Introdução
Se você estiver procurando por uma solução abrangente para proteger os endpoints do servidor Windows em várias nuvens, considere Agente S1, um componente de SentinelOne Cloud Workload Security. O agente S1 é uma ferramenta avançada que fornece recursos de prevenção, detecção, resposta e investigação para sua infraestrutura de servidor Windows em nuvem híbrida. Neste artigo, você aprenderá o que é o agente S1, por que você precisa dele, quais são seus benefícios e recursos, como baixá-lo e como usá-lo.
O agente S1 é um software leve executado em seus endpoints de servidor Windows, sejam eles máquinas físicas ou virtuais em seu datacenter ou no AWS EC2, Azure ou Google Cloud. O agente S1 utiliza inteligência artificial (IA) e aprendizado de máquina (ML) para proteger seus endpoints contra ataques baseados em arquivos e sem arquivos em tempo real, sem depender de assinaturas ou conectividade em nuvem. O agente S1 também fornece visibilidade total de detecção e resposta de endpoint (EDR), com retenção massiva de dados e correlação automatizada de eventos. Com o agente S1, você pode investigar e responder facilmente às ameaças, usando recursos como PowerShell remoto seguro, correção com um clique, reversão com um clique, controle de firewall, isolamento de rede e busca de arquivos.
download s1 agent
Alguns dos benefícios de usar o agente S1 são:
Segurança de endpoint de VM de nuvem híbrida: você pode consolidar sua segurança em diferentes ambientes de nuvem e gerenciá-los em um único console.
Prevenção em tempo real: você pode interromper ameaças conhecidas e desconhecidas antes que elas comprometam seus endpoints, usando mecanismos com tecnologia de IA que analisam milhares de histórias de sistema operacional simultâneas.
Tempo médio de reparo (MTTR) reduzido: você pode corrigir e reverter rapidamente quaisquer alterações maliciosas em seus endpoints, usando ações de um clique patenteadas que não requerem scripts.
Visibilidade total de EDR: você pode acessar até 365 dias de retenção de dados de EDR e aproveitar a integração da técnica MITRE ATT&CK para detecção e análise de ameaças.
Investigação acelerada: você pode usar a tecnologia Storyline para correlacionar automaticamente todas as operações de software em tempo real no terminal e criar um contexto acionável para cada processo vinculado.
Menos fadiga de alerta: você pode reduzir os falsos positivos e se concentrar nos alertas mais relevantes, usando a automação do Storyline Active Response (STAR) que aciona respostas no agente em tempo real.
Como baixar o agente S1
Para baixar o agente S1, você precisa ter uma conta no SentinelOne e acessar o console deles. Se você ainda não possui uma conta, pode solicitar uma demonstração ou uma avaliação gratuita no site deles. Depois de ter uma conta, você pode seguir estas etapas:
Faça login no console do SentinelOne com suas credenciais.
Vá para Configurações > Agentes e grupos > Baixar agente. Você verá uma lista de versões de agentes disponíveis para diferentes sistemas operacionais e arquiteturas.
Selecione a versão que corresponde ao sistema operacional e arquitetura do servidor Windows. Por exemplo, se você tiver um Windows Server 2019 de 64 bits, poderá escolher a versão Windows x64.
Clique no ícone de download ao lado da versão desejada. Você verá uma janela pop-up com o link de download e a senha. Copie ambos e salve-os em algum lugar seguro.
Acesse o endpoint do servidor Windows em que deseja instalar o agente S1. Abra um navegador da Web e cole o link de download na barra de endereços. Você será solicitado a inserir a senha. Digite-o e clique em OK.
O arquivo do instalador do agente S1 começará a ser baixado. Depois de baixado, execute-o como administrador e siga as instruções na tela. Você precisará aceitar o contrato de licença e escolher uma pasta de destino para a instalação.
Após a conclusão da instalação, você verá uma mensagem de confirmação de que o agente S1 está instalado e em execução em seu endpoint.Você também pode verificar o status do agente S1 na bandeja do sistema ou no aplicativo Serviços.
Como usar o agente S1
Depois de instalar o agente S1 nos endpoints do servidor Windows, você pode começar a usá-lo para proteger, detectar e responder a ameaças. Aqui estão algumas das coisas que você pode fazer com o agente S1:
Como acessar o console do SentinelOne e gerenciar seus dispositivos
O console do SentinelOne é a interface baseada na web onde você pode visualizar e gerenciar todos os seus endpoints que possuem o agente S1 instalado. Você pode acessar o console de qualquer dispositivo com conexão à Internet e um navegador da web. Para acessar o console, siga estas etapas:
Acesse e faça login com suas credenciais.
Você verá um painel que mostra uma visão geral de sua postura de segurança, como o número de endpoints, ameaças, alertas, incidentes e políticas.
Você pode usar o menu à esquerda para navegar para diferentes seções do console, como Dispositivos, Ameaças, Incidentes, Políticas, Relatórios, Configurações e Ajuda.
Você pode usar a barra de pesquisa no canto superior direito para encontrar dispositivos, ameaças, incidentes ou políticas específicas por nome, endereço IP, nome do host, grupo, tag ou status.
Você pode usar os filtros à direita para restringir seus resultados por vários critérios, como sistema operacional, versão do agente, pontuação da ameaça, nível de risco ou nome da política.
Você pode usar o menu de ações no canto inferior direito para executar várias ações em seus dispositivos, como verificar, isolar, corrigir, reverter, desinstalar ou buscar arquivos.
Como usar a ferramenta de linha de comando SentinelCtl para executar ações no agente S1
SentinelCtl é uma ferramenta de linha de comando que permite executar várias ações no agente S1 a partir de uma sessão remota do PowerShell. Você pode usar o SentinelCtl para verificar ameaças, atualizar políticas, habilitar ou desabilitar recursos, coletar logs e muito mais. Para usar o SentinelCtl, siga estas etapas:
Abra uma sessão do PowerShell no endpoint do servidor Windows em que o agente S1 está instalado.Você pode usar o PowerShell ou o PowerShell Core.
Navegue até a pasta onde o agente S1 está instalado. Por padrão, é C:\Program Files\SentinelOne\Sentinel Agent 4.x.x\
Digite .\SentinelCtl.exe seguido da ação que deseja executar e quaisquer parâmetros que deseja especificar. Por exemplo, se você deseja verificar ameaças com alto nível de sensibilidade e modo de saída detalhado, digite .\SentinelCtl.exe scan --sensibilidade alta --verbose
Pressione Enter e aguarde a conclusão da ação. Você verá uma mensagem indicando se a ação foi bem-sucedida ou não.
Você pode digitar .\SentinelCtl.exe --help para ver uma lista de todas as ações e parâmetros disponíveis.
Como usar o recurso Storyline para investigar e responder a ameaças
O Storyline é um recurso exclusivo do agente S1 que permite investigar e responder a ameaças de maneira visual e intuitiva. O Storyline correlaciona automaticamente todas as operações de software em tempo real no endpoint e cria um contexto acionável para cada processo vinculado. Você pode usar o Storyline para ver como uma ameaça começou, o que ela fez, como se espalhou e como você pode detê-la. Para usar o Storyline, siga estas etapas:
Faça login no console do SentinelOne e vá para Ameaças > Enredo.
Você verá uma linha do tempo de todas as ameaças detectadas pelo agente S1 em seus endpoints. Você pode usar os filtros no lado direito para restringir seus resultados por vários critérios, como pontuação de ameaça, nível de risco, técnica MITRE ATT&CK ou grupo de dispositivos.
Clique em qualquer ameaça para ver seus detalhes e seu enredo. Você verá uma representação gráfica do comportamento da ameaça, mostrando os processos, arquivos, conexões de rede, alterações no registro e outras ações envolvidas.
Você pode passar o mouse sobre qualquer nó ou borda no Enredo para ver mais informações sobre ele. Você também pode clicar em qualquer nó ou aresta para ver suas propriedades e ações.
Você pode usar o menu de ações no canto inferior direito para executar várias ações na ameaça, como isolar, remediar, reverter, eliminar o processo, excluir arquivo ou buscar arquivo.
Você também pode usar os botões no canto superior direito para exportar o enredo como um arquivo PDF ou CSV ou compartilhá-lo com outros usuários ou equipes.
Conclusão
O agente S1 é uma ferramenta poderosa que pode ajudá-lo a proteger os endpoints do servidor Windows em várias nuvens. Ele fornece recursos de prevenção, detecção, resposta e investigação que utilizam IA e ML para interromper ameaças em tempo real e fornecer visibilidade total de EDR. Você pode baixar facilmente o agente S1 do console do SentinelOne e instalá-lo em seus endpoints. Você também pode usar o console SentinelOne e a ferramenta de linha de comando SentinelCtl para gerenciar seus dispositivos e executar ações no agente S1. Você também pode usar o recurso Storyline para investigar e responder a ameaças de forma visual e intuitiva.
Aqui estão algumas dicas e práticas recomendadas para usar o agente S1:
Certifique-se de ter a versão mais recente do agente S1 instalada em seus endpoints. Você pode verificar se há atualizações no console SentinelOne ou na ferramenta de linha de comando SentinelCtl.
Certifique-se de ter uma política atribuída aos seus endpoints que corresponda às suas necessidades e preferências de segurança. Você pode criar e editar políticas no console SentinelOne ou na ferramenta de linha de comando SentinelCtl.
Certifique-se de monitorar seus endpoints regularmente em busca de ameaças ou alertas. Você pode visualizar e gerenciar ameaças e alertas no console SentinelOne ou na ferramenta de linha de comando SentinelCtl.
Certifique-se de usar o recurso Enredo para investigar e responder a ameaças em profundidade. Você pode acessar e exportar o Storyline do console do SentinelOne.
Certifique-se de entrar em contato com o suporte do SentinelOne se tiver dúvidas ou problemas com o agente S1. Você pode acessar o suporte no console do SentinelOne ou no site deles.
Se você quiser saber mais sobre o agente S1 e como ele pode ajudá-lo a proteger os endpoints do servidor Windows em várias nuvens, visite o site ou solicite uma demonstração ou uma avaliação gratuita. Você também pode conferir seu blog, recursos e webinars para obter mais informações e insights.
perguntas frequentes
Aqui estão algumas das perguntas mais frequentes sobre o agente S1:
Qual é a diferença entre EPP e EDR?
EPP significa plataforma de proteção de endpoint, que é uma solução que fornece recursos de prevenção para endpoints, como antivírus, firewall, controle de aplicativos, controle de dispositivos etc. EDR significa detecção e resposta de endpoint, que é uma solução que fornece recursos de detecção e resposta para endpoints, como busca de ameaças, investigação, remediação, reversão etc.
Como o agente S1 protege contra ataques sem arquivo?
Ataques sem arquivo são ataques que não dependem de arquivos ou executáveis para comprometer seus endpoints. Eles usam técnicas como scripts PowerShell, modificações de registro, injeções de memória, etc. O agente S1 protege contra ataques sem arquivo usando mecanismos baseados em IA que analisam milhares de histórias de sistema operacional simultâneas em tempo real no nível do endpoint. Esses mecanismos podem detectar qualquer comportamento malicioso ou anomalia que indique um ataque sem arquivo e interrompê-lo antes que cause algum dano.
Como o agente S1 se integra a outras ferramentas e plataformas de segurança?
O agente S1 integra-se com várias ferramentas e plataformas de segurança que você já pode usar em seu ambiente. Por exemplo, você pode integrar o agente S1 com ferramentas SIEM, como Splunk ou QR adar, ou ferramentas SOAR, como Demisto ou Phantom. Você também pode integrar o agente S1 com plataformas de nuvem, como AWS, Azure ou Google Cloud, e usar seus recursos nativos para implantar, gerenciar e monitorar o agente S1.Você também pode integrar o agente S1 com outras soluções de segurança, como firewalls, VPNs ou segurança de e-mail. Você pode encontrar mais informações sobre as integrações suportadas pelo agente S1 em seu site ou em sua documentação.
Como o agente S1 lida com o isolamento e a quarentena da rede?
Isolamento e quarentena de rede são ações que você pode executar em seus endpoints para impedir que eles se comuniquem com outros dispositivos ou redes. Isso pode ajudá-lo a conter uma ameaça ou impedir que ela se espalhe. O agente S1 permite que você execute isolamento de rede e quarentena em seus endpoints a partir do console SentinelOne ou da ferramenta de linha de comando SentinelCtl. Você pode optar por isolar ou colocar em quarentena um endpoint completamente ou permitir algumas exceções para endereços IP, portas ou protocolos específicos. Você também pode restaurar a conectividade de rede de um terminal quando desejar.
Como o agente S1 executa a correção e a reversão?
Remediação e reversão são ações que você pode executar em seus endpoints para desfazer qualquer alteração maliciosa causada por uma ameaça. Por exemplo, você pode remover um arquivo de malware, restaurar uma chave de registro ou recuperar um arquivo excluído. O agente S1 permite que você execute correção e reversão em seus endpoints a partir do console SentinelOne ou da ferramenta de linha de comando SentinelCtl. Você pode optar por corrigir ou reverter um ponto de extremidade automática ou manualmente, dependendo de suas configurações de política. Você também pode usar o recurso Enredo para ver quais alterações foram feitas por uma ameaça e quais ações foram tomadas pelo agente S1. 0517a86e26
Comments