Neste artigo aprenda mais sobre o Sentinelone XDR e seu recurso de resposta rápida a incidentes com um clique!
Responder a uma ameaça cibernética leva tempo, pois os defensores querem fazer mais do que simplesmente impedir ameaças maliciosas; eles também precisam garantir que quaisquer identidades ou contas comprometidas sejam restauradas, que quaisquer e-mails de phishing remanescentes nas caixas de entrada prontas para re-detonar e reiniciar o ataque sejam limpos, que se um software vulnerável estiver envolvido, ele será corrigido ou removido dos terminais.
Há anos, a única maneira de fazer isso com eficiência era por meio de um SOAR, e isso exigia altos custos e, geralmente, pessoal adicional para criar e manter os manuais de operação. Tudo isso levou a um processo de resposta manual muito ‘centrado no ser humano’, que resultou em uma contenção e um tempo de resposta mais longo.
O XDR foi feito para resolver problemas como esses. O SentinelOne XDR unifica e estende a capacidade de detecção e investigação, fornecendo às equipes de segurança visibilidade corporativa de ponta a ponta, análises poderosas e resposta automatizável em toda a pilha de tecnologia – tornando cada fluxo de trabalho mais rápido, eficaz e exato.
Ações de resposta XDR para correção com um clique
O recente lançamento de aplicativos XDR adicionais para resposta é um marco da tecnologia de XDR que continuará a fortalecer a plataforma Sentinelone. Com as ações do XDR Response, um usuário pode inserir uma chave de API, escolher as ações e condições automáticas que desejar, e o SentinelOne fará o resto.
A maioria dos analistas de SOC não tem acesso aos portais de provedor de identidade (IdPs) adequados para fazer isso, pois a equipe de identidade não deseja adicionar todo o SOC ao portal. Na melhor das hipóteses, seria necessário que a equipe de identidade criasse funções RBAC muito específicas no AD, Okta etc. para ter funções de segurança. Sem acesso, o analista deve abrir um ticket e aguardar. Com o XDR, há um botão para isso . Cadê? Bem na ameaça.
As ações de resposta XDR tem o poder de interromper um ataque ao esforço de um clique. Se um analista encontrar uma ameaça em que as credenciais de um usuário interno foram usadas para fazer login no e-mail e enviar links de phishing, o XDR pode suspender o acesso ao e-mail do usuário ou simplesmente impedir que o hash seja repassado, até que as credenciais possam ser confiáveis novamente.
Esse mesmo analista também pode mover o usuário para uma política zero trust mais restritiva para garantir que dados como resultados financeiros e propriedade intelectual armazenados em aplicativos em nuvem sejam protegidos.
SentinelOne XDR – Como funciona?
A equipe de identidade fornece ao administrador do SentinelOne uma chave de API que é então inserida no Marketplace. A chave pode ser amplamente permissiva ou adequada para garantir o mínimo de privilégios apenas para os casos de uso do SentinelOne XDR.
Em seguida, o usuário seleciona quais integrações ativar e quais deixar desabilitadas. Eles então selecionam se a ação deve acontecer em todas as ameaças ou apenas naquelas que o SentinelOne tem maior confiança como sendo mal-intencionadas.
O aplicativo que eles selecionaram é pré-programado com toda a lógica necessária. Na próxima vez que uma ameaça correspondente aparecer, o SentinelOne executará automaticamente a ação escolhida.
Para administradores que desejam permitir que analistas avaliem ameaças antes de realizar ações, as ações manuais podem ser habilitadas no mesmo fluxo do Marketplace. As ações manuais permitem que os administradores naveguem em uma lista de todas as ações XDR, como por exemplo:
- Banir um hash
- Um usuário ou um endereço IP
- Inserir o usuário em uma lista mais restritiva dentro de uma política de zero trust
Isso mantém o analista informado antes que as ações sejam tomadas enquanto ainda ajuda a acelerar a correção para minutos em vez de horas ou mesmo dias, quando há dependências de outra equipe.
SentinelOne XDR oferece maior flexibilidade do que um SOAR
Embora um SOAR possa ser uma ferramenta tremenda para quem tem orçamento e equipe, o XDR é a ferramenta pronta para uso que permite que mais equipes adotem a orquestração . Os playbooks SOAR podem executar fluxos altamente personalizados, mas mantê-los à medida que os processos e as ferramentas mudam provou ser uma barreira ou insustentável para muitas empresas, pois exige conhecimento e recursos mais amplos.
Habilitar uma lista de ações automáticas ou selecioná-las manualmente em um modelo de triagem de ameaças é a abordagem flexível que permite que todas as equipes de todos os tamanhos sejam mais eficientes e eficazes.
O que desencadeou essa inovação, por que agora?
Esse salto tecnológico está chegando agora devido à necessidade de simplificar os fluxos de trabalho de segurança, consolidar várias ferramentas no SOC e responder rapidamente para remediar ameaças em toda a empresa. Embora as parcerias e os Marketplaces tenham sido feitos antes, eles nunca foram feitos com esse nível de integração mais profunda e sem atritos.
O XDR exige que os fornecedores trabalhem juntos para criar integrações mais profundas e amplas. Descobrimos que o mercado está pronto para fazer parcerias e é por isso que adotamos uma abordagem “nativa e aberta” para XDR, oferecendo muitas soluções em nossa plataforma ao mesmo tempo em que fazemos parceria com os melhores fornecedores de toda a pilha.
O XDR é o resultado de uma melhor compreensão de como as equipes trabalham e o que cabe nos orçamentos. A segurança está tendendo na direção de ferramentas que dão flexibilidade às equipes sem exigir que elas criem e mantenham lógica ou código complexo.
O mercado está esperando por uma segurança simples que economize tempo e dinheiro das equipes sem um grande investimento inicial. Tecnologia, parceria e conhecimento convergiram para trazer segurança para a próxima geração.
SentinelOne XDR – Conclusão
Com aplicativos XDR para resposta e correções com um clique, o Singularity XDR e o Singularity Marketplace continuam a se expandir, oferecendo integrações mais profundas e eficazes que simplificam o ciclo de correção.
Percebeu como a SentinelOne XDR é a melhor solução para a sua empresa e oferece benefícios como maior produtividade, disponibilidade e segurança? A NowCy é parceira reconhecida e especialista em soluções de segurança SentinelOne Brasil, o que garante melhor utilização dos recursos, suporte diferenciado, maior performance e tranquilidade para a sua equipe se concentrar no que é mais importante para o seu negócio. Entre em contato e agende uma apresentação!
Quer ver o SentinelOne XDR em ação? Solicite uma demonstração gratuita!
Perfil do Autor
- Leandro Lima
- Atualmente exerce a função de Diretor Tecnologia & Produtos na NowCy. Possui 12 anos de experiência em Infraestrutura de TI e Segurança da Informação. Atuando na coordenação e elaboração de projetos para organizações governamentais e privadas. Possuí dezenas de certificações profissionais, em destaque: Fortinet NSE 1, 2, 3, + Cisco CCNA R&S & CCNP R&S - ITIL - IPv6 Enginner - SentinelOne Core - Picus Security, dentre outras.
Últimas Postagens
- Segurança ofensiva28 de agosto de 2024Pentest: O que é, importância e como proteger sua empresa com Testes de Penetração
- Cibersegurança7 de agosto de 2024Sentinel One: como a solução se destaca versus a CrowdStrike
- Cibersegurança19 de junho de 2024O que é Phishing e como proteger sua empresa
- Firewall11 de junho de 2024SD-WAN Fortinet: O que é e quais suas funcionalidades