AV - SentinelOne
Introduction
SentinelOne est une société US fondée en janvier 2013. Elle fait partie des sociétés innovante dans le domaine de la sécurité informatique. Durant l'année 2017 SentinelOne a été nommée visionnaire dans le quadrant magique de Gartners pour la deuxième année consécutive.
La mise en place du produit SentinelOne fait partie des antivirus les plus simples que nous avons eu à mettre en place. Le produit est administrable via une console Web et d'un agent simple à mettre en place sur le master avec un paramètre spécifique.
Dashboard
Vous trouverez sur le "Dashboard" des informations sur votre environnement (Fichiers "Suspicious", "Blocked", "Mitigated" et "Active". Les agents qui sont "Online", "Infected" et "Out of date".
Activity
Vous trouverez sur "Activity" les informations sur l'ensemble de vos agents, les actions, les scans, les infections, ...
Analyze
Vous trouverez dans " Analyze" les fichiers, les applications, les applications par agents qui fonctionne sur le poste et qui peuvent être malicieux.
Network
Dans "Network" se trouve la vue de l'ensemble de vos agents qui sont actifs ou inactif.
Vous aurez la possibilité d'intégrer vos agents dans des groupes qui appliquera des politiques spécifiques.
"All Protected" vous permet de voir l'ensemble des agents protégés
Nous avons fait la création de deux groupes : Master et VM_RO
Création d'un groupe :
Vous avez la possibilité de choisir une "policies" appliqué au groupe.
Groupe "VM_RO"
Vous avez la possibilité de sélectionner l'agent et d'avoir des informations :
- Version l'agent
- Agent policy
- Console connectivity
- Network Status
- Scan Status
...
Il vous est possible de faire des actions sur VM à partir des agents :
Groupe "Master"
Blacklist / Whitelist
Nous trouverons dans "Blacklist / Whitelist" l'ensemble des fichiers intégrer dans le système de liste blanche ou liste noire.
Pour l'intégration d'un fichier dans l'une des listes, il faut faire une description et intégrer le SHA1 du fichier en question.
Reports
L’onglet "Reports" va vous permettre de générer des rapports d'information sur l'utilisation du produit.
Settings
Notifications
Vous avez la possibilité de recevoir des notifications mails et sms en fonction d'un niveau d'information (Critical, Advisory et information)
Par défaut le système envoie une notification sms pour un niveau "critical", un Email pour un niveau "Advisory" et dans le syslog pour "information".
Updates
Dans l'onglet "UPDATES" de "Settings" vous trouverez les liens de téléchargement pour les agents (Windows, Mac, Linux).
L'installation de l'agent sur une VM de type windows est très simple. Il vous suffit de faire l'installation via un paramètre d'installation spécifique.
L'installation de l'agent se fait sur le master directement. Une fois l'agent remonté dans la console appliqué la "Policies" Master et lancer ensuite un scan du disque.
Une fois le scan terminé, il faut éteindre proprement la VM.
SentinelOne_windows_v2_1_2_6003.exe /SILENT /VDI
Vous trouverez la documentation sur le site du support de SentinelOne
Exclusions
Dans l'onglet "EXCLUSION" vous avez la possibilité d'intégrer dans la liste d'exclusion des dossiers, fichiers, des types de fichiers, des navigateurs Web et des signatures.
Nous avons créé une règle d'exclusion pour le dossier ceBox® qui est un dossier caché à la racine de C:
Policies
Pour la configuration d'une politique VM_RO :
Il faudra que la politique mise en place dans sentinel One se rapproche des Bonnes pratiques Antivirus.
Il faudra faire un politique pour le Master qui permettra de faire un scan lors de l'installation de l'agent.
Updated 8 months ago