Интеграция SentinelOne и Zscaler - улучшенный анализ киберугроз с помощью XDR

7 июня 2023

Стеки корпоративных технологий на сегодняшний день представляют собой сложную структуру. Это и распределенные приложения, пользователи и конечные точки, IoT устройства, развертывание новых инструментов.

zscaler-sentinelone

По мере увеличения векторов атак от конечных точек к сетям, в облаке, команды безопасности стремятся защитить инфраструктуру, как внутреннюю, так и за пределами сетевого периметра.

Чем больше элементов безопасности команды SecOps внедряют, тем больше предупреждений они получают. Аналитики безопасности вынуждены выбирать между инструментами, которые не интегрируются и не могут соединить составляющие всего стека технологий в одно целое. Таким образом, сбор и анализ данных происходит изолированно, без любой взаимосвязи. В этой ситуации появляются проблемы с видимостью и обнаружением и соответственно, времени на урегулирование сложностей потребуется больше. Поэтому возросла необходимость в новом подходе, новом уровне безопасности конечных устройств, сети и приложений.

Совместное решение Zscaler и SentinelOne

SentinelOne и Zscaler объединились для повышения корпоративной безопасности конечных точек, сети и облака. Программное решение обеспечивает улучшенную сквозную видимость, автоматическое реагирование и систему условного доступа. Продукт способствует расширению возможностей команд SecOps. Ускоряется реагирование с помощью действий, которые автоматически устранят угрозы в Zscaler перед компрометацией конечных устройств и в последующем предотвратят утечку данных.

Аналитики могут инициировать автоматические и ручные действия по реагированию из SentinelOne в Zscaler. К таким действиям относится отмена доступа, перемещение пользователей в карантин или в более ограничительную группу.

Это автоматически сдерживает возможности злоумышленника, способность его проникнуть и начать атаку. Скоординированное управление доступом пользователей через Zscaler Zero Trust Exchange обеспечивает безопасную систему условного доступа к SaaS-приложениям. Оно полностью основанное на принципах нулевого доверия. Дополнительные точки интеграции zero trust включают устройство проверки состояния агентом Zscaler Client Connector. Затем включаются политики условного доступа в зависимости от того, установлен ли агент SentinelOne и в рабочем ли он состоянии.

Это, в свою очередь, минимизирует поверхность атаки предприятия с использованием принципов нулевого доверия, политик условного доступа.

Полная интеграция Zscaler и SentinelOne позволяет специалистам по безопасности ускорить расследование и устранение угроз, не переключаясь между консолями. Отделы SOC теперь могут работать с угрозами гораздо эффективнее и с еще большей уверенностью в их устранении.

Как работает решение?

Расширенная видимость и ускоренное исправление

Это совместный продукт позволяет SentinelOne использовать журналы Zscaler для расширенной видимости и предоставляет специалистам настраивать гибкие политики реагирования прямо из консоли SentinelOne.

zte-sent-zscaler

Для развертывания интеграции Zscaler и SentinelOne достаточно выполнить следующие шаги:

Установите бесплатное приложение из Singularity Marketplace и укажите учетные данные Zscaler API.
Загрузите журналы Zscaler в инфраструктуру SentinelOne Singularity XDR.
Используйте политики по умолчанию или настраиваемые политики, чтобы инициировать ответные действия путем изменения группы пользователей. Например, предопределенные ограничительные или изолированные от браузера группы.

Это гарантирует, что пользователям предоставляется доступ к корпоративным приложениям и данным на основе динамических условий угроз и рисков пользователя.

Концепция нулевого доверия и условный доступ

Интеграция SentinelOne Zscaler Internet Access (ZIA) и Zscaler Private Access (ZPA) обеспечивает целостную систему условного доступа. Это означает, что идентификация на доверенном устройстве может предполагает прямой доступ к авторизованным корпоративным приложениям без разоблачения сети. Zscaler и SentinelOne объединились, чтобы обеспечить лучший в своем классе контроль доступа zero trust c полной видимостью, обнаружением с помощью ИИ, автоматическим ответом на конечных точках в приложениях и в облаке. SentinelOne постоянно проверяет соблюдение политики соответствия на конечных устройствах.

Во время доступа Zscaler отслеживает, установлен ли SentinelOne, учитывает состояние безопасности устройства и предоставляет доступ к корпоративным приложениям. Ниже представлен принцип работы:

zte2

SentinelOne защищает конечные точки с помощью средств предотвращения, обнаружения и реагирования.
Zscaler Client Connector проверяет присутствие SentinelOne, используя положение устройства, как дополнительный вектор авторизации для контроля доступа. Zscaler ZIA и ZPA можно настроить только на совместимых конечных точках, которые проходят проверку состояния.
Администраторы Zscaler могут указать (для рабочих станций Windows и Mac), что SentinelOne установлен и для запуска конечного устройства предоставляется доступ к важным бизнес-приложениям.

Заключение

Интеграция SentinelOne и Zscaler увеличивает возможности расширенного обнаружения и устранения угроз через сети, конечные точки и облачные приложения. Возможность настройки автоматических политик на разных платформах обеспечивает гибкие, но быстрые реагирования на недавно обнаруженные угрозы. Бесшовный условный доступ упрощает выбор концепции нулевого доверия, сохраняя безопасность пользователей, устройств и приложений. Вместе SentinelOne и Zscaler обеспечивают своим клиентам повышенную эффективность SOC, оптимизированные рабочие процессы и улучшенную защиту от угроз в конечных точках, облаке и сети.