Après Cybereason, SentinelOne étend à son tour ses capacités d’investigation et de remédiation

SentinelOne ne se repose décidément pas sur ses lauriers. Début décembre, l’éditeur avait annoncé l’enrichissement de son offre avec deux nouveaux modules de contrôle, l’un visant le pare-feu de l’hôte protégé, et l’autre l’accès à ses périphériques, USB en particulier. Il répondait ainsi à une demande exprimée par certains de ses clients.

Aujourd’hui, l’éditeur annonce une autre nouveauté : un accès PowerShell complet à distance des machines protégées. De quoi permettre d’enquêter plus en profondeur sur les menaces décelées et de faciliter la remédiation. Dans un communiqué de presse, Jared Phipps, vice-président de SentinelOne en charge de l’ingénierie commerciale, revendique ouvertement des « capacités d’EDR [détection et remédiation sur les hôtes, NDLR] actives », allant au-delà de la seule chasse aux menaces. Accessoirement, ces fonctionnalités peuvent également s’avérer utiles dans un simple contexte de support distant aux utilisateurs.

Ironie du calendrier, cette annonce de SentinelOne intervient deux mois après celle, comparable, de son concurrent Cybereason. C’est en effet fin décembre dernier que celui-ci a annoncé la mise à disposition d’une capacité d’accès PowerShell distant aux hôtes protégés par sa solution.

Accessoirement, Cybereason ne s’est pas arrêté là avec sa solution de chasse aux menaces. Celle-ci propose désormais un outil de visualisation de la chaîne d’exécution d’une attaque pour aider à en comprendre le déroulement. La solution de Cybereason permet en outre désormais de créer des règles de détection personnalisées, pour aider à capitaliser sur les enseignements retirés d’incidents antérieurs. Enfin, l’éditeur a pris lui aussi le virage de la référence ATT&CK du Mitre, en intégrant un mécanisme de recherche de menaces suivant la classification et la terminologie employées dans cette référence.