne n’utilise pas les signatures antivirus traditionnelles pour repérer les attaques malveillantes. Elle utilise une combinaison d’analyse statique fondée sur l’apprentissage automatique et d’analyse comportementale dynamique pour protéger les systèmes. Tous les fichiers sont évalués en temps réel avant et pendant leur exécution. Comme la technologie SentinelOne n’utilise pas de signatures, les clients n’ont pas à se soucier de mises à jour utilisant la bande passante réseau de façon intensive ou des analyses quotidiennes des disques durs des systèmes locaux, gourmandes en entrées-sorties.

Norton et Symantec sont des solutions antivirus d’ancienne génération. Comme beaucoup d’autres, elles ont recours aux signatures pour identifier les menaces. La solution de sécurité des endpoints SentinelOne n’utilise pas les signatures antivirus traditionnelles pour repérer les attaques malveillantes. Elle utilise une combinaison d’analyse statique fondée sur l’apprentissage automatique et d’analyse comportementale dynamique pour protéger les systèmes. Tous les fichiers sont évalués en temps réel avant et pendant leur exécution. Comme la technologie SentinelOne n’utilise pas de signatures, les clients n’ont pas à se soucier de mises à jour utilisant la bande passante réseau de façon intensive ou des analyses quotidiennes des disques durs des systèmes locaux, gourmandes en entrées-sorties.

La plateforme SentinelOne utilise une technologie brevetée pour protéger les entreprises des cybermenaces. Elle met en œuvre une approche multivectorielle, qui s’appuie notamment sur des technologies d’analyse statique pré-exécution pilotées par intelligence artificielle, qui remplacent l’application antivirus.

SentinelOne a également recours à des analyses comportementale à l’exécution, reposant elles aussi sur l’intelligence artificielle, qui détectent les actions anormales en temps réel, notamment les attaques sans fichier, les exploits, les macros malveillantes, les scripts malveillants, les cryptomineurs, les ransomwares ainsi que d’autres attaques.

SentinelOne offre en outre de nombreuses fonctionnalités d’intervention : alerte, suppression, mise en quarantaine, correction des modifications indésirables, restauration de Windows à l’état antérieur pour récupérer les données, confinement réseau, shell distant et bien plus encore. Celles-ci sont déclenchées en quelques millisecondes afin de neutraliser les attaques et réduire la durée d’implantation à un niveau proche de zéro.

L’agent SentinelOne offre une protection même lorsqu’il est hors ligne. L’agent assure une protection contre les malwares lorsque l’équipement est déconnecté d’Internet. Cependant, la visibilité et les fonctionnalités d’administration disponibles dans la console seront indisponibles jusqu’à ce que l’équipement soit à nouveau en ligne.

Les antivirus ont été conçus il y a plus de dix ans et le paysage des menaces a totalement changé au cours des dernières années. SentinelOne est une plateforme de protection des endpoints, ce qui signifie qu’il est supérieur aux solutions antivirus traditionnelles basées sur les signatures et les remplace avantageusement.

Oui. Vous pouvez, et c’est d’ailleurs recommandé, utiliser SentinelOne pour remplacer votre solution antivirus actuelle. Il est possible d’exécuter simultanément Microsoft Defender et SentinelOne si vous le souhaitez.

SentinelOne a été conçu comme un remplacement complet de votre solution antivirus. Un environnement d’entreprise doit idéalement compter le moins d’agents possible. SentinelOne offre de nombreuses fonctionnalités qui permettent aux clients d’ajouter notre produit, puis de retirer l’antivirus traditionnel. SentinelOne peut également remplacer les produits d’analyse du trafic réseau traditionnels, les appliances de visibilité réseau (p. ex. Forescout) et les plateformes de traque des menaces dédiées.

L’agent SentinelOne est conçu pour fonctionner en ligne comme hors ligne. L’agent présent sur l’endpoint effectue une analyse statique et une analyse comportementale dynamique avant et pendant l’exécution.

Ces deux méthodes sont les principales méthodes de prévention et de détection utilisées et ne nécessitent pas de connexion Internet. Toutefois, lorsque l’agent est en ligne, en plus des vérifications locales, il peut également envoyer une requête au cloud SentinelOne pour des vérifications supplémentaires.

SentinelOne utilise plusieurs moteurs en cascade (analyse de réputation, StaticAI et ActiveEDR) pour prévenir et détecter différents types d’attaques à différentes phases.

SentinelOne est conçu pour prévenir toutes sortes d’attaques, notamment celles transmises par des malwares. Le composant de protection des endpoints (EPP) de SentinelOne utilise l’analyse statique (StaticAI) pour examiner les fichiers exécutables avant l’exécution, en ligne ou hors ligne. Ce processus dispense du recours aux signatures traditionnelles, qui sont facilement contournées, nécessitent une mise à jour constante et nécessitent des analyses gourmandes en ressources sur l’équipement.

Le moteur SentinelOne effectue également l’analyse des fichiers PDF, des documents Microsoft OLE (anciennes versions de Microsoft Office) et des formats XML Microsoft Office (versions modernes de Microsoft Office), ainsi que d’autres types de fichiers pouvant contenir du code exécutable. La fonctionnalité StaticAI est conçue pour détecter les malwares courants et certains nouveaux malwares grâce à un modèle compact d’apprentissage automatique sur agent qui remplace les grandes bases de données de signatures utilisées dans les anciens produits antivirus.

Non, les algorithmes d’apprentissage automatique de SentinelOne ne sont pas configurables.

Les clients ne peuvent pas personnaliser l’algorithme d’apprentissage automatique de l’intelligence artificielle, et il n’est pas nécessaire d’« entraîner » l’intelligence artificielle dans votre environnement.

En effet, l’équipe sciences des données de SentinelOne entraîne nos modèles d’apprentissage automatique/intelligence artificielle dans notre laboratoire de développement afin d’optimiser la détection et la protection, et réduire le taux de faux positifs. Ces nouveaux modèles sont introduits périodiquement dans le cadre de la mise à jour du code de l’agent.

Oui, SentinelOne peut détecter les attaques en mémoire.

SentinelOne est intégré avec la technologie matérielle Intel® Threat Detection Technology (Intel TDT) pour des fonctionnalités accélérées d’analyse de la mémoire.

SentinelOne est essentiellement une solution SaaS. Nous offrons à nos clients le choix de gérer le service sous forme de cloud hébergé sur Amazon AWS ou en tant qu’appliance virtuelle sur site. Cependant, la logique de prévention, de détection et d’intervention des agents SentinelOne est exécutée localement sur l’agent, ce qui signifie que nos agents et notre capacité de détection ne dépendent pas du cloud.

Contrairement aux produits d’autres éditeurs, l’agent SentinelOne n’a pas besoin d’envoyer des données dans le cloud pour rechercher les indicateurs d’attaque, ni d’envoyer du code dans un sandbox cloud pour une analyse dynamique.

Les approches axées sur le cloud des autres éditeurs introduisent un long délai entre l’infection, la détection via le cloud et l’intervention, si bien que l’infection peut s’être propagée ou les attaquants peuvent avoir déjà atteint leurs objectifs au moment de l’intervention.

SentinelOne propose des clients pour Windows, macOS et Linux, y compris les systèmes d’exploitation en fin de support tels que Windows XP.

SentinelOne peut être installé sur toutes les stations de travail et tous les environnements pris en charge.

SentinelOne peut remplacer totalement les solutions antimalware traditionnelles ou fonctionner conjointement avec elles. Vous pouvez désinstaller l’ancien système antivirus ou le conserver. La décision vous revient.

L’agent SentinelOne ne ralentit pas l’endpoint sur lequel il est installé. Notre agent est conçu pour avoir le moins d’impact possible sur l’utilisateur final, tout en assurant une protection efficace en ligne et hors ligne.

Contrairement aux autres produits antimalware qui nécessitent des mises à jour constantes des signatures de fichiers .dat et des analyses quotidiennes des disques, notre agent utilise une analyse de fichiers statique et une analyse comportementale, toutes deux pilotées par intelligence artificielle, qui permettent de limiter l’utilisation du processeur et de la mémoire ainsi que les E/S de disque. Les endpoints des utilisateurs finaux sont ainsi plus performants. La consommation des ressources système varie en fonction de la charge de travail du système.

Oui, SentinelOne peut s’adapter pour protéger les environnements de grande taille. Certains de nos clients comptent plus de 150 000 endpoints dans leur environnement.

Pour désactiver SentinelOne, utilisez la console de gestion. Les fonctions de l’agent peuvent être modifiées à distance de plusieurs façons, notamment en démarrant et en arrêtant l’agent, ou en lançant une désinstallation complète si nécessaire.

La console de gestion est utilisée pour gérer tous les agents. Les fonctions de l’agent peuvent être modifiées à distance de plusieurs façons, notamment en démarrant et en arrêtant l’agent, ou en lançant une désinstallation complète si nécessaire.

Non, vous n’avez pas besoin d’une équipe de sécurité nombreuse pour installer et maintenir SentinelOne.

Nos clients consacrent généralement un équivalent temps plein par 100 000 nœuds gérés. Cela peut varier en fonction des besoins de l’entreprise. Cette estimation peut également augmenter ou diminuer en fonction du volume d’alertes de sécurité dans l’environnement.

Le service en option Vigilance de SentinelOne peut renforcer votre équipe avec les analystes en cybersécurité de SentinelOne qui travaillent avec vous pour accélérer la détection des menaces, la priorisation et l’intervention. Les clients qui choisissent de travailler avec Vigilance constateront une réduction significative du nombre d’heures hebdomadaires requises de leur propre personnel.

Oui, SentinelOne peut s’intégrer avec d’autres logiciels de sécurité des endpoints.

SentinelOne propose actuellement les intégrations suivantes :

• Splunk SIEM et Splunk Cloud
• Qradar SIEM
• Logrythm SIEM
• Slack
• ServiceNow
• Joe Sandbox
• Palo Alto Wildfire
• ServiceNow

SentinelOne a été conçu pour remplacer totalement l’antivirus sous la forme d’une solution EPP/EDR unique.  Un environnement d’entreprise doit idéalement compter le moins d’agents possible. SentinelOne offre de nombreuses fonctionnalités qui permettent aux clients d’ajouter notre produit, puis de retirer l’antivirus traditionnel.

SentinelOne propose actuellement les intégrations suivantes :

• Splunk SIEM et Splunk Cloud
• Qradar SIEM
• Logrythm SIEM
• Slack
• Joe Sandbox
• Palo Alto Wildfire
• ServiceNow

SentinelOne s’intègre facilement avec les outils d’analyse de données tels que les SIEM, soit par le biais des flux syslog, soit via notre API. Nous proposons plusieurs intégrations SIEM basées sur des applications, notamment :

• Splunk
• QRadar
• LogRhythm

La plateforme de SentinelOne repose sur un modèle axé sur les API, qui constitue l’un de nos principaux différentiateurs sur le marché.

Cela signifie que nos développeurs créent de nouvelles API de fonction de produit avant de coder quoi que ce soit d’autre. La plupart des fonctions de l’interface utilisateur ont une API destinée aux clients. En raison du chevauchement important entre l’interface utilisateur et l’API, la solution SentinelOne peut être exécutée en tant que produit individuel (via l’interface utilisateur) ou peut être un composant important de votre pile de sécurité via l’API.

L’API SentinelOne est une API REST et comprend plus de 300 fonctions permettant une intégration bidirectionnelle avec d’autres produits de sécurité. Toutes les API sont bien documentées directement au sein de l’interface utilisateur grâce au référencement d’API Swagger et offrent aux développeurs la possibilité de tester leur code.

SentinelOne offre un SDK (kit de développement logiciel) gratuit pour l’abstraction de l’accès aux API.

Le SDK SentinelOne, ainsi que sa documentation, est disponible pour tous les clients SentinelOne directement depuis la console de gestion.

Oui, vous pouvez obtenir une version d’évaluation de SentinelOne. Vous pouvez demander une démonstration gratuite via cette page Web : https://fr.sentinelone.com/request-demo/

Les prix de SentinelOne varient en fonction du nombre d’agents d’endpoint déployés.

SentinelOne Singularity est une plateforme de cybersécurité de nouvelle génération unique en son genre. SentinelOne Singularity est un data lake révolutionnaire qui associe, au sein d’une plateforme centralisée, les composants de données, d’accès, de contrôle et d’intégration de nos technologies de détection/intervention (EDR), de protection des endpoints (EPP), de sécurité de l’Internet des objets (IoT) et de protection des charges de travail cloud (CWPP). Grâce à Singularity, tous les services de l’entreprise ont accès à des données backend via une solution unique qui, renforcée à l’aide d’une couche de sécurité autonome et en temps réel, leur offre une vue cohérente de leur réseau et des ressources qui s’y connectent.

Contrairement aux autres produits de nouvelle génération, SentinelOne est la première offre de sécurité à passer d’une protection native au cloud mais autonome, à une plateforme de cybersécurité complète (avec la même base de code unique et le même modèle de déploiement). C’est aussi la première à intégrer l’Internet des objets (IoT) et la protection des charges de travail cloud (CWPP) dans une plateforme de détection et d’intervention étendue (XDR).

Singularity est une plateforme facile à gérer qui assure la prévention, la détection, l’intervention et la traque des menaces dans le contexte de toutes les ressources de l’entreprise. Vous voyez enfin ce qui n’était pas visible auparavant et contrôlez l’inconnu. Il s’agit de la seule plateforme avec technologie d’intelligence artificielle qui offre une traque des menaces avancée et une visibilité complète sur tous les équipements, virtuels ou physiques, sur site ou dans le cloud.

Vigilance est le service MDR (Managed Detection and Response) de SentinelOne. Disponible sur abonnement pour les clients SentinelOne, il offre un service complémentaire de surveillance des menaces, de traque et d’intervention.

Il dispose d’un centre SOC opérationnel 24/7, avec des analystes et des chercheurs chevronnés, et offre aux clients une surveillance des menaces en temps quasi réel, des annotations sur les menaces dans la console et une capacité d’intervention sur les menaces et les événements suspects (dans le cas du niveau de service Premium).

Vous trouverez plus d’informations sur SentinelOne Vigilance ici.

SentinelOne Ranger est une technologie de découverte et de confinement des équipements non approuvés.

Il permet de découvrir les équipements non gérés ou non approuvés de manière passive et active. En cas de découverte d’équipements non approuvés, Ranger peut alerter l’équipe de sécurité de leur présence et protéger les équipements gérés (tels que les stations de travail et les serveurs) contre les risques qu’ils posent.

Vous trouverez plus d’informations sur SentinelOne Ranger ici.

SentinelOne Ranger est une technologie de découverte et de confinement des équipements non approuvés.

Il permet de découvrir les équipements non gérés ou non approuvés de manière passive et active. En cas de découverte d’équipements non approuvés, Ranger peut alerter l’équipe de sécurité de leur présence et protéger les équipements gérés (tels que les stations de travail et les serveurs) contre les risques qu’ils posent.

Vous trouverez plus d’informations sur SentinelOne Ranger ici.

SentinelOne Singularity est une plateforme de cybersécurité de nouvelle génération unique en son genre. SentinelOne Singularity est un data lake révolutionnaire qui associe, au sein d’une plateforme centralisée, les composants de données, d’accès, de contrôle et d’intégration de nos technologies de détection/intervention (EDR), de protection des endpoints (EPP), de sécurité de l’Internet des objets (IoT) et de protection des charges de travail cloud (CWPP). Grâce à Singularity, tous les services de l’entreprise ont accès à des données backend via une solution unique qui, renforcée à l’aide d’une couche de sécurité autonome et en temps réel, leur offre une vue cohérente de leur réseau et des ressources qui s’y connectent.

Contrairement aux autres produits de nouvelle génération, SentinelOne est la première offre de sécurité à passer d’une protection native au cloud mais autonome, à une plateforme de cybersécurité complète (avec la même base de code unique et le même modèle de déploiement). C’est aussi la première à intégrer l’Internet des objets (IoT) et la protection des charges de travail cloud (CWPP) dans une plateforme de détection et d’intervention étendue (XDR).

Singularity est une plateforme facile à gérer qui assure la prévention, la détection, l’intervention et la traque des menaces dans le contexte de toutes les ressources de l’entreprise. Vous voyez enfin ce qui n’était pas visible auparavant et contrôlez l’inconnu. Il s’agit de la seule plateforme avec technologie d’intelligence artificielle qui offre une traque des menaces avancée et une visibilité complète sur tous les équipements, virtuels ou physiques, sur site ou dans le cloud.

SentinelOne DeepVisibility est un composant intégré de l’agent SentinelOne qui collecte les informations auprès des agents et les transfère à la console de gestion de SentinelOne. Ces données permettent aux équipes de sécurité et aux administrateurs de rechercher les indicateurs de compromission et de traquer les menaces.

Oui, vous pouvez utiliser SentinelOne pour l’intervention sur incident.

SentinelOne offre des fonctionnalités de correction et de restauration à l’état antérieur révolutionnaires, brevetées par le Bureau américain des brevets et des marques. SentinelOne ActiveEDR suit et contrôle tous les processus qui se chargent directement dans la mémoire sous forme d’un ensemble de « narrations » connexes.

L’agent conserve un historique local de ces relations contextuelles entre processus et de toute modification système qui y est liée. En maintenant le contexte de la narration pendant toute la durée d’exécution du logiciel, l’agent peut déterminer quand les processus deviennent malveillants, puis exécuter l’intervention spécifiée dans la stratégie de gestion.

Si la stratégie prévoit une correction automatique ou si l’administrateur déclenche manuellement la correction, l’agent dispose du contexte historique lié à l’attaque et utilise ces données pour gérer la menace et nettoyer le système des artefacts de code malveillant indésirables. En bref, l’agent comprend ce qui s’est passé en rapport avec l’attaque et rejoue l’attaque à l’envers pour supprimer les modifications non autorisées.

SentinelOne prend en charge le framework MITRE ATT&CK en tirant parti de notre moteur comportemental dynamique pour exposer le comportement des processus sur les endpoints protégés.

Pour vous permettre d’utiliser plus facilement et rapidement ces connaissances, nous calquons nos indicateurs comportementaux sur le framework MITRE ATT&CK.

Vous pouvez créer des requêtes prêtes à l’emploi et rechercher les caractéristiques MITRE ATT&CK sur l’ensemble de vos endpoints. Avec SentinelOne, tout ce dont vous avez besoin est l’ID MITRE ou une autre chaîne de la description, la catégorie, le nom ou les métadonnées.

SentinelOne a été évalué par MITRE ATT&CK Round 2 le 21 avril 2020. Il a enregistré le plus petit nombre d’erreurs de non-détection, ainsi que le plus grand nombre de détections de haute qualité combinées et de détections corrélées.

SentinelOne offre plusieurs types d’intervention pour contrer les ransomwares, notamment :

• Possibilité d’arrêter les processus incriminés
• Mise en quarantaine des fichiers et des scripts
• Correction (inversion) des modifications non souhaitées
• Restauration des systèmes Windows à leur état antérieur
• Confinement réseau automatique ou manuel des équipements, tout en préservant la capacité de l’administrateur à maintenir l’interaction avec les endpoints via la console ou notre API REST.

Oui, les ransomwares constituent une menace très importante. Selon le rapport d’enquête 2020 sur les compromissions de données de Verizon (2020 Verizon DBIR), plus d’un quart des compromissions de données impliquant des malwares étaient imputables à des ransomwares.

SentinelOne est conçu pour protéger les entreprises contre les ransomwares et les autres malwares. SentinelOne reconnaît les comportements des ransomwares et empêche ces derniers de chiffrer les fichiers.

En outre, SentinelOne est capable de restaurer les équipements Windows à leur état antérieur en cas de chiffrement des fichiers.

Si SentinelOne n’est pas en mesure de restaurer les fichiers chiffrés, nous paierons 1 000 dollars par machine chiffrée, jusqu’à concurrence d’un million de dollars.

SentinelOne offre une fonctionnalité permettant de restaurer à leur état antérieur les fichiers qui ont été chiffrés ou supprimés à la suite d’une intervention malveillante.

La fonctionnalité de restauration de SentinelOne peut être lancée à partir de la console de gestion SentinelOne afin de restaurer un endpoint Windows à son état antérieur à l’exécution d’un processus malveillant, tel qu’un ransomware, en un seul clic.

Cette fonctionnalité permet également de neutraliser les ransomwares qui ciblent le service VSS de Windows dans le but d’empêcher la restauration à partir d’une sauvegarde.