TABLE DES MATIÈRES
- Meilleures pratiques de SentinelOne pour les modes de politique
- Définitions
- Meilleures pratiques pour les modes de protection
- Meilleures pratiques pour les moteurs de détection et l’agent
- Configuration du mode de protection
- Paramètres des moteurs de détection
- Paramètres de sécurité de l’agent
- Paramètres de collecte d’événements par défaut
Meilleures pratiques de SentinelOne pour les modes de politique
Les paramètres de politique sont cruciaux pour optimiser la sécurité et garantir une détection et une réponse efficaces aux menaces. SentinelOne offre une large gamme de paramètres de politique qui permettent un meilleur contrôle pour sécuriser efficacement les points de terminaison.
Pour vous aider à naviguer dans les paramètres de politique à utiliser, nous avons rassemblé les meilleures pratiques de gestion des politiques des experts de SentinelOne et de leur vaste base d’installation mondiale.
Remarque : Ces paramètres de politique doivent servir de guide, mais un jugement manuel est nécessaire, en fonction de la culture de votre organisation, de ses exigences, de la conformité réglementaire et d’autres facteurs propriétaires. Gardez à l’esprit vos processus de gestion du niveau de risque, car vous équilibrez vos politiques entre l’automatisation de la sécurité et les performances.
Définitions
Détecter
Définit l’action de l’agent : envoyer des alertes mais ne pas atténuer automatiquement.
Malveillant
Résultat de l’IA de l’agent avec une haute confiance qu’une détection est malveillante et un niveau de préparation à atténuer.
Politique
Ensemble d’actions d’atténuation qui définissent le comportement des agents SentinelOne et de leurs moteurs de détection.
Protéger
Définit l’action de l’agent : atténuer automatiquement les acteurs malveillants avec la suppression de processus (pour les menaces connues et inconnues), la mise en quarantaine des fichiers et la remédiation (s’il y a des changements malveillants) ou le retour en arrière (pour les ransomwares). Envoyer des alertes de menace atténuée.
Remarque : Si une détection bénigne est mise en quarantaine, vous pouvez la sortir de quarantaine.
Suspect
Résultat de l’IA de l’agent avec une faible confiance qu’une détection est malveillante et un niveau de préparation à valider (nécessite généralement une analyse manuelle). Le comportement du fichier ou du processus montre qu’il fait ou peut faire du mal ou créer des fichiers ou des processus nuisibles.
Meilleures pratiques pour les modes de protection
| Mode de protection | Résultats |
Menace malveillante - Protéger Menace suspecte - Détecter | À quoi s’attendre ? (Politique par défaut) L’agent atténue automatiquement les menaces avec la suppression de processus et la mise en quarantaine des fichiers. Pour les détections suspectes, l’agent envoie des alertes d’activité suspecte sans atténuation automatique. Niveau de risque : Moyen. Cette politique est un équilibre entre l’atténuation automatique des menaces à haute confiance et l’activité commerciale et les performances non perturbées qui peuvent être interrompues si des faux positifs sont bloqués. Quand l’utiliser ? C’est le mode de politique recommandé par défaut pour les déploiements de masse. Il est le plus populaire auprès de la base d’installation de SentinelOne. |
Menace malveillante - Protéger Menace suspecte - Protéger | À quoi s’attendre ? Toutes les menaces et activités suspectes sont automatiquement atténuées. Niveau de risque : Faible. Sécurité automatique complète. Quand l’utiliser ? Cette option offre le plus haut niveau de sécurité et de protection en temps réel. Elle est requise pour la garantie ransomware de SentinelOne. Cas d’utilisation :
|
Menace malveillante - Détecter Menace suspecte - Détecter | À quoi s’attendre ? Toutes les activités malveillantes créent des alertes de menace active ou d’activité suspecte mais aucune atténuation ne se produit. Remarque : Aucune exécution n’est bloquée en mode Détecter. Dans les versions antérieures de l’agent Windows (avant 3.1), l’agent bloquait l’exécution des menaces connues par le service d’intelligence cloud de SentinelOne ou sur votre liste de blocage. Niveau de risque : Élevé. Les menaces de toutes sortes s’exécuteront jusqu’à ce que vous les atténuiez manuellement. Quand l’utiliser ? Ce n’est pas recommandé comme politique à long terme pour toute l’organisation. Le niveau de risque implicite est trop élevé et les avantages d’un agent autonome qui peut prévenir les menaces ne sont pas activés. Vous pouvez définir cette politique pour les points de terminaison avec une très haute sensibilité aux interruptions des processus commerciaux, comme les serveurs de production. Mais nous recommandons d’utiliser cette politique pour une courte phase d’apprentissage. Cela vous donne l’opportunité de surveiller de près et de résoudre les faux positifs avec des exclusions de meilleures pratiques. |
Meilleures pratiques pour les moteurs de détection et l’agent
- Tous les moteurs de détection sont activés.
- Le moteur de détection des menaces interactives est activé et apparaît dans la politique lorsque le mode avancé est activé. Si vous ne le voyez pas, activez le mode avancé dans la configuration.
- Le moteur de contrôle des applications est uniquement pour les conteneurs et n’est pas requis.
- L’anti-sabotage est activé.
- Les instantanés sont activés.
- L’analyse des nouveaux agents est activée.
Choses à garder à l’esprit…
- Vous pouvez vouloir activer la remédiation et le retour en arrière pour une remédiation automatique complète des menaces. Vous pouvez laisser la remédiation et le retour en arrière désactivés si vous voulez que votre analyste ou support technique enquête sur chaque menace et détermine si une remédiation supplémentaire est nécessaire.
- Pour les serveurs critiques qui ne doivent pas être déconnectés du réseau, assurez-vous de laisser la Containment – Déconnexion du réseau désactivée.
Ci-dessous une comparaison complète des paramètres de politique par défaut et recommandés.
Configuration du mode de protection
Paramètre du mode de protection | Configuration par défaut | Configuration recommandée | Description |
| Menace malveillante | Protéger | Protéger | Lorsque réglé sur Détecter : Envoie des alertes de menace non atténuée lorsqu’il détecte une menace malveillante. Ne pas atténuer automatiquement. Lorsque réglé sur Protéger : L’agent tue automatiquement tous les processus et met en quarantaine les fichiers qu’il détermine avec une haute confiance comme étant malveillants, et envoie des alertes de menace atténuée. Cela offre le plus haut niveau de sécurité automatique et de protection en temps réel. C’est requis pour la garantie ransomware de SentinelOne. |
| Menace suspecte | Détecter | Protéger | Lorsque réglé sur Détecter : L’agent envoie des alertes de menace non atténuée lorsqu’il détecte une menace suspecte. Ne pas atténuer automatiquement. Lorsque réglé sur Protéger : L’agent tue automatiquement tous les processus et met en quarantaine les fichiers qu’il soupçonne d’être malveillants, et envoie des alertes de menace atténuée. Cela offre le plus haut niveau de sécurité automatique et de protection en temps réel. C’est requis pour la garantie ransomware de SentinelOne. |
| Niveau de protection | Tuer & Mettre en quarantaine | Tuer & Mettre en quarantaine | Lorsque l’agent détecte avec une haute confiance des processus malveillants ou suspects, il tue automatiquement les processus et met en quarantaine les fichiers. |
| Atténuation des macros malveillantes | Désactivé | Désactivé | Définit l’atténuation automatique des fichiers Office contenant des modules VBA malveillants. Lorsque désactivé, place les macros malveillantes des fichiers Office en quarantaine mais ne les supprime pas du fichier lui-même. Lorsque activé, supprime les macros malveillantes du fichier Office au lieu de placer le fichier en quarantaine. |
| Confinement : Déconnexion du réseau (disponible à partir de la version de gestion S-24.2.6) | Désactivé | Désactivé | Lorsque désactivé, l’agent ne déconnecte pas les points de terminaison du réseau si une menace est trouvée après l’exécution de la menace. Lorsque activé, les points de terminaison sont déconnectés du réseau si une menace est trouvée après l’exécution de la menace. Les points de terminaison ne sont pas déconnectés si une menace est détectée avant l’exécution (par les moteurs de réputation ou d’IA statique) car la menace n’est pas active. |
Paramètres des moteurs de détection
| Moteur de détection | Configuration par défaut | Configuration recommandée | Description |
| Réputation | Activé | Activé | Un moteur d’intelligence des menaces qui correspond aux hachages de fichiers sur disque avec différents flux d’intelligence des menaces et des listes de blocage définies par l’utilisateur pour s’assurer qu’aucun fichier malveillant connu n’est écrit sur le disque ou exécuté. Vous ne pouvez pas désactiver ce moteur. S’applique à tous les points de terminaison. |
| IA statique | Activé | Activé | Un moteur d’IA statique qui utilise des technologies d’apprentissage automatique et des heuristiques (via des règles YARA) pour analyser les fichiers malveillants exécutés ou écrits sur le disque. Les détections malveillantes ont un score de confiance élevé généré par le moteur d’IA statique. S’applique à tous les points de terminaison. |
| IA statique - Suspect | Activé | Activé | Un moteur d’IA statique qui utilise des technologies d’apprentissage automatique et des heuristiques (via des règles YARA) pour analyser les fichiers suspects exécutés ou écrits sur le disque. Les détections suspectes ont un score de confiance modéré généré par le moteur d’IA statique. S’applique à tous les points de terminaison. |
IA comportementale - Exécutables | Activé | Activé | Un moteur d’IA comportementale qui utilise des techniques d’apprentissage automatique pour détecter les chaînes de processus associées à des activités malveillantes. Ce moteur détecte les activités malveillantes en temps réel, lorsque les processus s’exécutent. S’applique à tous les points de terminaison. |
| Documents, scripts | Activé | Activé | Un moteur d’IA comportementale qui utilise des techniques d’apprentissage automatique pour détecter les documents et scripts malveillants. S’applique à tous les points de terminaison. Si ce moteur est désactivé, il est uniquement désactivé pour les points de terminaison Windows. |
| Mouvement latéral | Activé | Activé | Un moteur d’IA comportementale qui détecte les attaques initiées par des dispositifs distants. Les attaquants trouvent un hôte sur un réseau et l’utilisent pour compromettre d’autres dispositifs sur le même réseau. S’applique uniquement aux points de terminaison Windows. |
| Anti-exploitation/Sans fichier | Activé | Activé | Un moteur d’IA comportementale qui se concentre sur les exploits de mémoire et les techniques d’attaque sans fichier, telles que les exploits liés au web et à la ligne de commande. S’applique à tous les points de terminaison. Si ce moteur est désactivé, il est uniquement désactivé pour les points de terminaison Windows. |
| Applications potentiellement indésirables | Activé | Activé | Un moteur d’IA statique pour les appareils macOS qui inspecte les applications généralement inadaptées aux réseaux d’entreprise et pouvant potentiellement être utilisées pour des opérations malveillantes. S’applique uniquement aux points de terminaison macOS. |
| Contrôle des applications (uniquement pour les conteneurs) | Désactivé | Activé | Lorsque activé, le moteur s’assure que seuls les exécutables de l’image de conteneur d’origine s’exécutent dans le conteneur. Cela maintient l’immutabilité des charges de travail conteneurisées. Cela prend en charge à la fois les clusters K8s et d’autres charges de travail conteneurisées. S’applique uniquement aux points de terminaison Linux et K8s. |
| Détection des menaces interactives | Désactivé | Activé | Lorsque activé, ce moteur d’IA comportementale détecte les activités malveillantes dans les sessions interactives (par exemple, un utilisateur authentifié exécute des actions malveillantes à partir d’une ligne de commande CMD ou PowerShell). Lorsqu’il est activé, ce moteur détecte les commandes malveillantes saisies dans une CLI, et il est donc susceptible de générer des faux positifs pour les points de terminaison avec des utilisateurs CLI légitimes actifs. S’applique uniquement aux points de terminaison Windows. |
Paramètres de sécurité de l’agent
Paramètre de sécurité | Configuration par défaut | Configuration recommandée | Description |
| Instantanés | Activé | Activé | Lorsque activé, l’agent conserve les instantanés VSS pour le retour en arrière. Si désactivé, le retour en arrière n’est pas disponible. S’applique uniquement aux points de terminaison Windows. |
| Anti-sabotage | Activé | Activé | Lorsque activé, l’agent ne permet pas aux utilisateurs finaux ou aux logiciels malveillants de modifier, désinstaller ou désactiver l’agent. S’applique à tous les points de terminaison. |
| Analyse des nouveaux agents | Activé | Activé | Lorsque activé, les agents effectuent une analyse complète du disque lorsqu’ils se connectent pour la première fois à la gestion. L’analyse complète du disque trouve les activités suspectes dormantes, les menaces et les violations de conformité, qui sont ensuite atténuées selon les paramètres de menace malveillante et de menace suspecte de la politique. S’applique à tous les points de terminaison. |
| Blocage des pilotes suspects | Activé | Activé | Lorsque activé, un moteur préventif empêche les pilotes de noyau Windows suspects de se charger. Ces types de pilotes sont bloqués :
S’applique uniquement aux points de terminaison Windows avec des versions d’agent 23.4 et supérieures. |
| Journalisation | Activé | Activé | Lorsque activé, l’agent enregistre les journaux pour le dépannage et le support. S’applique uniquement aux points de terminaison Windows. |
| Mise à niveau/déclassement local : Autorisation en ligne | Désactivé | Activé | Lorsque activé, les utilisateurs finaux doivent obtenir une autorisation avant de pouvoir mettre à niveau (ou rétrograder) localement les agents. Si vous activez ce paramètre, vous devez aller à la page d’autorisation de mise à niveau locale pour autoriser les mises à niveau locales. |
Paramètres de collecte d’événements par défaut
Paramètre de collecte d’événements | Configuration par défaut | Configuration recommandée | Description |
| Activer ou désactiver la visibilité approfondie | Désactivé | Activé | La visibilité approfondie est activée ou désactivée pour ce périmètre. Lorsqu’elle est activée, les agents envoient les données de visibilité approfondie à la gestion. S’applique à tous les points de terminaison. |
| Processus | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les processus créés et modifiés. S’applique à tous les points de terminaison. |
| Fichier | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les fichiers créés, modifiés ou supprimés. S’applique à tous les points de terminaison. |
| URL | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les sites visités. Nécessite l’extension de navigateur SentinelOne pour la plupart des navigateurs. S’applique à tous les points de terminaison. |
| DNS | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les données de connexion DNS. S’applique à tous les points de terminaison. |
| IP | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les données de connexion entrantes et sortantes. S’applique à tous les points de terminaison. |
| Connexion | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les événements liés à la connexion. S’applique uniquement aux points de terminaison Windows et macOS. |
| Clés de registre | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les événements qui ajoutent, modifient ou suppriment des clés de registre. S’applique uniquement aux points de terminaison Windows. |
| Tâches planifiées | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les données des tâches planifiées. S’applique uniquement aux points de terminaison Windows. |
| Indicateurs comportementaux | Désactivé | Activé | Lorsqu’il est activé, les agents collectent et organisent les données sur les comportements et techniques suspects. S’applique à tous les points de terminaison. |
| Scripts de commande | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les scripts PowerShell et autres scripts en ligne de commande. S’applique uniquement aux points de terminaison Windows. |
| Processus croisés | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les événements entre processus. S’applique à tous les points de terminaison. |
| Pipes nommés | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les pipes nommés créés et les collections distantes. S’applique uniquement aux points de terminaison avec l’agent Windows 22.4 et supérieur. |
| Chargement de pilote | Désactivé | Activé | Lorsqu’il est activé, les agents collectent les événements de chargement de pilotes. S’applique uniquement aux points de terminaison Windows. |
| Masquage des données | Désactivé | Activé | Lorsqu’il est activé, les agents masquent les chemins des documents ZIP, PDF et Office. S’applique à tous les points de terminaison. |
| Surveillance ciblée des fichiers | Désactivé | Désactivé | Lorsqu’il est activé, les agents se concentrent sur la collecte de fichiers binaires et de fichiers susceptibles de contenir du contenu actif. Cela peut améliorer considérablement la consommation de bande passante réseau. S’applique uniquement aux points de terminaison avec les agents Windows et Linux 22.3 et supérieur. |
| Installer automatiquement les extensions de navigateur Deep Visibility | Désactivé | Activé | Important : Ne sélectionnez pas cette option si votre organisation utilise Google Workspace (anciennement G Suite) pour gérer les extensions de navigateur. Lorsqu’elle est installée, cette option remplace les autres extensions de navigateur déployées avec Google Workspace. Si votre organisation utilise Google Workspace pour déployer des extensions de navigateur, désélectionnez cette option et déployez l’extension de navigateur SentinelOne de la même manière que vous déployez d’autres extensions. S’applique uniquement aux points de terminaison avec les agents Windows 4.7 et supérieur. |