Open in app

Sign in

Write

Sign in

Sentinelone EDR Kullanım Rehberi

Ata Erdemir
10 min readFeb 1, 2023

--

İçindekiler

  • Sentinelone Hakkında
  • Teknik Özellikler (Technical Features)
  • Özellikler (Features)
  • Tehdit Tespiti (Threat Detection)
  • Tehdit Avcılığı (Threat Hunting)
  • AI — Desteklenmiş Önleme (Assisted Prevention)
  • Otomatik Müdahale (Automated Response)
  • Ajanlar (Agents)
  • Site
  • Ağ Kontrolü (Network Control)
  • Göz ardı Edilenler (Exclusions)
  • Cihaz Kontrol (Device Control)
  • Son Kullanıcı (End Points)
  • Paketler (Packages)
  • Yükseltme Prosedürleri (Upgrade Policies)
  • Hesap Bilgisi (Account Information)
  • Site Bilgisi (Site Information)
  • Olaylar (Incidents)
  • Hikaye Akışı Özelliği (Storyline)
  • Uygulamalar (Applications)
  • Aktivite (Activities)
  • Raporlar (Reports)
  • Otomasyon (Automation)
  • Ayarlar (Settings)
  • Konfigürasyonlar (Configurations)
  • Bildirimler (Notifications)
  • Kullanıcılar (Users)
  • Entegrasyon (Integrations)
  • Hesaplar
  • Siteler
  • Konum

SentinelOne Hakkında

Kapsamlı güvenlik önlemleri, bir kuruluşun BT mimarisindeki varlıklar için uçtan uca koruma sağlayan önlemlerdir.

SentinelOne, kuruluşların güvenlik açıklarını keşfetmesini ve BT operasyonlarını korumasını sağlayan tehdit algılama, avlama ve yanıtlama özellikleri sağlayan kapsamlı bir kurumsal güvenlik platformu örneğidir. SentinelOne, gerçek zamanlı uç nokta koruması sağlamak ve araştırmaları amacından saptıran ve yoğun bir süreç haline getiren yanlış pozitifleri azaltmak için statik yapay zekayı (AI) entegre eder.

Platformun kapsadıkları:

  • Tehdit Tespiti
  • Tehdit Avcılığı
  • AI- Desteklenmiş Önleme (Assisted Prevention)
  • Otomatik Müdahale

Teknik Özellikler

  • Sentinelone, Mimikatz dosyasını, echo’yu değiştirse bile kodlanmış kötü amaçlı bilinmeyen binary dosyaları algılayabilir.
  • SentinelOne USB, Bluetooth vb özellikleri kısıtlayabilme özelliğine sahiptir.
  • Tehdit avcılığı
  • Lolbin gibi sorgulamalar mevcuttur.
  • Bulut tabanlı istemci yönetimi (GPO ile).
  • Destek ulaşılabilirliği 7/24.
  • Lisanslama metodu istemci sayısıyladır.
  • Uzaktan Kontrol Özelliği (2FA)
  • Uygulama Envanteri
  • MacOS, Windows ve Linux desteği.
  • YARA Kurallarını destekler.
  • Syslog, cef, cef2 ile SIEM konfigürasyonu.

SentinelOne Temel Özellikleri

Tehdit Tespiti

Tehditlerin gerçek zamanlı olarak algılanması, keşfedilen tehditleri BT ekosistemlerine zarar vermeden önce hafifleten anında müdahaleyi destekler. SentinelOne, kötü amaçlı eylemleri ve davranışları tanımak/algılayabilmek için patentli bir Davranışsal AI özelliği kullanır. Tehdit algılama, dosyasız, sıfırcı-gün ve ülke(nation-grade) düzeyindeki saldırıları algılamak için uygulanır. AI entegrasyonu, tehditlerin zamanında keşfedilmesini sağlayarak fidye yazılımı ve kimlik avı saldırılarının etkilerini azaltır.

Tehdit Avcılığı

Kuruluşlar, tehditleri keşfetmeye yönelik reaktif bir süreç yerine proaktif bir sürece sahip olmayı bir hedef haline getirmelidir. Proaktif tehdit avı, saldırıların bir kurumsal ağa veya altyapıya ulaşmadan önce araştırılmasını sağlar. SentinelOne, tehdit avlarken hızlı sorgulama süreleri ve gelişmiş eylemler, kabiliyet ve çeviklik sunar. Gelişmiş eylemler, saldırıların arkasındaki nedeni, full-native remote shell ve daha fazlasını anlamak için önceden endekslenmiş adli (forensics) bağlamı içerir.

AI — Desteklenmiş Önleme (Assisted Prevention)

SentinelOne, saldırıları gerçek zamanlı olarak önlemek için Statik AI’yı uç noktalara entegre eder. Yapay zekanın entegrasyonu, tehditlerin ağ sistemlerini etkilemeden önce hızla ortadan kaldırılmasını ve ele alınmasını sağlar. SentinelOne önleme modeli, gerçek tehditleri önlemeye odaklanırken düşük yanlış pozitifler ürettiği için eski antivirüs çözümlerinden daha verimli olabilir.

Otomatik Müdahale (Automated Response)

SentinelOne, bir ağ içindeki sorunlara yanıt vermek için ActiveEDR’yi kullanır. ActiveEDR, davranışsal yapay zekayı bütünleştirir ve kötü amaçlı etkinlikleri tersine çevirme ve kaldırma yeteneğine sahiptir. Kuruluşlar, gerçek zamanlı olarak gerçekleşmesini sağlamak için yanıt sürecini otomatikleştirebilir. Yapay zeka destekli yanıt, kurumsal ağlara bağlı cihazların gerçek zamanlı olarak tehditlere bireysel olarak yanıt verebilmesini sağlar.

Ajanlar

Sentinelone, MacOS, Linux, Windows ortamlarını destekler. Her platform için ajan üretmek için lütfen aşağıdaki adımları izleyin:

Sentinels sekmesine gidiniz.

Sentinel sekmesinden, packages kısmını seçiniz.

Her platform için ajanların nasıl indirileceğinin gösterimini görebilirsiniz. “1” rakamı, ajanların yerini gösterir. “2” rakamına tıklayarak tüm platform türleri size ilgili ajanın kurmak istediğiniz işletim sistemleri ortamını sağlayacaktır. Sonuncusu olan “3”, en üstteki ajanların en son sürümü olacaktır.

Yukarıdaki görseldeki simgeye tıklarsanız, ajanı indirmeye başlar.

Site

Site aslında firma ya da firmalar için ayrımcı bir takip alanı açmak için üretilmiş bir özelliktir. Örneğin “XYZ” kullanıcılarını ve sunucularını izlemek için “XYZ” isimli bir site açılabilir. “ABC” sitesi için ayrı bir ikinci site açılabilir.

Yeni bir site açtığınızda default olarak isimlendirilen “Varsayılan site” oluşturulacaktır. Varsayılan tarafta amaca göre yeni gruplar oluşturulabilir. Her grup için özel politikalar tanımlayabilirsiniz.

Kurulum işlemi sırasında resmin altındaki “site token” gerekli olacaktır. Ancak burada dikkatli olunmalıdır. Tüm ajanları “Varsayılan siteye” yüklemek istiyorsanız, “Varsayılan sitenin token’ını” paylaşabilirsiniz.

Bu durumda oluşturabileceğiniz tek bir hesap vardır ve lisans miktarını diğer sitelerle paylaştırabilirsiniz. Örneğimizde “XYZ” ve “ABC” olarak iki site oluşturabilirsiniz. Bundan sonraki metinlerde “site” isimleri XYZ veya ABC olarak adlandırılacaktır.

Ağ Kontrolü (Network Control)

Sentinelone güvenlik duvarı politikasını bulmak ve değişiklik yapmak için lütfen aşağıdaki talimatları izleyin:

Lütfen XYZ’nin(Random bir adlandırma yapılmıştır anlaşılması için.) ana dizinine gidin.

Lütfen güvenlik duvarını ve ardından Ağ Kontrolü’ne tıklayın.

Yeni kural eklemek için lütfen “yeni kural”a tıklayın.

Mevcut kuralda konfigürasyon değişikliği yapmak için lütfen ilgili kurala tıklayıp işlemlere geçiniz.

Göz ardı Edilenler (Exclusions)

İlk Türkçeye çevirdiğimde biraz değişik geldi ancak herhangi bir Türkçe karşılık bulamadım buna karşı. Önerisi olan var ise yorum yazabilir. Neyse konumuza geçelim.

İstisnalar yani gözardı edilenler (exclusion), belirli süreçler veya uygulamalar için hariç tutmayı sağlar. Hariç tutma yapmak için lütfen aşağıdaki talimatı izleyin:

Lütfen “Sentinels” bölümüne gidin ve “Exclusions” kısmına tıklayınız.

Lütfen “New Exclusions” bölmesine tıklayın ve “Exclude” etmek istediğiniz dosya yolu veya hash’i belirtiniz.

Cihaz Kontrol (Device Control)

Cihaz kontrol sekmesi, “Usb veya Bluetooth bağlantısı” engellemeleri gibi kurallar koyabileceğiniz alandır.

Lütfen her bir “Hesap, site veya grup” için bir yapılandırma yapmanız gerektiğini unutmayın. Ayrıca, belirli bir içerik olarak usb veya Bluetooth engellemelerini/izin vermelerini belirtebilirsiniz. Örneğin, USB’yi Satış ekibine özel olarak engelleyebilirsiniz.

Son Kullanıcı (End Points)

Paketler (Packages)

Endpointler için SentinelOne paketlerinin bulunduğu sekme. Bu kısımda önemli olan detaylar “Kullanılabilirlik Düzeyi”dir. “GA ve EA” vardır. GA, “Genel Olarak Kullanılabilir” anlamına gelir. EA, “Erken Erişim” anlamına gelir. Güvenilir aracı için, son kullanıcılar için GA’yı öneriyoruz. Ancak, yeni aracıları test etmek için “EA” test makinesine kurulabilir.

Ajanlar, tüm platformları etkin bir şekilde kullanmak için “DEB, MSI, EXE, RPM, GZ, DEB, PKG” uzantılarını içermektedir.

Yükseltme Prosedürleri (Upgrade Policies)

Yükseltme ilkesi sekmesinde, Agentların bakımını ne zaman yapacağınızı yönetebilirsiniz ve ayrıca tüm güncellemeleri haftalık olarak veya Agentları güncellemek istediğiniz belirli zamanlara göre planlamanıza olanak tanır.

Hesap Bilgisi (Account Information)

Hesabınız ile ilgili bilgileri gösterir.

Site Bilgisi (Site Information)

Site bilgileri, sitenizle ilgili lisanslar, site kimliği, toplam agent sayısı, oluşturma tarihi, son kullanma tarihi, “singulatiry” platform ayarları ve site token gibi bilgileri içerir.

Olaylar (Incidents)

Analist kısmı, meydana gelen olayları görebilir ve araştırabilir. Bu bölümde SoC analisti, ilgili olay sekmesini genişleterek uyarılar hakkında daha fazla ve daha derin araştırma yapabilir.

Burada sekmenin üst kısmında “tehdit durumu, AI Güven Düzeyi, Analist Kararı, Tanımlanan Zaman ve Raporlama Zamanı”nı görebileceksiniz.

Bu bölüm bize bu tehdidin henüz önlenmediği, bunun için aksiyon alınmadığını gösteriyor ve AI Güven Düzeyi “Şüpheli” diyor, bu durum, bunun kötü amaçlı olup olmadığından henüz emin olmadığı anlamına geliyor”. Sentinelone, güvenlik analistinin daha fazla araştırma yapması için durum hakkında bilgilendiriyor.

Burada güvenlik analisti olayla ilgili bir karar almalıdır. Sentinelone, “Ağ Geçmişi” hakkında bilgi sağlıyor. İlk ve son görüldüğü, uç noktalara(end-points) kaç kez çarptığı (hit) ve bundan kaç uç noktanın etkilendiği gibi bilgileri içerir ve ayrıca hesap, site ve grup bilgilerini verir. Bunun altında “Tehdit Dosya Adı” kısmı bulunmaktadır.

Bu bölüm bize kötü amaçlı/şüpheli dosya hakkında bilgi verir. Ayrıca, analiz için ilgili kötü amaçlı/şüpheli dosyayı indirme seçeneği de vardır.

Hikaye Akışı Özelliği (Storyline)

Hikaye Kimliği(Story ID), bu modelde bir grup ilgili olaya verilen bir kimliktir. Alakalı görünen anormal bir olay olduğunda, tek bir sorgu ile ilgili tüm süreçleri, dosyaları, ileti dizilerini, olayları ve diğer verileri hızlı bir şekilde bulmak için “Storyline Kimliğini” kullanabilirsiniz.

Bir tehdit avcısı olarak bu, sentinelone ürünündeki en iyi araçtır. Bu özellik size hızlı ve nokta bazlı bilgi verme yeteneği verir. Sentinelone, her olay için benzersiz bir kimlik oluşturur. Buna tıklayarak veya “derin görünürlük” seçeneğine tıklayarak analist, ilgili olay hakkında daha fazla bilgi elde eder.

Bu özellik, analiste ilgili olaya yanıt vermek ve harekete geçmek için daha fazla görünürlük ve daha hızlılık sağlar.

Analist, özelleştirilmiş arama parametreleriyle araştırmasında daha derine inebilir ve araştırmaları için daha yararlı IoC’ler bulabilir.

Ancak, SentinelOne’ın hikaye oluşturmadığı bazı durumlar vardır. Eğer statik bir motor ile algılarsa storyline oluşturmaz çünkü dosya çalışmaz ve işletim sisteminde olaylar oluşmaz. Bu sebepten ötürü adımları kaydederek hikaye oluşturamaz.

Uygulamalar (Applications)

Aşağıda gösterilen uygulama sekmesinde, analist veya yönetici, uç noktalarda (endpoints) kurulu ve güncel olmayan programları görebilir.

Bu sekmede, eski uygulamalar için faydalı bir rapor oluşturmak için dışa aktarma seçeneği vardır.

Aktiviteler (Activities)

Etkinlik sekmesi temel olarak oluşturulan sistemde (agent’ın bulunduğu bilgisayarlarda) meydana gelen her olayı gösterir. Buna ek olarak analist, indirilen tehdit dosyası durumunu buradan takip edebilir. SentinelOne Sandbox ile entegre ise, analiz tamamlandıktan sonra rapor burada görünür olacaktır.

Raporlar (Reports)

Sentinelone ile ilgili rapor oluşturulan sekme.

Bu sekme, PDF ve HTML olarak oluşturmak için iki tip rapor seçeneği sunar. Bir rapor oluşturmak için tıkladığınızda, aşağıda gösterilen ekranda bir açılır pencere olacaktır:

Burada, belirlediğiniz belirli bir zamana göre planlı veya tek seferlik yeni bir rapor oluşturabilirsiniz. Rapor içeriği istek ve ihtiyaçlarınıza göre çeşitlendirilebilir.

Raporu belirli bir e-postaya gönderebilirsiniz.

Otomasyon (Automation)

Otomasyon sekmesinde yönetici, günlük işlemleri ihtiyaca göre otomatikleştirmek için otomatik görevler vb. oluşturabilir. Görevler (Tasks) seçeneğinin sağında Script Library var. Ancak bu özelliği kullanmak için SentinelOne destek veya hizmet sağlayıcısı ile iletişime geçmeniz gerekir.

Ayarlar (Settings)

Ayarlar sekmesi, SentinelOne ürünündeki en önemli sekmelerden biridir. Ürünün kendisini yönetmek ve yapılandırmak için 8 farklı seçenek içerir.

Konfigürasyonlar (Configurations)

Burada, hareketsizlik zaman aşımı, oturum zaman aşımı vb. yapılandırmaları yönetebilirsiniz. Buna ek olarak, SentinelOne’ın her işletim sistemi için erken erişim programını bulabilirsiniz.

Erken erişim programı kapsamında, ayarlarda bir diğer önemli alan olan “Kullanılabilir Lisanslar” bölümünü bulabileceksiniz. Burada ürünün lisans numarasını, eklentilerini ve ayarlarını görebilirsiniz.

Bildirimler (Notifications)

Burada farklı alanlarda üründen almak istediğiniz bildirimi yönetebilirsiniz. SentinelOne’ın sağladığı her özellik için ihtiyacınıza göre bildirim alabilirsiniz. E-posta ve Syslog bildirimleri alabilirsiniz.

Kullanıcılar (Users)

Bu, ayarların en önemli kısmıdır. Bu sekmede yeni kullanıcı ve roller oluşturabilir ve yapılandırabilirsiniz. “İşlemler”e tıklayarak yeni bir kullanıcı oluşturabilir, mevcut kullanıcıları kopyalayabilir, kullanıcıları silebilir, 2FA’larını sıfırlayabilir ve doğrulama postası gönderebilirsiniz.

“Roller”e tıklayarak işlem butonunu bulabileceksiniz. Düğmeye tıklayarak yeni bir rol oluşturabilir veya mevcut olanları çoğaltabilir veya bir rolü silebilirsiniz.

• Yönetici: Atanan kapsamdaki tüm Konsol özellikleri ve eylemleri.

  • C-Level: Raporları oluşturur, düzenler ve siler ve tam Konsolu görür.
  • IR Ekibi: Olayları Derin Görünürlük ile analiz eder ve yanıt verir ve olay yanıtı ile temel neden analiz raporları oluşturur.
  • BT: Uç noktaları, kapsamları, dışlamaları, kara listeleri ve bazı ayarları yönetir, örneğin: Bildirimler, Cihaz Kontrolü, Güvenlik Duvarı Kontrolü.
  • SOC: Önleme ve düzeltme izinleriyle tehditleri analiz eder ve bunlara yanıt verir.
  • Görüntüleyici: Atanan kapsamdaki Konsol özelliklerine ve verilerine salt okunur şekilde erişime sahip olur.

Entegrasyon (Integrations)

Bu sekme size entegrasyon işlemlerini sağlar. Burada SMTP, SYSLOG, SSO entegrasyonlarını kullanabilirsiniz.

Hesaplar

Birden fazla hesabı yönetiyorsanız burada. Bu sekme, sahip olduğunuz hesapları ve ayrıntılarını tek bir sayfada gösterir.

Siteler

Bu, size şu anda oluşturduğunuz ve yönettiğiniz tarafları ve her siteyle ilgili ayrıntıları gösterir.

Konum

Kurumsal VPN’de olsun ya da olmasın, uç noktaların güvenlik duvarı politikaları ile sınırlandırılabildiği ve bu güvenlik departmanlarının istediği URL, IP, DNS’e erişimlerinin sağlanabildiği sekmedir. Aynı zamanda network segmentasyon gibi özellikler burada aktif olarak kullanılabilmektedir.

Bir sonraki yazımda sizinle bir EDR Ransomware karşısında neler yapar, kapasiteleri nelerdir vb soruların cevabını alabileceğiniz bir case inceleyeceğim.

Sağlıcakla,

Ata

Sentinelone
Edr
Xdr
Cybersecurity

--

--

Ata Erdemir
Ata Erdemir

Written by Ata Erdemir

102 Followers
123 Following

An ordinary security guy and coffee addicted!

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams