SentinelOne Singularity 플랫폼은 EPP(엔드포인트 보호), EDR(엔드포인트 감지 및 대응), IoT 보안, CWPP(클라우드 워크로드 보호)의 데이터, 액세스, 제어 및 통합 플레인을 중앙 집중식 플랫폼 하나로 원활하게 통합하는 업계 최초의 데이터 레이크입니다. Singularity를 사용하면 솔루션 하나로 조직 전체의 백엔드 데이터에 액세스할 수 있으며, 전체 엔터프라이즈 자산에 대해 실시간 자율 보안 계층을 추가함으로써 네트워크와 자산을 통합 모니터링할 수 있습니다.
SentinelOne은 다음과 같은 업계 최고의 분석 기업과 제3자 독립 테스트에서 지속적으로 인정받고 있습니다.
분석가는 데이터에 매몰되고 있으며 정교한 공격 벡터를 처리할 수 없습니다. SentinelOne을 사용하면 데이터를 스토리로 전환할 수 있으므로 분석가는 가장 중요한 경고에 집중할 수 있습니다.
SentinelOne은 다양한 테스트에 참여하며 다수의 수상 경력이 있습니다. 다음은 최근 타사 테스트와 수상 목록입니다.
SentinelOne은 최고의 경영진이 뒷받침하는 비공개 기업입니다. SentinelOne은 2013년에 창립되었으며 캘리포니아주 마운틴 뷰에 본사가 있습니다.
SentinelOne은 2013년에 창립되었습니다.
SentinelOne과 Crowstrike는 현재 시장에서 최고의 EDR/EPP 솔루션으로 간주됩니다. SentinelOne은 Crowdstrike보다 월등하며 최근의 독립 평가에서 더 좋은 성과를 냈습니다.
SentinelOne은 Linux, MacOS, Windows 운영 체제에서 업계 최고 수준으로 운영을 지원하는 단일 에이전트 자율 EPP+EDR 솔루션을 제공합니다. SentinelOne은 또한 Vigilance라는 선택 사항인 MDR 서비스를 제공합니다. CrowdStrike와 달리 SentinelOne은 동급 최고의 감지 및 대응 기능을 제공하기 위해 분석가에게 의존하거나 클라우드 연결을 사용하지 않습니다. 대신 알려진 위협과 알려지지 않은 위협으로부터 엔드포인트를 자율적으로 감지 및 보호하기 위해 디바이스에서 실행 전 분석과 실행 중 분석을 수행하는 ActiveEDR 에이전트를 활용합니다.
SentinelOne은 SOC2를 준수합니다. 보안 보호 정책을 읽어 보세요.
SentinelOne에 지원하려면 공석을 확인하고 Jobs(구인) 섹션을 통해 이력서를 제출해 주세요.
엔드포인트 보안 소프트웨어는 노트북, 데스크톱 및/또는 서버에 설치되는 프로그램으로서 데이터 도용이나 경제적 이득 또는 시스템, 개인, 조직에 피해를 입힐 목적으로 엔드포인트를 감염시킬 수 있는 맬웨어, 익스플로잇, 실시간 공격, 스크립트 기반 공격 등의 다양한 공격으로부터 보호합니다.
엔드포인트는 통신 채널의 끝부분입니다. 채널을 통해 통신을 릴레이하거나 한 채널에서 다른 채널로 통신을 전환하지 않는 네트워크의 부분을 나타냅니다. 엔드포인트는 통신이 발생하는 장소이고 수신되는 장소입니다.
서버는 엔드포인트로 간주되며, 대부분의 서버는 Linux를 실행합니다. SentinelOne Linux 에이전트는 Linux 서버에 다른 모든 엔드포인트와 동일한 수준의 보안을 제공합니다.
차세대 엔드포인트 보안 솔루션은 사전 대응적입니다. 다양한 방식으로 위협을 회피하고 방지합니다. 이 도구는 커널과 사용자 공간 모두에서 네트워크의 모든 활동을 평가하여 의심스러운 모든 것을 감시합니다. 머신 러닝 프로세스는 공격이 발생할 위치를 예측하는 데 능숙합니다. 보안 도구는 대역 외 모니터링 등을 사용하여 감시를 더 강화하고 바이러스, 맬웨어, 다른 종류의 공격을 조기에 포착할 수도 있습니다.
SentinelOne EPP(엔드포인트 보호 플랫폼)는 특별히 빌드되었으며 머신 러닝 및 자동화 기반의 단일 에이전트에 방지, 감지, 대응을 통합합니다. 모든 주요 벡터에서 공격 방지 및 감지, 완전 자동화된 정책 기반 대응 기능을 통한 신속한 위협 제거, 전체 컨텍스트 및 실시간 포렌식으로 엔드포인트 환경에 대한 완벽한 가시성을 제공합니다.
SentinelOne 에이전트는 제품의 모든 측면을 관리함으로써 모든 기능을 위한 단일 콘솔을 제공하고 별도의 도구 및 추가 기능의 필요성을 제거하는 관리 콘솔에 연결됩니다.
최고의 엔드포인트 보호는 엔드포인트가 온라인 또는 오프라인인지 여부에 상관없이 파일 기반 맬웨어, 파일리스 공격, 악의적인 스크립트, 메모리 익스플로잇으로부터 엔드포인트를 보호하는 정적 AI 및 행동 AI를 단일 자율 에이전트 내에 결합하여 달성됩니다.
SentinelOne 엔드포인트 보호 플랫폼은 MITRE의 ATT&CK Round 2(2020년 4월 21일)에서 평가되었습니다. 누락된 감지 수가 가장 적었고 총 고품질 감지 수와 상관 관계 감지 건수가 가장 많았습니다. 더욱이 SentinelOne은 사람이 수행하는 분석에 의존하지 않고 자율 ActiveEDR 접근 방식을 사용하여 공격을 무력화합니다.
ActiveEDR을 사용하면 디바이스의 모든 것을 추적하고 컨텍스트화할 수 있습니다. ActiveEDR은 악의적인 행위를 실시간으로 식별할 수 있으며, 필수 대응을 자동화하고 단일 IOC 검색을 통해 간편한 위협 헌팅을 지원합니다.
SentinelOne 에이전트는 데스크톱, 노트북, 서버 또는 가상 환경을 포함한 각 엔드포인트에 배포되는 소프트웨어 프로그램으로, 인터넷 연결에 의존하지 않고 각 디바이스에서 자율적으로 실행됩니다. 이 에이전트는 커널 수준에 배치되어 모든 프로세스를 실시간으로 모니터링합니다. 이러한 프로세스는 동적 행동 추적 엔진에서 이루어지며, 사용자는 이 프로세스를 통해 실행 단계별로 엔드포인트에서 발생하는 상황을 정확히 확인할 수 있습니다. 여기에는 발생지, 최초 감염 위치, 프로세스 및 파일 활동, 레지스트리 이벤트, 네트워크 연결, 포렌식 데이터가 포함됩니다.
엔드포인트 보안을 구현하려면 조직의 모든 엔드포인트에 SentinelOne 에이전트를 배포해야 합니다. 보안 팀은 경고를 모니터링하고, 위협을 헌팅하고, 로컬 및 글로벌 정책을 엔터프라이즈 전체 디바이스에 적용할 수 있습니다.
엔드포인트 보안 솔루션은 바이러스 백신이 아닙니다. 바이러스 백신은 맬웨어 파일 서명을 사용하는 낡은 기존 기술입니다. SentinelOne 엔드포인트 보안은 악의적인 공격을 찾기 위해 기존의 바이러스 백신 서명을 사용하지 않습니다. 대신 정적 머신 러닝 분석과 동적 행동 분석의 조합을 사용하여 시스템을 보호합니다. 모든 파일은 실행되기 전과 실행될 때 실시간으로 평가됩니다. SentinelOne 기술은 서명을 사용하지 않기 때문에 고객은 네트워크를 많이 사용하는 업데이트나 로컬 시스템 I/O를 많이 사용하는 일상적인 디스크 스캔에 대해 걱정하지 않아도 됩니다.
Norton과 Symantec은 기존 AV 솔루션입니다. 이러한 솔루션과 다수의 다른 솔루션은 위협 식별에 서명을 사용합니다. SentinelOne 엔드포인트 보안은 악의적인 공격을 찾기 위해 기존의 바이러스 백신 서명을 사용하지 않습니다. 대신 정적 머신 러닝 분석과 동적 행동 분석의 조합을 사용하여 시스템을 보호합니다. 모든 파일은 실행되기 전과 실행될 때 실시간으로 평가됩니다. SentinelOne 기술은 서명을 사용하지 않기 때문에 고객은 네트워크를 많이 사용하는 업데이트나 로컬 시스템 I/O를 많이 사용하는 일상적인 디스크 스캔에 대해 걱정하지 않아도 됩니다.
SentinelOne 플랫폼은 특허받은 기술을 사용하여 사이버 위협으로부터 엔터프라이즈를 안전하게 유지합니다. 바이러스 백신 애플리케이션을 대체하는 실행 전 정적 AI 기술을 포함한 다중 벡터 접근 방식을 구현합니다.
또한 SentinelOne은 파일리스 공격, 익스플로잇, 불량 매크로, 악의적인 스크립트, 크립토마이너, 랜섬웨어를 포함한 비정상적 작업을 실시간으로 감지하는 실행 중 행동 AI 기술을 사용합니다.
몇 밀리초 안에 전달되어 공격을 종료하고 체류 시간을 거의 0으로 단축하는 SentinelOne 대응 기능은 경고, 중단, 격리, 원치 않는 변경 수정, Windows 롤백을 통한 데이터 복구, 네트워크 봉쇄, 원격 셸 등을 포함합니다.
SentinelOne 에이전트는 오프라인일 때도 보호를 제공합니다. 에이전트는 인터넷 연결이 끊어진 디바이스도 맬웨어 위협으로부터 보호합니다. 그러나 디바이스가 다시 온라인 상태가 될 때까지 콘솔의 관리 모니터링 및 기능은 중지됩니다.
바이러스 백신은 십여 년 전에 설계되었지만, 위협 환경은 지난 몇 년 동안 완전히 변했습니다. SentinelOne은 엔드포인트 보호 플랫폼입니다. 즉, 기존의 서명 기반 바이러스 백신 솔루션을 대체하는 탁월한 솔루션입니다.
SentinelOne을 사용하여 현재 바이러스 백신 솔루션을 대체할 수 있으며 대체해야 합니다. 원한다면 Microsoft Defender와 SentinelOne을 동시에 실행할 수 있습니다.
SentinelOne은 AV를 완전히 대체하도록 설계되었습니다. SentinelOne을 사용하면 엔터프라이즈에 필요한 에이전트가 줄어듭니다. SentinelOne은 고객이 SentinelOne 제품을 추가하고 기존의 AV를 제거할 수 있도록 다양한 기능을 제공합니다. 또한 SentinelOne은 기존 NTA(네트워크 트래픽 분석) 제품, 네트워크 가시성 어플라이언스(예: Forescout), 전용 위협 헌팅 플랫폼을 대체할 수 있습니다.
SentinelOne 에이전트는 온라인이나 오프라인에서 작동하도록 설계되었습니다. 엔드포인트의 에이전트는 실행 전과 실행 중 정적/동적 행동 분석을 수행합니다.
이 두 가지 방법은 사용되는 기본 방지 및 감지 방법이며 인터넷 연결이 필요하지 않습니다. 그러나 에이전트가 온라인 상태일 때는 로컬 확인뿐만 아니라 추가 확인을 위해 SentinelOne 클라우드에 쿼리를 전송할 수도 있습니다.
SentinelOne은 여러 개의 연속 처리 엔진을 활용합니다. 평판, StaticAI 및 ActiveEDR 기능을 통해 여러 단계에서 다양한 유형의 공격을 방지하고 감지합니다.
SentinelOne은 맬웨어 공격을 포함한 모든 종류의 공격을 방지하도록 설계되었습니다. SentinelOne의 EPP(엔드포인트 보호) 구성 요소는 정적 AI 보호를 사용하여 (온라인 또는 오프라인) 실행 파일을 미리 분석합니다. 무시되기 쉽고 지속적인 업데이트가 필요하며 디바이스의 스캔 과정에서 리소스를 많이 사용하는 기존 서명 대신 이러한 기능을 사용할 수 있습니다.
또한 SentinelOne 엔진은 PDF, Microsoft OLE 문서(기존 MS Office), MS Office XML 형식(최신 MS Office) 및 실행 코드가 포함된 다른 종류의 파일의 분석을 수행합니다. 제품에 사용된 정적 AI의 목표는 기존 AV 제품의 대규모 서명 데이터베이스를 대체하는 간편한 에이전트 내 머신 러닝 모델을 사용하여 상용화된 위협과 새로운 맬웨어를 감지하는 것입니다.
SentinelOne 머신 러닝 알고리즘은 구성할 수 없습니다.
고객은 인공 지능 머신 러닝 알고리즘을 사용자 지정할 수 없으며, 사용자 환경에서 AI를 “학습”시킬 필요가 없습니다.
대신 SentinelOne 데이터 과학 팀이 개발 랩에서 AI/ML 모델을 학습시켜 감지 및 보호를 개선할 뿐만 아니라 가양성 탐지율도 낮춥니다. 에이전트 코드 업데이트 시 주기적으로 이러한 새 모델을 반영합니다.
SentinelOne은 인메모리 공격을 감지할 수 있습니다.
SentinelOne은 가속화된 메모리 스캔 기능을 위해 하드웨어 기반 Intel® TDT(Intel Threat Detection Technology)와 통합됩니다.
SentinelOne은 주로 SaaS 기반입니다. 고객은 Amazon AWS에서 호스트되는 클라우드 또는 온프레미스 가상 어플라이언스로 서비스를 관리하는 옵션을 선택할 수 있습니다. 그러나 SentinelOne 에이전트의 방지, 감지 및 대응 로직은 에이전트에서 로컬로 수행됩니다. 즉, 에이전트와 감지 기능은 클라우드에 의존하지 않습니다.
다른 공급업체와 달리 SentinelOne의 에이전트는 IoA(공격 지표)를 찾기 위해 클라우드에 데이터를 업로드할 필요가 없으며 동적 분석을 위해 클라우드 샌드박스에 코드를 전송할 필요가 없습니다.
다른 공급업체의 클라우드 중심 접근 방식은 감염, 클라우드 감지 및 대응 시간, 감염이 전파되거나 공격자가 이미 목표를 달성한 시점 사이에 상당한 시간차가 있습니다.
SentinelOne은 더 이상 지원되지 않는 OS(예: Windows XP)를 포함한 Windows, macOS, Linux용 클라이언트를 제공합니다.
SentinelOne은 모든 워크스테이션 및 지원되는 환경에 설치할 수 있습니다.
SentinelOne은 기존 맬웨어 방지 솔루션을 완전히 대체하거나 기존 솔루션과 함께 작동합니다. 기존 AV를 제거하거나 유지할 수 있습니다. 자유롭게 선택하세요.
SentinelOne 에이전트는 자체가 설치되어 있는 엔드포인트의 속도를 늦추지 않습니다. 이 에이전트는 온라인과 오프라인 모두에서 효과적인 보호를 제공하는 동시에 최종 사용자에게 최소한의 영향을 미치도록 설계되었습니다.
지속적인 “.dat” 파일 서명 업데이트와 일상적인 디스크 스캔을 요구하는 다른 맬웨어 방지 제품과 달리 SentinelOne 에이전트는 CPU, 메모리, 디스크 I/O에 저장되는 정적 파일 AI 및 행동 AI를 대신 사용합니다. 결과적으로 최종 사용자는 더 좋은 컴퓨터 성능을 얻습니다. 시스템 리소스 사용량은 시스템 워크로드에 따라 다릅니다.
SentinelOne은 대규모 환경을 보호하도록 확장할 수 있습니다. 일부 클라이언트의 경우 환경에 15만 개 이상의 엔드포인트가 있습니다.
SentinelOne을 해제하려면 관리 콘솔을 사용합니다. 에이전트 시작 및 중지, 필요한 경우 전체 제거 시작 등 여러 방법으로 에이전트 기능을 원격으로 수정할 수 있습니다.
관리 콘솔은 모든 에이전트를 관리하는 데 사용됩니다. 에이전트 시작 및 중지, 필요한 경우 전체 제거 시작 등 여러 방법으로 에이전트 기능을 원격으로 수정할 수 있습니다.
SentinelOne 제품을 설치하고 유지 관리하기 위해 대규모 보안 인력이 필요하지 않습니다.
고객은 일반적으로 관리 대상 노드 10만 개당 한 명씩의 전일 작업 직원을 전담시킵니다. 이 수치는 조직의 요구 사항에 따라 다를 수 있습니다. 이 예상치는 또한 환경 내의 보안 경고 수량에 따라 증가하거나 감소할 수도 있습니다.
SentinelOne의 선택 사항인 Vigilance 서비스는 협력을 통해 감지, 우선 순위 지정, 위협 대응을 가속화하는 SentinelOne 사이버 보안 분석가의 도움으로 팀을 강화할 수 있습니다. Vigilance를 선택하는 고객은 필요한 주당 작업 시간이 상당히 단축되는 성과를 누리게 됩니다.
SentinelOne은 다른 엔드포인트 소프트웨어와 통합할 수 있습니다.
SentinelOne은 현재 다음과의 통합을 제공합니다.
SentinelOne은 AV에 대한 완전한 대안 및 단일 EPP/EDR 솔루션으로 설계되었습니다. SentinelOne을 사용하면 엔터프라이즈에 필요한 에이전트가 줄어듭니다. SentinelOne은 고객이 SentinelOne 제품을 추가하고 기존의 AV를 제거할 수 있도록 다양한 기능을 제공합니다.
SentinelOne은 현재 다음과의 통합을 제공합니다.
SentinelOne은 syslog 피드나 SentinelOne의 API를 통해 SIEM 같은 데이터 분석 도구와 간편하게 통합됩니다. 다음을 포함한 앱 기반 SIEM 통합을 제공합니다.
SentinelOne의 플랫폼은 “API 우선”의 주요 시장 차별화 요소 중 하나입니다.
API 우선이란 SentinelOne 개발자가 다른 것보다 먼저 새 제품 기능 API를 빌드한다는 것을 의미합니다. 대부분의 UI 기능은 고객에게 표시되는 API가 있습니다. UI와 API 간에 중복이 많기 때문에 SentinelOne 솔루션은 포인트 제품(UI를 통해)으로 실행될 수 있거나 API를 통한 보안 스택의 중요한 구성 요소일 수 있습니다.
SentinelOne API는 RESTful API이며 다른 보안 제품과 양방향 통합을 가능하게 하는 300개 이상의 기능으로 구성됩니다. 모든 API는 Swagger API 참조를 사용하여 UI 내에 직접 잘 문서화되어 있으며 개발자가 코드를 테스트할 수 있는 기능을 포함하고 있습니다.
SentinelOne은 API 액세스를 추상화하는 SDK를 추가 비용 없이 제공합니다.
모든 SentinelOne 고객은 관리 콘솔에서 직접 SentinelOne SDK(문서가 모두 포함되어 있음)를 사용할 수 있습니다.
예, 평가판 버전의 SentinelOne을 사용할 수 있습니다.
다음 웹 페이지를 통해 무료 데모를 요청하세요. https://kr.sentinelone.com/request-demo/
SentinelOne 가격은 배포된 엔드포인트 에이전트의 수에 따라 다릅니다.
SentinelOne Singularity 플랫폼은 고유한 차세대 사이버 보안 플랫폼입니다. Singularity는 EPP(엔드포인트 보호), EDR(엔드포인트 감지 및 대응), IoT 보안, CWPP(클라우드 워크로드 보호)의 데이터, 액세스, 제어 및 통합 플레인을 중앙 집중식 플랫폼 하나로 원활하게 통합하는 업계 최초의 데이터 레이크입니다. Singularity를 사용하면 솔루션 하나로 조직 전체의 백엔드 데이터에 액세스할 수 있으며, 전체 엔터프라이즈 자산에 대해 실시간 자율 보안 계층을 추가함으로써 네트워크와 자산을 통합 모니터링할 수 있습니다.
다른 차세대 제품과 달리 SentinelOne은 클라우드 네이티브이면서도 자율적인 보호에서 전체 사이버 보안 플랫폼으로 확장(동일한 단일 코드베이스 및 배포 모델 사용)하는 최초의 보안 제품이며 IoT 및 CWPP를 XDR(Extended Detection and Response) 플랫폼에 통합하는 최초의 제품입니다.
모든 엔터프라이즈 자산의 맥락을 고려하여 위험을 예방, 감지, 대응 및 헌팅할 수 있는 Singularity는 관리하기 쉬운 플랫폼을 제공합니다. 이제 보이지 않던 위험을 볼 수 있고, 알려지지 않은 위협을 통제할 수 있습니다. AI로 구동되며 온프레미스나 클라우드의 모든 디바이스(가상 또는 물리적)에서 고급 위협 헌팅 및 완벽한 가시성을 제공하는 유일한 플랫폼입니다.
Vigilance는 SentinelOne의 MDR(관리형 감지 및 대응) 서비스로, 프리미엄 요금제를 이용하는 기존 고객에게 위협 모니터링, 헌팅 및 대응 서비스를 제공합니다.
전문 분석가와 연구원으로 구성된 SOC(보안 운영 센터)를 연중무휴로 운영하여 실시간에 가까운 위협 모니터링, 콘솔 내 위협 주석 추가, 위협 및 의심스러운 이벤트(프리미엄 계층)에 대한 대응을 제공합니다.
여기에서 SentinelOne Vigilance에 대해 자세히 알아볼 수 있습니다..
SentinelOne Ranger는 불량 디바이스 검색 및 봉쇄 기술입니다.
관리되지 않는 디바이스나 불량 디바이스를 능동적인 방법과 수동적인 방법 둘 다 이용하여 찾을 수 있습니다. 검색하면 Ranger는 해당 디바이스의 존재에 대해 보안 팀에 경고하고 워크스테이션 및 서버와 같은 관리되는 디바이스를 비관리 디바이스에 의한 위험으로부터 보호할 수 있습니다.
여기서 SentinelOne Ranger에 대해 자세히 알아볼 수 있습니다.
SentinelOne Ranger는 불량 디바이스 검색 및 봉쇄 기술입니다.
관리되지 않는 디바이스나 불량 디바이스를 능동적인 방법과 수동적인 방법 둘 다 이용하여 찾을 수 있습니다. 검색하면 Ranger는 해당 디바이스의 존재에 대해 보안 팀에 경고하고 워크스테이션 및 서버와 같은 관리되는 디바이스를 비관리 디바이스에 의한 위험으로부터 보호할 수 있습니다.
여기서 SentinelOne Ranger 에 대해 자세히 알아볼 수 있습니다.
SentinelOne Singularity 플랫폼은 고유한 차세대 사이버 보안 플랫폼입니다. Singularity는 EPP(엔드포인트 보호), EDR(엔드포인트 감지 및 대응), IoT 보안, CWPP(클라우드 워크로드 보호)의 데이터, 액세스, 제어 및 통합 플레인을 중앙 집중식 플랫폼 하나로 원활하게 통합하는 업계 최초의 데이터 레이크입니다. Singularity를 사용하면 솔루션 하나로 조직 전체의 백엔드 데이터에 액세스할 수 있으며, 전체 엔터프라이즈 자산에 대해 실시간 자율 보안 계층을 추가함으로써 네트워크와 자산을 통합 모니터링할 수 있습니다.
다른 차세대 제품과 달리 SentinelOne은 클라우드 네이티브이면서도 자율적인 보호에서 전체 사이버 보안 플랫폼으로 확장(동일한 단일 코드베이스 및 배포 모델 사용)하는 최초의 보안 제품이며 IoT 및 CWPP를 XDR(Extended Detection and Response) 플랫폼에 통합하는 최초의 제품입니다.
모든 엔터프라이즈 자산의 맥락을 고려하여 위험을 예방, 감지, 대응 및 헌팅할 수 있는 Singularity는 관리하기 쉬운 플랫폼을 제공합니다. 이제 보이지 않던 위험을 볼 수 있고, 알려지지 않은 위협을 통제할 수 있습니다. AI로 구동되며 온프레미스나 클라우드의 모든 디바이스(가상 또는 물리적)에서 고급 위협 헌팅 및 완벽한 가시성을 제공하는 유일한 플랫폼입니다.
SentinelOne의 Deep Visibility는 SentinelOne 에이전트의 기본 구성 요소로서, 에이전트에서 수집한 정보를 SentinelOne 관리 콘솔로 스트리밍합니다. 이 데이터를 통해 보안 팀과 관리자는 IoC(손상 지표)를 검색하고 위협을 헌팅할 수 있습니다.
예, SentinelOne을 인시던트 대응을 위해 사용할 수 있습니다.
SentinelOne의 수정 및 롤백 대응 기능은 미국 특허청에서 특허받은 업계에서 고유한 기능입니다. SentinelOne ActiveEDR은 메모리에 직접 로드되는 모든 프로세스를 일련의 관련 “스토리”로 추적하고 모니터링합니다.
에이전트는 컨텍스트 프로세스 관계 및 수행된 관련 시스템 수정의 로컬 기록을 유지합니다. 소프트웨어 실행 주기 동안 스토리 컨텍스트를 유지하기 때문에 에이전트가 프로세스 악성화 시점을 파악하고 관리 정책에 지정된 대응 조치를 실행할 수 있습니다.
정책에서 자동 수정을 요구하는 경우 또는 관리자가 수정을 수동으로 트리거하는 경우, 에이전트는 저장된 공격 관련 기록의 컨텍스트 데이터를 사용하여 위협을 처리하고 시스템에서 원치 않는 악의적인 코드 아티팩트를 정리합니다. 기본적으로 에이전트는 발생한 공격 상황을 파악하고 역으로 공격하여 무단 변경 사항을 제거합니다.
SentinelOne은 동적 행동 추적 엔진을 활용하여 보호되는 엔드포인트에서 프로세스의 행동을 표시함으로써 MITRE ATT&CK 프레임워크를 지원합니다.
이 지식을 더 간편하고 더 빠르게 활용할 수 있도록 SentinelOne은 행동 지표를 MITRE ATT&CK 프레임워크에 매핑합니다.
별도의 설정 없이 쿼리를 만들고 엔드포인트 범위 전체에서 MITRE ATT&CK 특성을 검색할 수 있습니다. SentinelOne을 사용할 때는 설명에 MITRE ID 또는 다른 문자열을 사용하거나 범주, 이름 또는 메타데이터만 사용하면 됩니다.
SentinelOne은 MITRE의 ATT&CK 2단계(2020년 4월 21일) 평가를 거쳤습니다. SentinelOne은 누락된 감지 수가 가장 적었고 총 고품질 감지 수와 상관 관계 감지 건수가 가장 많았습니다.
SentinelOne은 다음과 같은 대응 조치로 랜섬웨어를 무력화합니다.
랜섬웨어는 아주 중요한 위협입니다. Verizon의 2020년 DBIR 보고서에 따르면 데이터 위반의 1/4 이상에서 맬웨어가 랜섬웨어를 활용했습니다.
SentinelOne은 랜섬웨어 및 다른 맬웨어 위협으로부터 엔터프라이즈를 보호하도록 설계되었습니다. SentinelOne은 랜섬웨어의 행동을 인식하고 랜섬웨어의 파일 암호화를 방지합니다.
또한 파일이 암호화된 경우 SentinelOne은 Windows 디바이스를 롤백할 수 있습니다.
SentinelOne이 암호화된 파일을 복구할 수 없는 경우 암호화된 컴퓨터 1대당 1,000달러, 최대 100만 달러까지 지급합니다.
SentinelOne은 악의적으로 암호화되었거나 삭제된 파일을 이전 상태로 복원하는 롤백 기능을 제공합니다.
SentinelOne 롤백 기능은 SentinelOne 관리 콘솔에서 시작하여 클릭 한 번으로 Windows 엔드포인트를 랜섬웨어 같은 악의적인 프로세스가 실행되기 이전 상태로 되돌릴 수 있습니다.
이 기능은 백업에서 복원하는 작업을 방지하기 위해 Windows VSS(볼륨 섀도 복사본 서비스)를 대상으로 하는 랜섬웨어도 무력화합니다.
