Voici les nouveautés de la dernière mise à jour chez SentinelOne et leur solution Singularity EDR.
Les nouveautés de la console Tokyo SP4
Nouveau type d’utilisateur : Utilisateur de la console / Utilisateurs de services
A partir de la version Tokyo SP4, il existe deux types d’utilisateurs : Console et Service. Les deux sont créés et gérés de manière similaire, mais ils ont des objectifs différents.
- Les utilisateurs de la console (le seul type d’utilisateur avant Tokyo SP4) peuvent accéder à la console de gestion ou à l’API et sont chacun connectés à une adresse e-mail permanente.
- Les utilisateurs de services peuvent uniquement utiliser l’API et obtenir un jeton d’API qui n’est pas lié à un utilisateur de console ou à une adresse électronique spécifique. Par exemple, lorsque vous avez besoin d’un jeton d’API Console pour une intégration avec un produit spécifique, vous pouvez créer un utilisateur de service pour l’intégration.
Caractéristiques d’un utilisateur de services :
- Peut utiliser l’API mais ne peut pas effectuer d’actions à partir de la console de gestion.
- Possède un nom et une description facultative, mais une adresse électronique n’est pas requise. Le nom ne peut pas être modifié après la création de l’utilisateur, la description peut être modifiée.
- Il n’est pas nécessaire que le nom d’un utilisateur de service soit unique dans la portée ou dans l’environnement. Nous vous recommandons d’utiliser des noms uniques pour le suivi et l’audit.
- Les exigences 2FA et SSO ne s’appliquent pas.
- Utilise les mêmes RBAC et scopes que les utilisateurs de la console.
- Vous pouvez choisir la date d’expiration du jeton d’API lorsque vous créez un utilisateur de service. Le délai d’expiration peut être aussi long ou aussi court que nécessaire. Après avoir créé l’utilisateur de service, vous ne pouvez plus modifier la date d’expiration.
- Par exemple, cliquez sur Personnalisé pour sélectionner une date dans trois ans ou pour entrer une heure exacte le jour même de la création de l’utilisateur.
Modifications du provisionnement de Ranger et Rogues
Ranger et Rogues sont désormais des modules complémentaires de fonctionnalité pour les SKU qui sont provisionnés de la même manière que les autres modules complémentaires de fonctionnalité.
Lorsque Ranger ou Rogues est activé, le niveau de consolidation de Ranger est également défini. Il s’agit de l’étendue à laquelle Ranger collecte et corrèle les données. Pour les MSSP, il peut être défini sur Site. Pour tous les autres clients, il s’agit du compte.
Changements lors de la création ou de la modification de comptes
Les comptes ont maintenant un type d’utilisation et un mode de facturation. Pour tous les comptes non-MSSP, Client est sélectionné et les paramètres sont désactivés car ils ne peuvent pas être modifiés.
Pour les comptes MSSP uniquement : Type d’utilisation : MSSP est sélectionné et vous pouvez sélectionner le Mode de facturation.
- Consommation – Le prix dépend des fonctionnalités et des services consommés.
- Abonnement – Le contrat prévoit un prix fixe pour les fonctionnalités et les services.
Les nouveautés de l’agent 22.1
Mise à niveau plus robuste – Mise à niveau améliorée pour les agents en fin de vie et en mauvais état de fonctionnement
Cette version introduit un installateur EXE amélioré avec de nouvelles capacités, des flux de mise à niveau plus robustes et un meilleur taux de réussite de la mise à niveau. SentinelOne prends toujours en charge le package d’installation MSI, mais nous vous recommandons d’utiliser le nouvel installateur EXE. Le nouveau package d’installation est un installateur MSI exécuté par un exécutable SentinelOneInstaller.exe.
Installation sans redémarrage : Toutes les fonctionnalités de l’agent fonctionnent sans redémarrage, à l’exception de la détection de l’intelligence artificielle comportementale.
Dans la version 22.1 de Windows Agent, SentinelOne introduise une étape importante vers l’installation de l’Agent sans redémarrage. À partir de Windows Agent 22.1, la plupart des fonctionnalités de l’Agent sont opérationnelles après l’installation, même si vous ne redémarrez pas le terminal. Cela inclut la détection statique, Deep visibility, toutes les actions de l’agent et toutes les fonctions de réponse.
La principale fonctionnalité qui continue à nécessiter un redémarrage est la détection et l’atténuation de l’IA comportementale.
Rapport sur les métadonnées du cloud public
La console de gestion affiche les métadonnées du cloud lorsque l’agent est installé sur des serveurs Windows fonctionnant sur les fournisseurs de cloud AWS, Azure ou GCP. Ces données se trouvent sur la page Endpoints et dans la fenêtre Endpoint Details.
Nouveaux indicateurs comportementaux
Les indicateurs comportementaux peuvent être utilisés par les clients de Complete pour rechercher des attaques spécifiques dans leur environnement. Ils peuvent utiliser ces indicateurs pour rechercher les instances précédentes de ces comportements dans leur environnement (sur les versions de l’agent prises en charge), ou définir des règles STAR à déclencher sur les nouvelles instances.
Pour aller plus loin :
N’hésitez pas à contacter nos experts si vous souhaitez d’avantages d’informations.
