Интеграция SentinelOne и Zscaler - улучшенный анализ киберугроз с помощью XDR
7 июня 2023
Стеки корпоративных технологий на сегодняшний день представляют собой сложную структуру. Это и распределенные приложения, пользователи и конечные точки, IoT устройства, развертывание новых инструментов.
По мере увеличения векторов атак от конечных точек к сетям, в облаке, команды безопасности стремятся защитить инфраструктуру, как внутреннюю, так и за пределами сетевого периметра.
Чем больше элементов безопасности команды SecOps внедряют, тем больше предупреждений они получают. Аналитики безопасности вынуждены выбирать между инструментами, которые не интегрируются и не могут соединить составляющие всего стека технологий в одно целое. Таким образом, сбор и анализ данных происходит изолированно, без любой взаимосвязи. В этой ситуации появляются проблемы с видимостью и обнаружением и соответственно, времени на урегулирование сложностей потребуется больше. Поэтому возросла необходимость в новом подходе, новом уровне безопасности конечных устройств, сети и приложений.
Совместное решение Zscaler и SentinelOne
SentinelOne и Zscaler объединились для повышения корпоративной безопасности конечных точек, сети и облака. Программное решение обеспечивает улучшенную сквозную видимость, автоматическое реагирование и систему условного доступа. Продукт способствует расширению возможностей команд SecOps. Ускоряется реагирование с помощью действий, которые автоматически устранят угрозы в Zscaler перед компрометацией конечных устройств и в последующем предотвратят утечку данных.
Аналитики могут инициировать автоматические и ручные действия по реагированию из SentinelOne в Zscaler. К таким действиям относится отмена доступа, перемещение пользователей в карантин или в более ограничительную группу.
Это автоматически сдерживает возможности злоумышленника, способность его проникнуть и начать атаку. Скоординированное управление доступом пользователей через Zscaler Zero Trust Exchange обеспечивает безопасную систему условного доступа к SaaS-приложениям. Оно полностью основанное на принципах нулевого доверия. Дополнительные точки интеграции zero trust включают устройство проверки состояния агентом Zscaler Client Connector. Затем включаются политики условного доступа в зависимости от того, установлен ли агент SentinelOne и в рабочем ли он состоянии.
Это, в свою очередь, минимизирует поверхность атаки предприятия с использованием принципов нулевого доверия, политик условного доступа.
Полная интеграция Zscaler и SentinelOne позволяет специалистам по безопасности ускорить расследование и устранение угроз, не переключаясь между консолями. Отделы SOC теперь могут работать с угрозами гораздо эффективнее и с еще большей уверенностью в их устранении.
Как работает решение?
Расширенная видимость и ускоренное исправление
Это совместный продукт позволяет SentinelOne использовать журналы Zscaler для расширенной видимости и предоставляет специалистам настраивать гибкие политики реагирования прямо из консоли SentinelOne.
Для развертывания интеграции Zscaler и SentinelOne достаточно выполнить следующие шаги:
- Установите бесплатное приложение из Singularity Marketplace и укажите учетные данные Zscaler API.
- Загрузите журналы Zscaler в инфраструктуру SentinelOne Singularity XDR.
- Используйте политики по умолчанию или настраиваемые политики, чтобы инициировать ответные действия путем изменения группы пользователей. Например, предопределенные ограничительные или изолированные от браузера группы.
Это гарантирует, что пользователям предоставляется доступ к корпоративным приложениям и данным на основе динамических условий угроз и рисков пользователя.
Концепция нулевого доверия и условный доступ
Интеграция SentinelOne Zscaler Internet Access (ZIA) и Zscaler Private Access (ZPA) обеспечивает целостную систему условного доступа. Это означает, что идентификация на доверенном устройстве может предполагает прямой доступ к авторизованным корпоративным приложениям без разоблачения сети. Zscaler и SentinelOne объединились, чтобы обеспечить лучший в своем классе контроль доступа zero trust c полной видимостью, обнаружением с помощью ИИ, автоматическим ответом на конечных точках в приложениях и в облаке. SentinelOne постоянно проверяет соблюдение политики соответствия на конечных устройствах.
Во время доступа Zscaler отслеживает, установлен ли SentinelOne, учитывает состояние безопасности устройства и предоставляет доступ к корпоративным приложениям. Ниже представлен принцип работы:
- SentinelOne защищает конечные точки с помощью средств предотвращения, обнаружения и реагирования.
- Zscaler Client Connector проверяет присутствие SentinelOne, используя положение устройства, как дополнительный вектор авторизации для контроля доступа. Zscaler ZIA и ZPA можно настроить только на совместимых конечных точках, которые проходят проверку состояния.
- Администраторы Zscaler могут указать (для рабочих станций Windows и Mac), что SentinelOne установлен и для запуска конечного устройства предоставляется доступ к важным бизнес-приложениям.
Заключение
Интеграция SentinelOne и Zscaler увеличивает возможности расширенного обнаружения и устранения угроз через сети, конечные точки и облачные приложения. Возможность настройки автоматических политик на разных платформах обеспечивает гибкие, но быстрые реагирования на недавно обнаруженные угрозы. Бесшовный условный доступ упрощает выбор концепции нулевого доверия, сохраняя безопасность пользователей, устройств и приложений. Вместе SentinelOne и Zscaler обеспечивают своим клиентам повышенную эффективность SOC, оптимизированные рабочие процессы и улучшенную защиту от угроз в конечных точках, облаке и сети.