 偶尔,我们的CSEDR产品中包含的SentinelOne代理正在运行,但显示红色“x”表示代理正在运行, 但在SentinelOne主控制台不可见.
SentinelOne已经更新了他们的代理,以更好地解释APP客户端他们不通信. 大多数简单的原因,如本地数据库损坏,都可以在重新启动中解决. 这就是APP客户端您可能会让我们联系并要求特定的设备重新启动,以保持代理的最佳配置.
我们还每周发送“我们没有在一周中看到的CSEDR设备报告”,以保持持续的关注,确保所有代理商都在满负荷工作,并及时解决任何需要帮助的问题.
时不时地,我们会被问到SentinelOne代理的保护级别是什么它在运行,但包含一个红色的“x”. 下面是一个监视您的SentinelOne部署的上游soc提供的更完整的答案
“所有的规则, SentinelOne中的策略和执行完全包含在设备本身的平台中. 控制台主要用于接收本地触发的警报,以便进行纠正, 对所采取行动的威胁狩猎, 取证分析, 并在机器上执行任务,如断开/重新连接,如果验证发现威胁. 如果您选择了该选项,则由于已验证的威胁而断开连接是完全自动的. 在最近独立的MitreEnginuityCarbanak+FIN7勒索软件测试中, 需要独立于任何云控制台连接执行这些测试,并了解威胁参与者可能做的第一件事就是阻止实现控制台连接的端口. 除了, SOC团队有多种方法可以访问控制台以外设备上的日志,例如在需要时建立到设备的SSH连接."
底线是带有红色“x”的SentinelOne代理完全可操作并独立提供相同的保护,直到控制台可以再次看到它以发出警报,并允许安全运营中心团队增加可见性和更强大的修复.
我们的目标始终是跟踪您的代理,并与您一起尽快重新建立控制台连接,以获得完全可见的基本功能, 当代理处于活动状态并在端点上运行时,就会发生完全保护.
如果你有问题,请告诉我们.
新闻官斯科特Quimby |
最近的评论