SentinelOne Singularity est une plateforme de cybersécurité de nouvelle génération unique en son genre. SentinelOne Singularity est un data lake révolutionnaire qui associe, au sein d’une plateforme centralisée, les composants de données, d’accès, de contrôle et d’intégration de nos technologies de détection/intervention (EDR), de protection des endpoints (EPP), de sécurité de l’Internet des objets (IoT) et de protection des charges de travail cloud (CWPP). Grâce à Singularity, tous les services de l’entreprise ont accès à des données backend via une solution unique qui, renforcée à l’aide d’une couche de sécurité autonome et en temps réel, leur offre une vue cohérente de leur réseau et des ressources qui s’y connectent.
Contrairement aux autres produits de nouvelle génération, SentinelOne est la première offre de sécurité à passer d’une protection native au cloud mais autonome, à une plateforme de cybersécurité complète (avec la même base de code unique et le même modèle de déploiement). C’est aussi la première à intégrer l’Internet des objets (IoT) et la protection des charges de travail cloud (CWPP) dans une plateforme de détection et d’intervention étendue (XDR).
Singularity est une plateforme facile à gérer qui assure la prévention, la détection, l’intervention et la traque des menaces dans le contexte de toutes les ressources de l’entreprise. Vous voyez enfin ce qui n’était pas visible auparavant et contrôlez l’inconnu. Il s’agit de la seule plateforme avec technologie d’intelligence artificielle qui offre une traque des menaces avancée et une visibilité complète sur tous les équipements, virtuels ou physiques, sur site ou dans le cloud.
Comment fonctionne la solution de sécurité des endpoints SentinelOne ?
Comment fonctionne SentinelOne ?
La plateforme SentinelOne utilise une technologie brevetée pour protéger les entreprises des cybermenaces. Elle met en œuvre une approche multivectorielle, qui s’appuie notamment sur des technologies d’analyse statique pré-exécution pilotées par intelligence artificielle, qui remplacent l’application antivirus.
SentinelOne a également recours à des analyses comportementale à l’exécution, reposant elles aussi sur l’intelligence artificielle, qui détectent les actions anormales en temps réel, notamment les attaques sans fichier, les exploits, les macros malveillantes, les scripts malveillants, les cryptomineurs, les ransomwares ainsi que d’autres attaques.
SentinelOne offre en outre de nombreuses fonctionnalités d’intervention : alerte, suppression, mise en quarantaine, correction des modifications indésirables, restauration de Windows à l’état antérieur pour récupérer les données, confinement réseau, shell distant et bien plus encore. Celles-ci sont déclenchées en quelques millisecondes afin de neutraliser les attaques et réduire la durée d’implantation à un niveau proche de zéro.
SentinelOne me protège-t-il lorsque je suis déconnecté d'Internet (p. ex. lors de mes déplacements) ?
L’agent SentinelOne offre une protection même lorsqu’il est hors ligne. L’agent assure une protection contre les malwares lorsque l’équipement est déconnecté d’Internet. Cependant, la visibilité et les fonctionnalités d’administration disponibles dans la console seront indisponibles jusqu’à ce que l’équipement soit à nouveau en ligne.
SentinelOne est-il un antivirus ?
Les antivirus ont été conçus il y a plus de dix ans et le paysage des menaces a totalement changé au cours des dernières années. SentinelOne est une plateforme de protection des endpoints, ce qui signifie qu’il est supérieur aux solutions antivirus traditionnelles basées sur les signatures et les remplace avantageusement.
Puis-je utiliser la plateforme SentinelOne pour remplacer ma solution antivirus actuelle ?
Oui. Vous pouvez, et c’est d’ailleurs recommandé, utiliser SentinelOne pour remplacer votre solution antivirus actuelle. Il est possible d’exécuter simultanément Microsoft Defender et SentinelOne si vous le souhaitez.
Quels produits SentinelOne peut-il m'aider à remplacer ?
SentinelOne a été conçu comme un remplacement complet de votre solution antivirus. Un environnement d’entreprise doit idéalement compter le moins d’agents possible. SentinelOne offre de nombreuses fonctionnalités qui permettent aux clients d’ajouter notre produit, puis de retirer l’antivirus traditionnel. SentinelOne peut également remplacer les produits d’analyse du trafic réseau traditionnels, les appliances de visibilité réseau (p. ex. Forescout) et les plateformes de traque des menaces dédiées.
SentinelOne peut-il protéger les endpoints s'ils ne sont pas connectés au cloud ?
L’agent SentinelOne est conçu pour fonctionner en ligne comme hors ligne. L’agent présent sur l’endpoint effectue une analyse statique et une analyse comportementale dynamique avant et pendant l’exécution.
Ces deux méthodes sont les principales méthodes de prévention et de détection utilisées et ne nécessitent pas de connexion Internet. Toutefois, lorsque l’agent est en ligne, en plus des vérifications locales, il peut également envoyer une requête au cloud SentinelOne pour des vérifications supplémentaires.
Quelles fonctionnalités de détection SentinelOne offre-t-il ?
SentinelOne utilise plusieurs moteurs en cascade (analyse de réputation, StaticAI et ActiveEDR) pour prévenir et détecter différents types d’attaques à différentes phases.
SentinelOne assure-t-il la prévention des malwares ?
SentinelOne est conçu pour prévenir toutes sortes d’attaques, notamment celles transmises par des malwares. Le composant de protection des endpoints (EPP) de SentinelOne utilise l’analyse statique (StaticAI) pour examiner les fichiers exécutables avant l’exécution, en ligne ou hors ligne. Ce processus dispense du recours aux signatures traditionnelles, qui sont facilement contournées, nécessitent une mise à jour constante et nécessitent des analyses gourmandes en ressources sur l’équipement.
Le moteur SentinelOne effectue également l’analyse des fichiers PDF, des documents Microsoft OLE (anciennes versions de Microsoft Office) et des formats XML Microsoft Office (versions modernes de Microsoft Office), ainsi que d’autres types de fichiers pouvant contenir du code exécutable. La fonctionnalité StaticAI est conçue pour détecter les malwares courants et certains nouveaux malwares grâce à un modèle compact d’apprentissage automatique sur agent qui remplace les grandes bases de données de signatures utilisées dans les anciens produits antivirus.
La fonctionnalité d'apprentissage automatique de SentinelOne est-elle configurable ?
Non, les algorithmes d’apprentissage automatique de SentinelOne ne sont pas configurables.
Les clients ne peuvent pas personnaliser l’algorithme d’apprentissage automatique de l’intelligence artificielle, et il n’est pas nécessaire d’« entraîner » l’intelligence artificielle dans votre environnement.
En effet, l’équipe sciences des données de SentinelOne entraîne nos modèles d’apprentissage automatique/intelligence artificielle dans notre laboratoire de développement afin d’optimiser la détection et la protection, et réduire le taux de faux positifs. Ces nouveaux modèles sont introduits périodiquement dans le cadre de la mise à jour du code de l’agent.
SentinelOne peut-il détecter les attaques en mémoire ?
Oui, SentinelOne peut détecter les attaques en mémoire.
SentinelOne est intégré avec la technologie matérielle Intel® Threat Detection Technology (Intel TDT) pour des fonctionnalités accélérées d’analyse de la mémoire.
SentinelOne est-il implémenté dans le cloud ou sur site ?
SentinelOne est essentiellement une solution SaaS. Nous offrons à nos clients le choix de gérer le service sous forme de cloud hébergé sur Amazon AWS ou en tant qu’appliance virtuelle sur site. Cependant, la logique de prévention, de détection et d’intervention des agents SentinelOne est exécutée localement sur l’agent, ce qui signifie que nos agents et notre capacité de détection ne dépendent pas du cloud.
Contrairement aux produits d’autres éditeurs, l’agent SentinelOne n’a pas besoin d’envoyer des données dans le cloud pour rechercher les indicateurs d’attaque, ni d’envoyer du code dans un sandbox cloud pour une analyse dynamique.
Les approches axées sur le cloud des autres éditeurs introduisent un long délai entre l’infection, la détection via le cloud et l’intervention, si bien que l’infection peut s’être propagée ou les attaquants peuvent avoir déjà atteint leurs objectifs au moment de l’intervention.