這兩年來,針對端點電腦的偵測與反制(EDR)解決方案,資安廠商爭相推出,已有不少在臺灣都能買到,我們先前介紹過的產品,就有15款之多。而在今年初,我們也看到繼續有新廠牌引進,那就是SentinelOne Endpoint Protection Platform(EPP),能保護的端點作業系統平臺相當多元,管理平臺也提供內部建置與雲端服務選項,因應企業各式部署考量。

原廠強調透過人工智慧,SentinelOne EPP大部分流程能夠自動化運作,減輕企業管理上的負擔。在防護的能力上,這款端點防護平臺針對未知惡意軟體,以及可疑攻擊行為等情況,內建了深度檔案偵測(DFI),與動態行動追蹤(DBT)等2種機制,加以因應。

而對於電腦遭受攻擊後,SentinelOne EPP也訴求自動執行反制的能力,在同類型防護措施裡,常見的一鍵快速復原系統設定,或是還原遭到竄改的電腦檔案外,針對於電腦中找到的全新未知威脅,SentinelOne EPP加入了自動防疫的功能,藉由通知網域內其他電腦上的代理程式,減少每臺受到相同攻擊的電腦都要自行檢測,造成運算資源的浪費。

在產品的架構上,SentinelOne EPP的集中管理措施,同時提供了內部建置管理伺服器,以及雲端主控臺服務2種選擇,算是較具彈性。這款端點偵測與反制系統可支援的端點電腦,涵蓋了Windows、macOS,以及Linux等3大作業系統平臺,且跨足到AWS推出的Amazon Linux,適用的範圍相當廣。

我們這次測試的版本,是今年1月推出的2.5版,主要加入了新型報表(Insights Reporting),較現有以條列式呈現的作法,新的報表包含了摘要資訊,內容區分也更加細緻,可依據應用程式、威脅型態、處置措施,以及指定使用者群組的分析結果,出具圖文並茂的報告。

而對於攻擊事件的調查,SentinelOne EPP 2.5則提供進階選購功能──Deep Visibility,端點電腦代理程式能收集更詳細的資料,供後續鑑識運用。再者,為了避免與其他資安系統衝突的情況,這個版本也首度加入排除監控的機制。

在SentinelOne EPP的儀表板中,大致上分為左側的近期威脅事件(1),以及右側以測量儀表呈現端點電腦的情況(2)。管理者便能根據事件或是受害的電腦,向下進一步調查。

儀表板具備豐富內容,並能初步處置近期攻擊事件

相較於同類型的解決方案,在主控臺上呈現的內容,SentinelOne EPP提供淺顯易讀的摘要,若是想要進一步調查,這款產品具有向下探索的機制,管理者可藉此檢視詳細的資訊,整體的操作流程規畫可說是相當好。

以儀表板呈現的資訊而言,包含了最上方摘要性的統計數據,以及近期重大威脅事件列表和網路安全指標等。管理者想要著手調查,可依據事件或是受害的端點電腦進行。

其中,網路安全指標是這個頁面裡最為顯著的元素,這裡SentinelOne EPP採用了測量儀表(Gauge Chart),以低危險程度的綠色,及高風險的紅色,表示企業內整體的危險程度高低。

在測量儀表之外,系統也列出了已納入管理的端點電腦整體狀態,包括遭到感染的電腦數量,以及上線列管的情形等,這裡也以作業系統的平臺類型區分,透過綠色、黑色,與紅色線條所占比例,呈現這類平臺電腦安全與尚待處置的數量分布。想要從有問題的電腦下手處理,管理者就能從這裡著手。

為了測試這套系統的防護效果,我們實際在端點電腦執行了NotPetya病毒,代理程式便直接攔截,並顯示電腦已受到保護的訊息。在網頁儀表板上,測量儀表仍是顯示為綠色,但威脅事件列表裡,則是指出有新的攻擊遭到封鎖。

這裡列出的近期事件,具有就地快速處置的功能。管理者只要將滑鼠指標移到想要處理的項目上,就能下達指令,像是封鎖電腦的網路、移除威脅、修復電腦等措施,同時,也能直接將事件所包含的惡意軟體特徵碼,加入黑名單。

比較特別的是,雖然在SentinelOne EPP的黑白名單中,採用檔案特徵碼做為識別的依據,但在手動新增的功能裡,提供了能將特徵相似者一併封鎖(或放行)的選項,對於層出不窮的變種惡意軟體而言,可減少管理者必須手動逐一設定的麻煩,可說是相當實用。

以事件處置進度呈現分析資訊

對於攻擊事件的分析,SentinelOne EPP在網頁主控臺採用攻擊鏈的方式,顯示目前偵測與攔截的進度。管理者也可點選攻擊鏈上的按鈕,就能手動強制執行系統修復、網路隔離等措施。

採用兩種攻擊鏈呈現,兼顧事件處置與進階鑑識應用

在攻擊事件資訊呈現上,SentinelOne EPP統合攻擊鏈與各式情報。光是攻擊鏈就有兩種,一種是以防護流程的角度顯示,另一個則呈現攻擊的影響範圍。

以流程角度出發的攻擊鏈,位於事件分析頁面的最上方,主要是依據早期偵測的措施列出,從基本的警示管理者、移除威脅、進行惡意攻擊的隔離、修復端點電腦,以及還原攻擊前狀態等措施,線性顯示端點代理程式已經處置的工作。這裡也提供管理者手動點選流程中的按鈕,強制執行其中的防護措施,或是將受害電腦進行網路隔離,以免橫向擴散等情形。在上述的測試攻擊裡,就可以在攻擊鏈上已經封鎖,端點電腦不需修復或是執行狀態還原。

第2種攻擊鏈,則是從鑑識的角度出發,顯示惡意軟體執行的過程,以及牽涉了那些處理程序等。管理者不只能得知其中的關連性,針對單一處理程序,SentinelOne EPP也提供了詳細內容,包含其中寫入的檔案、觸發的處理程序與指令,以及網路連線的記錄等,讓管理者能進一步確認涵蓋的層面為何。

提供細致的通知設定功能

手動調整功能的精細程度,是SentinelOne EPP相當顯著的特色,其中的警示通知設定,提供了電子郵件、簡訊,以及透過Syslog傳送的措施,像是極為緊急的事件,就會特別透過發送簡訊,以便管理者及時處理。

提供細緻的警示通知彈性

對於整體的政策上,SentinelOne EPP內建的項目算是相當多,大致可區分為防護功能與例外清單,以及管理者相關的設定選項。其中,針對警示通知的部分,可調整的功能非常豐富,而且能依據不同的層級,指定通知措施。

基本上,這套系統提供了3種方法,包含了手機簡訊、電子郵件,以及採取Syslog型式,傳送到資安事件管理平臺等系統。而對於事件的緊急程度,也以3種等級歸類,分別是重大、值得留意(Advisory),以及一般記錄。管理者可在進階選項中指定,例如發現了正在攻擊的惡意軟體,SentinelOne EPP預設視為重大事件,而已經成功封鎖的惡意軟體,則歸為一般事件記錄。

這裡依據警急的程度,觸發通知的措施,在預設的配置中,重大事件同時會發出簡訊、電子郵件,也會廣播到指定的資安平臺。但一般事件則只會傳送到資安平臺留存。

 產品資訊 

SentinelOne EPP 2.5

●建議售價:廠商未提供

●代理商:安創資訊(02)2822-4970

●端點電腦系統需求:1GHz處理器、2GB記憶體、2GB儲存空間

●端點電腦作業系統支援:Windows XP、Server 2003、macOS 10.9,以及64位元RHEL 6.5、Ubuntu 12.04、openSUSE 42.2、Amazon Linux 2016.09以上

●主控臺部署型式:內部建置或雲端服務

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容