SentinelOne brengt het autonome SOC een stap dichterbij

Meer autonomie, minder belasting op medewerkers

Insight: SentinelOne

SentinelOne brengt het autonome SOC een stap dichterbij

Tijdens OneCon 2024 kondigt SentinelOne meerdere toevoegingen en updates aan het eigen Singularity Platform aan die het Security Operations Center (SOC) van organisaties krachtiger en vooral autonomer moeten maken. Purple AI krijgt een update, er komen specifiek voor cybersecurity getrainde LLM’s en Singularity krijgt hyperautomation- en SIEM-mogelijkheden.

De visie van SentinelOne is vrij duidelijk. Het bedrijf wil AI en automation optimaal inzetten om zo SOC-medewerkers maximaal te kunnen ontlasten. Het doel is om het Autonomous Security Operations Center een realiteit te maken. We hebben in het afgelopen jaar al behoorlijk wat geschreven over deze ontwikkeling. Niet alleen bij SentinelOne, maar ook bij andere spelers in de securitymarkt. De RSA Conference dit jaar stond ook grotendeels in het teken van autonome security.

Autonomie in de context van een SOC betekent niet dat er geen analisten of andere SOC-medewerkers meer nodig zijn. Het autonome functioneren van een SOC zit hem vooral in het zoveel mogelijk ontlasten van SOC-medewerkers, zodat deze zo goed, snel en efficiënt mogelijk in kunnen spelen op risico’s en dreigingen. Bedrijven zoals SentinelOne voegen echter wel steeds meer mogelijkheden toe, waarmee de balans steeds wat verder verschuift en het Singularity Platform steeds meer van het werk op zich neemt.

Vandaag kondigt SentinelOne vier uitbreidingen en updates aan op het Singularity Platform en Purple AI. Het gaat om Singularity Hyperautomation, Singularity AI SIEM, enkele nieuwe features voor Purple AI en een reeks security-LLM’s, die het Ultraviolet noemt. We bespreken deze vier onderdelen hieronder.

Singularity Hyperautomation

Als wij denken aan meer autonomie voor SOC’s, dan denken we ook al snel aan automation, oftewel het automatiseren van workflows. Een oplossing die zelfstandig uitstekende analyses kan maken en die vervolgens allemaal op het bordje van een analist neergooit zorgt alsnog voor een veel te hoge werkdruk voor die analist. Er moet met andere woorden ook daadwerkelijk actie ondernomen worden. Dat is wat SentinelOne met Singularity Hyperautomation wil toevoegen.

Singularity Hyperautomation bestaat uit meer dan honderd integraties en tientallen out-of-the-box workflows om algemene dreigingen aan te kunnen pakken. Denk hierbij aan het mitigeren van ransomware-aanvallen, reageren op verdacht gedrag van gebruikers en omgaan met dreigingen van binnenuit. Daarnaast is het ook mogelijk om zelf workflows te bouwen. Dit werkt via een no-code omgeving waarin SOC-medewerkers volgens SentinelOne simpelweg een workflow bij elkaar kunnen brengen via drag-and-drop. Ook toegang tot eventuele API’s die nodig zijn om de integraties te kunnen maken werkt zonder code in te hoeven kloppen, belooft SentinelOne.

Bovenstaande klinkt leuk, maar hoe weet je nu welke workflow je wanneer moet bouwen? Om gebruikers daarbij te helpen, doet Singularity Hyperautomation suggesties tijdens het onderzoeken van meldingen. Verder genereert het via een integratie met Purple AI automatisch playbooks waarin de inzichten van anderen ook meegewogen worden. De integraties met de eigen omgevingen hoeven vanzelfsprekend niet zelf gebouwd te worden, die zitten er standaard in.

Singularity AI SIEM

De SIEM-markt zit in een duidelijke transitiefase. Palo Alto koopt QRadar van IBM, Exabeam en LogRhythm fuseren en uiteraard Cisco dat Splunk koopt zijn hier voorbeelden van. Security Information and Event Management kreeg een beetje de naam dat het iets van het verleden was. Het was op meerdere vlakken voorbijgestreefd door andere ontwikkelingen, zoals de beweging richting Extended Detection en Response (XDR)-platformen.

TIP: SentinelOne XDR-platform en Security Data Lake krijgen Gen AI boost

Toch is er nog altijd behoefte aan en ruimte voor een SIEM in het SOC. Dat ziet ook SentinelOne, die het met Singularity AI SIEM expliciet koppelt aan AI en het eigen Singularity Data Lake. Dankzij deze koppeling kan het SIEM weer een stuk relevanter maken, is het idee. Het is in de basis een open ecosysteem waar zowel gestructureerde en ongestructureerde data naartoe gestuurd kan worden. Dit kan data zijn van SentinelOne-tooling, maar ook van derden. Dit is mogelijk dankzij ondersteuning voor het Open Cybersecurity Schema Framework (OCSF), een agnostisch format waarin data opgeslagen kan worden. Daarna kan het door SentinelOne worden opgepikt en verwerkt.

2024 is het jaar van Purple AI

Bij SentinelOne stond en staat 2024 vooral in het teken van Purple AI. Tijdens OneCon 2024 is dat niet anders. Zo is er een Mortal vs. Machine-wedstrijd, waarbij de beste PowerQuery-mensen van SentinelOne het opnemen tegen mensen die een stuk minder kennis hebben van deze querytaal van het bedrijf. Deze minder onderlegde mensen hebben echter Purple AI en dus de Machine. De Mortal heeft dit niet. Keer op keer verslaat de Machine de Mortal, vaak met enig gemak. We hebben het zelf ook geprobeerd en ook gewonnen.

Uiteraard zal SentinelOne dit soort ‘wedstrijden’ vooral inrichten in het voordeel van de Machine. Zo liggen voor de uitdagingen die mens en machine aan moeten gaan kant en klare scripts klaar. De mensen die tijdens de wedstrijd gebruikmaken van Purple AI hoeven dus niet zelf tot een vraagstelling te komen. Als iedereen volledig vanaf nul zou beginnen, zou de ervaren PowerQuery-gebruiker een stuk sneller aan zijn query beginnen dan zijn tegenstander. Purple AI is dan ook niet bedoeld voor de volledige noob, inzicht in en kennis van hoe een en ander werkt is wel belangrijk. Met andere woorden, het moet het niveau van een goede SOC-medewerker een boost geven, zodat het een zeer goede wordt.

Lees ook: SentinelOne promoveert Purple AI van security-assistent naar autonome SOC-analist

Nieuwe features voor Purple AI

Purple AI is dus zonder meer een van de zaken waarmee SentinelOne zich wil onderscheiden. Vandaar dat het vandaag meerdere nieuwe features aankondigt. Auto-Alert Triage helpt bij het bepalen welke meldingen de meeste prioriteit moeten krijgen. Dit is mogelijk door het gebruik van iets wat SentinelOne Global Alert Analysis noemt. Dit houdt in dat het duizenden soortgelijke echte meldingen (wel geanonimiseerd overigens) analyseert en op basis daarvan een goede inschatting kan maken van de ernst.

In het kader van autonomie binnen een SOC is ook het nieuwe Auto-Investigations interessant. Meldingen die (al dan niet met behulp van Auto-Alert Triage) prioriteit hebben gekregen worden hiermee volledig geautomatiseerd opgepikt en geanalyseerd. Deze analyse bestaat uit het samenstellen van de stappen die Auto-Investigations moet nemen om het onderzoek te doen, vervolgens deze stappen uit te voeren en met een oordeel te komen. Het bewijs dat is gevonden tijdens dit proces wordt in een Purple AI notebook opgetekend.

Ultraviolet

Het laatste grote nieuws op SentinelOne OneCon 2024 vandaag is de introductie van Ultraviolet. Deze kleur die in het spectrum in de buurt van paars ligt, moet Purple AI verder gaan ondersteunen. Dat werkt nu namelijk nog met algemene LLM’s. Daarmee zijn er al veel dingen mogelijk, maar nog niet genoeg. Vandaar dat er nu met Ultraviolet een familie security-LLM’s en multimodale ML-modellen wordt aangekondigd. Ieder model richt zich op specifieke security-vraagstukken en is daarmee als het goed is nog weer een stuk krachtiger en accurater dan de generieke modellen. Die laatste zullen ook gewoon gebruikt blijven worden overigens. Ultraviolet is een uitbreiding op, geen vervanging van de bestaande modellen.

Er is op dit moment nog niet zo heel veel bekend over Ultraviolet. Als voorbeelden van wat het toevoegt aan Purple AI geeft SentinelOne dat de specifieke securitymodellen meer context mee kunnen nemen en daarmee dus de nauwkeurigheid kunnen verbeteren. Ze moeten ook meer vanuit een securityperspectief redeneren dan bestaande generieke modellen. Dat levert uiteindelijk ook meer vertrouwen op in de modellen en dus ook in het autonoom functioneren ervan. Beter getunede modellen zullen zich beter blijven richten op hun taak en minder input nodig hebben om tot nuttige conclusies te komen.

SentinelOne belooft dingen, en levert ook

De aankondigingen die SentinelOne doet voor het Singularity Platform en Purple AI zijn zonder meer interessant te noemen. Heel verrassend zijn ze echter niet. We hebben in meerdere artikelen over Singularity en Purple AI al eens vooruitgeblikt naar het soort mogelijkheden dat we in dit artikel bespreken. Niet alleen speculatief vanuit ons, maar ook op basis van uitspraken van mensen bij SentinelOne dat ze ermee bezig waren.

Dat laatste is wat ons betreft erg belangrijk in de security-industrie. Als een leverancier zegt dat iets er aankomt, dan moet het er ook aankomen. SentinelOne is over het algemeen vrij open en transparant over wat we van het bedrijf mogen verwachten in de nabije toekomst. Dat hoeft het niet te zijn. Het kan ook een paar keer per jaar een paar grote verrassingen uit de hoge hoed toveren. Dat het ervoor kiest om productaankondigingen een soort non-event te maken, omdat toch eigenlijk iedereen wel weet wat eraan komt, is wat ons betreft een prettige eigenschap.

De manier waarop SentinelOne op een gestage en voorspelbare manier doorontwikkelt geeft het signaal af dat de markt SentinelOne er ook op kan en misschien zelfs moet afrekenen als ze hun beloftes niet nakomen. Dat zorgt ervoor dat cybersecurity iets meer voelt als een gezamenlijk traject dat leverancier en klanten samen afleggen dan puur als een leverancier-klant-relatie. Natuurlijk moet er ook gewoon omzet binnenkomen en is SentinelOne een organisatie die winst wil maken. We hebben echter niet het idee dat het te doen is om een zo hoog mogelijke marktwaarde te realiseren. Dat maakt SentinelOne niet per se populair bij financiële analisten en aandeelhouders, maar als het goed is wel bij haar klanten.