這兩年來，針對端點電腦的偵測與反制（EDR）解決方案，資安廠商爭相推出，已有不少在臺灣都能買到，我們先前介紹過的產品，就有15款之多。而在今年初，我們也看到繼續有新廠牌引進，那就是SentinelOne Endpoint Protection Platform（EPP），能保護的端點作業系統平臺相當多元，管理平臺也提供內部建置與雲端服務選項，因應企業各式部署考量。

原廠強調透過人工智慧，SentinelOne EPP大部分流程能夠自動化運作，減輕企業管理上的負擔。在防護的能力上，這款端點防護平臺針對未知惡意軟體，以及可疑攻擊行為等情況，內建了深度檔案偵測（DFI），與動態行動追蹤（DBT）等2種機制，加以因應。

而對於電腦遭受攻擊後，SentinelOne EPP也訴求自動執行反制的能力，在同類型防護措施裡，常見的一鍵快速復原系統設定，或是還原遭到竄改的電腦檔案外，針對於電腦中找到的全新未知威脅，SentinelOne EPP加入了自動防疫的功能，藉由通知網域內其他電腦上的代理程式，減少每臺受到相同攻擊的電腦都要自行檢測，造成運算資源的浪費。

在產品的架構上，SentinelOne EPP的集中管理措施，同時提供了內部建置管理伺服器，以及雲端主控臺服務2種選擇，算是較具彈性。這款端點偵測與反制系統可支援的端點電腦，涵蓋了Windows、macOS，以及Linux等3大作業系統平臺，且跨足到AWS推出的Amazon Linux，適用的範圍相當廣。

我們這次測試的版本，是今年1月推出的2.5版，主要加入了新型報表（Insights Reporting），較現有以條列式呈現的作法，新的報表包含了摘要資訊，內容區分也更加細緻，可依據應用程式、威脅型態、處置措施，以及指定使用者群組的分析結果，出具圖文並茂的報告。

而對於攻擊事件的調查，SentinelOne EPP 2.5則提供進階選購功能──Deep Visibility，端點電腦代理程式能收集更詳細的資料，供後續鑑識運用。再者，為了避免與其他資安系統衝突的情況，這個版本也首度加入排除監控的機制。

在SentinelOne EPP的儀表板中，大致上分為左側的近期威脅事件(1)，以及右側以測量儀表呈現端點電腦的情況(2)。管理者便能根據事件或是受害的電腦，向下進一步調查。

儀表板具備豐富內容，並能初步處置近期攻擊事件

相較於同類型的解決方案，在主控臺上呈現的內容，SentinelOne EPP提供淺顯易讀的摘要，若是想要進一步調查，這款產品具有向下探索的機制，管理者可藉此檢視詳細的資訊，整體的操作流程規畫可說是相當好。

以儀表板呈現的資訊而言，包含了最上方摘要性的統計數據，以及近期重大威脅事件列表和網路安全指標等。管理者想要著手調查，可依據事件或是受害的端點電腦進行。

其中，網路安全指標是這個頁面裡最為顯著的元素，這裡SentinelOne EPP採用了測量儀表（Gauge Chart），以低危險程度的綠色，及高風險的紅色，表示企業內整體的危險程度高低。

在測量儀表之外，系統也列出了已納入管理的端點電腦整體狀態，包括遭到感染的電腦數量，以及上線列管的情形等，這裡也以作業系統的平臺類型區分，透過綠色、黑色，與紅色線條所占比例，呈現這類平臺電腦安全與尚待處置的數量分布。想要從有問題的電腦下手處理，管理者就能從這裡著手。

為了測試這套系統的防護效果，我們實際在端點電腦執行了NotPetya病毒，代理程式便直接攔截，並顯示電腦已受到保護的訊息。在網頁儀表板上，測量儀表仍是顯示為綠色，但威脅事件列表裡，則是指出有新的攻擊遭到封鎖。

這裡列出的近期事件，具有就地快速處置的功能。管理者只要將滑鼠指標移到想要處理的項目上，就能下達指令，像是封鎖電腦的網路、移除威脅、修復電腦等措施，同時，也能直接將事件所包含的惡意軟體特徵碼，加入黑名單。

比較特別的是，雖然在SentinelOne EPP的黑白名單中，採用檔案特徵碼做為識別的依據，但在手動新增的功能裡，提供了能將特徵相似者一併封鎖（或放行）的選項，對於層出不窮的變種惡意軟體而言，可減少管理者必須手動逐一設定的麻煩，可說是相當實用。

以事件處置進度呈現分析資訊

對於攻擊事件的分析，SentinelOne EPP在網頁主控臺採用攻擊鏈的方式，顯示目前偵測與攔截的進度。管理者也可點選攻擊鏈上的按鈕，就能手動強制執行系統修復、網路隔離等措施。

採用兩種攻擊鏈呈現，兼顧事件處置與進階鑑識應用

在攻擊事件資訊呈現上，SentinelOne EPP統合攻擊鏈與各式情報。光是攻擊鏈就有兩種，一種是以防護流程的角度顯示，另一個則呈現攻擊的影響範圍。

以流程角度出發的攻擊鏈，位於事件分析頁面的最上方，主要是依據早期偵測的措施列出，從基本的警示管理者、移除威脅、進行惡意攻擊的隔離、修復端點電腦，以及還原攻擊前狀態等措施，線性顯示端點代理程式已經處置的工作。這裡也提供管理者手動點選流程中的按鈕，強制執行其中的防護措施，或是將受害電腦進行網路隔離，以免橫向擴散等情形。在上述的測試攻擊裡，就可以在攻擊鏈上已經封鎖，端點電腦不需修復或是執行狀態還原。

第2種攻擊鏈，則是從鑑識的角度出發，顯示惡意軟體執行的過程，以及牽涉了那些處理程序等。管理者不只能得知其中的關連性，針對單一處理程序，SentinelOne EPP也提供了詳細內容，包含其中寫入的檔案、觸發的處理程序與指令，以及網路連線的記錄等，讓管理者能進一步確認涵蓋的層面為何。

提供細致的通知設定功能

手動調整功能的精細程度，是SentinelOne EPP相當顯著的特色，其中的警示通知設定，提供了電子郵件、簡訊，以及透過Syslog傳送的措施，像是極為緊急的事件，就會特別透過發送簡訊，以便管理者及時處理。

提供細緻的警示通知彈性

對於整體的政策上，SentinelOne EPP內建的項目算是相當多，大致可區分為防護功能與例外清單，以及管理者相關的設定選項。其中，針對警示通知的部分，可調整的功能非常豐富，而且能依據不同的層級，指定通知措施。

基本上，這套系統提供了3種方法，包含了手機簡訊、電子郵件，以及採取Syslog型式，傳送到資安事件管理平臺等系統。而對於事件的緊急程度，也以3種等級歸類，分別是重大、值得留意（Advisory），以及一般記錄。管理者可在進階選項中指定，例如發現了正在攻擊的惡意軟體，SentinelOne EPP預設視為重大事件，而已經成功封鎖的惡意軟體，則歸為一般事件記錄。

這裡依據警急的程度，觸發通知的措施，在預設的配置中，重大事件同時會發出簡訊、電子郵件，也會廣播到指定的資安平臺。但一般事件則只會傳送到資安平臺留存。

 產品資訊 

SentinelOne EPP 2.5

●建議售價：廠商未提供

●代理商：安創資訊(02)2822-4970

●端點電腦系統需求：1GHz處理器、2GB記憶體、2GB儲存空間

●端點電腦作業系統支援：Windows XP、Server 2003、macOS 10.9，以及64位元RHEL 6.5、Ubuntu 12.04、openSUSE 42.2、Amazon Linux 2016.09以上

●主控臺部署型式：內部建置或雲端服務

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】