Nieuwe uitbreidingen moeten security teams meer inzicht geven in het dreigingslandschap. Dat niet alleen, ze moeten het ook mogelijk maken om meer dreigingen pro-actief te neutraliseren. “Threat hunting met WatchTower gaat met deze updates van een scherpschutter die alleen grote dreigingen uitschakelt naar het bombarderen van het hele dreigingslandschap”, volgens Brian Hussey, VP Threat Hunting en DFIR bij SentinelOne.
WatchTower en WatchTower Pro bestaan al enige tijd. De eerste lancering ervan vond plaats in 2021. Het zijn beide tools voor threat hunting, oftewel het opsporen van cyberdreigingen. WatchTower is de algemene variant, terwijl WatchTower Pro een gepersonaliseerde versie aanbiedt, die zich richt op een enkele organisatie.
Snel door zoveel mogelijk data gaan
Threat hunting is in de basis een lastige exercitie, omdat het hier gaat om de meest pro-actieve component van cybersecurity. Dat houdt in dat je zoekt naar dingen die je nog niet hebt gezien of eerder hebt gevonden. Snel door beschikbare data heengaan is hierbij dus erg belangrijk.
In het begin van WatchTower waren de mogelijkheden hiervoor relatief beperkt. Na de overname van Scalyr, dat nu door het leven gaat als DataSet, kwamen er echter veel meer mogelijkheden. Het werd mogelijk om aan lage kosten snel door petabytes aan data heen te gaan om dreigingen op te sporen.
De uitbreidingen die SentinelOne vandaag toevoegt aan WatchTower en WatchTower Pro kun je voor een deel zien als het gevolg van de extra mogelijkheden die de overname van Scalyr heeft toegevoegd. De uitbreidingen moeten volgens SentinelOne zorgen voor de volgende zaken:
- 24 uur per dag real-time threat hunting
- Detectie van afwijkend en verdacht gedrag
- Extra bescherming tegen bekende en opkomende cyberdreigingen
- Toegang tot de threat intelligence library van WatchTower, inclusief queries waarmee gejaagd wordt, en Indicators of Compromise (IOC’s).
Koppeling met SentinelOne-platform
Het doel van de uitbreidingen is zoals we in de inleiding al aanhaalden om het dreigingslandschap pro-actief weer iets beter aan te kunnen pakken. SentinelOne’s platform als geheel kan hier tot slot ook nog een belangrijke rol in spelen. Het Security Data Lake van SentinelOne krijgt veel data feeds binnen, zowel uit de eigen omgeving als van security-oplossingen van derden. Al deze data kan vanzelfsprekend ook weer ingezet worden om effectief op dreigingen te jagen. Dat is dan ook waar SentinelOne mee bezig is met WatchTower, geeft Hussey. Meer input kan WatchTower alleen maar helpen, zeker als je bedenkt dat er in principe geen restrictie is op hoeveel data het kan verwerken.
De toevoegingen aan SentinelOne WatchTower en WatchTower Pro zijn vanaf vandaag beschikbaar voor klanten en MSSP’s.
Lees ook: SentinelOne XDR-platform en Security Data Lake krijgen Gen AI boost
19 uur geleden
