SentinelOne

Description

L'EDR SentinelOne peut être déployé au sein de certaines machines virtuelles du lab.

Son agent est disponible à la fois sur Linux Ubuntu et Windows 10/Server 2016.

Les alertes et les logs de SentinelOne doivent être envoyés vers une console de gestion compatible uniquement.

Cet agent fonctionne à l'aide d'un jeton. Ce jeton permet à l'agent de récupérer sa configuration en ligne par rapport à la console de gestion.

Ensuite, la direction est de l'agent vers le Cloud uniquement.

Configuration

Actuellement, au sein de M&NTIS, SentinelOne est configuré pour enregistrer uniquement l'incident. Il n'essaie pas d'arrêter une attaque.

Pour fonctionner, SentinelOne a besoin d'une console de gestion, que vous devez vous procurer vous-même car elle n'est pas fournie par M&NTIS.

Activation

Vous devez fournir le jeton du site ou du groupe. Vous pouvez le récupérer en vous connectant à la console de gestion, en sélectionnant votre site ou votre groupe, puis en cliquant sur l'onglet « Site Info » ou « Group Info ». Copiez le jeton fourni.

Sur la page de configuration de l'exécution de M&NTIS, cliquez sur « Ajouter » dans la boîte de SentinelOne, et collez le jeton.

Utilisation

Connectez-vous à votre console de gestion. Ensuite, sélectionnez le site et/ou le groupe approprié où votre jeton est généré.

Dans notre exemple, le site est majj-nfr2 et le groupe est mantis.

Pour savoir si l'agent a réussi à contacter la console de gestion, cliquez sur l'icône Sentinels :

Votre (vos) agent(s) devrait(ent) apparaître. Ensuite, pour vérifier les alertes envoyées par les agents, vous pouvez cliquer sur l'icône Incidents :