Успешная кибератака может скомпрометировать данные и парализовать бизнес-процессы за считаные часы или даже минуты. Следовательно, для предотвращения сбоев в работе и снижения финансовых потерь критически важно быстро локализовать атаку и восстановиться после нее. Именно из-за задержек в расследовании инцидентов и процессах восстановления после них организации становятся уязвимыми к киберрискам.
Благодаря удаленной оркестрации скриптов (RSO, Remote Script Orchestration) от SentinelOne команды ИБ могут удаленно расследовать угрозы на конечных точках по всей организации и легко управлять целым парком устройств.
RSO позволяет специалистам по реагированию на инциденты запускать скрипты для сбора данных и удаленно реагировать на события на хостах. Пользователи могут собирать артефакты форензики, запускать сложные скрипты и команды, устанавливать и удалять инструменты реагирования — и это еще не все возможности. Каждая из этих операций реализуется одновременно на сотнях конечных точек — под управлением Windows, macOS или Linux — через пользовательский интерфейс или API. Это позволяет упростить сбор данных для форензики и ускорить приоритизацию угроз.
Принцип работы удаленной оркестрации скриптов
RSO поставляется с библиотекой скриптов SentinelOne для всех платформ. Пользователи могут удаленно запускать их из разных разделов консоли в зависимости от своих потребностей. Функционал RSO подходит для расследования инцидентов в отношении как одного скомпрометированного хоста, так и нескольких хостов, а также групп машин.
Библиотека скриптов
Более 20 готовых скриптов для сбора информации и реагирования доступны в библиотеке скриптов.
Инциденты
Быстро отреагировать на атаку, запустив любой скрипт на подверженном хосте, можно прямо из карточки инцидента.
Агенты Sentinel
Запускать скрипты для управления или анализа сразу на сотнях хостов можно в разделе Агенты Sentinel.
Как SentinelOne RSO может помочь организациям
1. Эффективный сбор форензики
В реагировании на кибератаки время играет ключевую роль. Одного лишь мгновенного доступа к скомпрометированной конечной точке недостаточно. У аналитиков SOC нет ни времени, ни желания подключаться к каждой из сотен зараженных машин и вручную собирать артефакты для расследования.
С помощью RSO команда SOC сможет одним кликом запускать скрипты на сотнях скомпрометированных машин одновременно и собирать всю необходимую информацию. Специалисты по реагированию на инциденты смогут быстрее проводить расследование благодаря анализу журналов событий, запущенных служб, запланированных задач, сетевых подключений, памяти, подключенных съемных носителей и т. д. Чтобы удаленно собрать артефакты форензики с хостов, аналитики могут создать собственные скрипты и добавить их в библиотеку.
2. Быстрое сдерживание атак
С помощью RSO команды по реагированию на инциденты могут оперативно расследовать цепочки событий и быстро реагировать на выявленные инциденты. В дополнение к функциям реагирования, доступным в платформе Singularity, аналитики SOC могут использовать RSO для создания собственных сценариев реагирования и сдерживания угроз в реальном времени. В них входят завершение процессов, удаление файлов и каталогов, отключение локальных пользователей и т. д.
3. Управление уязвимостями и конфигурациями
Пользователям больше не нужно развертывать целый ряд инструментов для управления уязвимостями и настройками хостов. Теперь специалисты по ИБ могут использовать RSO для быстрого выявления уязвимостей и ошибок конфигурации по всему парку устройств. Этот инструмент позволяет усилить защиту конечных точек благодаря возможности автоматизированно устанавливать на хостах патчи с помощью настраиваемых скриптов, тем самым сокращая поверхность атаки.
RSO также помогает пользователям унифицировать управление кибербезопасностью в рамках единого агента и одной консоли. В рамках одной платформы доступны такие функции, как оценка уязвимостей, составление отчетов о действиях по восстановлению и подготовка аудита.
4. Автоматизация процессов реагирования
Скорость и эффективность реагирования имеют решающее значение в защите организации от атаки. Благодаря интеграции RSO с функционалом Storyline Active Response реагирование можно автоматизировать. Команды ИБ могут внедрять собственную логику обнаружения угроз и немедленно распространить ее на весь парк устройств для быстрого устранения угроз. Автоматизированное реагирование на инциденты значительно ускоряет нейтрализацию атак и сокращает их последствия.
Функционал RSO разработан в тесном сотрудничестве с ведущими мировыми провайдерами услуг по реагированию на инциденты ИБ. RSO отражает приверженность SentinelOne комплексному подходу к кибербезопасности и предлагает аналитикам ИБ мощные технологии для более эффективного решения поставленных задач. Это гибкий инструмент, который подходит специалистам с разными навыками.
- Начинающие специалисты могут использовать встроенную библиотеку скриптов, которая содержит все необходимое для расследования. Несколько кликов мышью — и все нужные данные к вашим услугам.
- Более продвинутые пользователи могут писать простые скрипты или изменять существующие, настраивая их под свои потребности. Не нужно писать скрипты с нуля.
- Опытные специалисты могут создавать свои собственные скрипты и загружать их в библиотеку, чтобы их могли использовать другие сотрудники.
Как использовать RSO в вашей организации
Благодаря RSO-скриптам команды SOC получают мгновенный доступ к тысячам машин. Специалисты могут проводить тщательные расследования, оперативно реагировать на инциденты и сдерживать выявленные угрозы в реальном времени. Инструмент RSO можно адаптировать к потребностям организации и применять в различных сценариях:
- Обнаружение угроз нулевого дня
RSO поможет быстро проверить, подвержена ли организация атаке, или выявить конечные точки, уязвимые перед угрозами нулевого дня. Например, специалисты по реагированию на инциденты могут легко и быстро запустить опубликованные скрипты, чтобы определить наличие или отсутствие какой-либо уязвимости в корпоративных ИТ-системах. Благодаря этому они могут оперативно реагировать на инциденты и нейтрализовать выявленные угрозы в реальном времени. - Кастомизация и создание инструментария реагирования, оптимального для сбора аналитики
У разных команд ИБ разные требования к сбору артефактов форензики для углубленного расследования. Инструмент SentinelOne RSO можно очень тонко настроить, что позволит специалистам по реагированию на инциденты использовать специально созданные внутри организации или уже готовые скрипты и инструменты, автоматизирующие сбор общей информации, к которой относятся данные об автозапуске (Autoruns), хэши файлов и ARP-таблицы.
SentinelOne RSO — мощный инструмент, который открывает безграничные возможности для организаций. Специалисты по реагированию на инциденты могут запускать скрипты в любом масштабе для сбора данных и реагирования на события по всем хостам, в том числе непосредственно из консоли или через интерфейс командной строки для автоматизации процессов. Проще говоря, если вы можете написать скрипт для реализации вашей задачи, то вы можете масштабировать его на всю организацию с помощью RSO.
Заключение
При использовании традиционных инструментов хостовой защиты выполнять команды на каждой машине приходится вручную. Огромное количество данных, устройств и процессов в современных корпоративных средах значительно увеличило объемы и масштабы ИТ- и ИБ-процессов, поэтому специалисты просто не успевают справиться с ними без помощи технологий.
Благодаря SentinelOne RSO команды ИБ и ИТ могут настраивать и удаленно выполнять действия по восстановлению и реагированию на всех машинах на любой поддерживаемой ОС. Это помогает оперативно сдерживать атаки. SentinelOne RSO — не имеющее аналогов решение для удаленной оркестрации скриптов, которое поддерживает среды MacOS, Windows и Linux в рамках одной платформы с ведущим в отрасли функционалом EPP, EDR и XDR.
Хотите узнать больше?
Чтобы узнать больше о решениях Singularity XDR, запросите демо, расчет цен или тестирование по этой ссылке.