Informazioni sul rilevamento e la risposta degli endpoint con SentinelOne

LogMeIn Resolve può essere integrato con l'Endpoint Detection and Response (EDR) di SentinelOne solution per migliorare la tua sicurezza, semplificare la gestione delle minacce e aumentare l'efficienza operativa.

Identifica e monitora le minacce come virus, malware e ransomware sui tuoi dispositivi remoti, o endpointe facilita le azioni correttive immediate, come l'isolamento dei dispositivi sulla rete. L'EDR valuta anche il comportamento delle minacce nel tempo, riconoscendo anomalie e potenziali violazioni della sicurezza. Il sistema fornisce un registro completo sulla gestione delle minacce identificate, consentendo l'analisi delle cause principali.

Come agente LogMeIn Resolve, bastano pochi clic per trasformare i tuoi dispositivi remoti in dispositivi EDR. Tutto ciò che devi fare è distribuire l'agente latest agente SentinelOne direttamente da LogMeIn Resolve sui dispositivi che, a loro volta, inizieranno a comunicare con il tuo account SentinelOne.

Remember: You must have a LogMeIn Resolve Premium or MSP plan to use the SentinelOne integration.

Integrazione di SentinelOne per LogMeIn Resolve

Prima di poter recuperare i endpoint risultati del rilevamento da SentinelOne, devi collegare i tuoi account SentinelOne e LogMeIn Resolve.

Tutti gli utenti che vogliono tenere traccia delle minacce EDR in LogMeIn Resolve devono seguire questi passaggi per far funzionare l'integrazione.

Accedi alla console di gestione di SentinelOne come amministratore.
Seleziona il tuo nome utente nell'angolo in alto a destra, quindi scegli Il mio profilo.

Note: Nella console di gestione SentinelOne classica, il menu del profilo è etichettato come Il mio utente.
Seleziona Azioni > API Buoni Operatoken > Genera API token. Se possiedi già un API token o il tuo token è scaduto, seleziona Rigenerare API token.

Note: Il API token è una chiave segreta che ti permette di autenticarti con SentinelOne. API. Tieni questo token e non condividerlo con altri.

Remember: Ogni prodotto generato API token ha una data di scadenza. Rinnova il tuo token prima che scada per mantenere attiva l'integrazione.
Copia i dati visualizzati API token negli appunti.
Accedi alla console dell'agente all'indirizzo http://console.gotoresolve.com.
Nella pagina Console, vai alla pagina Integrazioni.
Seleziona Apprendi di più sotto SentinelOne.
Incolla la tua API token a sinistra.
Incolla la tua Console SentinelOne URL, che è il dominio in cui accedi al tuo account SentinelOne. Ad esempio, https://usea1-300-nfr.sentinelone.net
Seleziona Connetti SentinelOne.

Results: Verrai portato alla pagina Devices > EDR nella Console.

Visualizza i dettagli dell'EDR di un dispositivo e le minacce.

Il riquadro Console fornisce una panoramica di tutte le minacce rilevate e ti permette di approfondire i dettagli su come sono state scoperte e mitigate.

Le informazioni contenute nella pagina minacce EDR sono raccolte dal tuo account SentinelOne. Questa pagina fornisce una rapida panoramica delle minacce EDR ed elenca tutte le minacce presenti sui tuoi dispositivi.

Una panoramica

Nella parte superiore della pagina Minacce EDR, i problemi antivirus sono raggruppati come segue:

Mitigazione status: Mostra il numero di minacce risolte e attive, oltre a problemi benigni che non richiedono la tua attenzione.
Severità status: Visualizza il numero di minacce in base alla loro gravità.
Minacce per tipo: Visualizza il numero di minacce in base al loro tipo o classe.

Minacce dell'elenco

Nella panoramica delle minacce, la pagina Minacce EDR elenca tutte le minacce disponibili e i loro dettagli Basic. Sono disponibili le seguenti informazioni:

Dettagli della minaccia: Il nome della minaccia, di solito un file su un dispositivo remoto o un servizio. Windows servizio. Spesso include la classificazione della minaccia.
Severità: Il livello di urgenza per affrontare una minaccia, che va da Basso a Critico.
Livello di fiducia: Indica quanto SentinelOne è sicuro che l'attività o l'avvisi rilevati siano effettivamente maligni. Le minacce con bassa fiducia sono etichettate come Sospette.
Mitigazione status: Mostra se la minaccia è stata rimossa dal dispositivo.
Endpoint: Il nome del dispositivo interessato. Seleziona il suo nome per visualizzare la protezione del dispositivo status nella pagina Informazioni sull'EDR del dispositivo.
Note: L'elemento endpoint non può essere responsabile in LogMeIn Resolve, ma è protetto da SentinelOne.
Rilevato: Data e ora in cui la minaccia è stata segnalata sul dispositivo.
Avvisi status: Mostra se l'avviso di minaccia è Nuovo o Risolto.
Verifica analitica: Mostra la categoria di identificazione della minaccia in base all'analisi di SentinelOne. Le categorie più comuni sono le seguenti:
- Vero positivo: È stata identificata una minaccia e sono state intraprese azioni appropriate per ridurre i rischi.
- Falso positivo: Il sistema ha erroneamente contrassegnato un file o un'attività come una minaccia.
- Non definito: Il sistema non è riuscito a classificare la minaccia e non sono state intraprese azioni per rimuoverla dal dispositivo.
Assegnatario: L'agente responsabile della gestione della minaccia.
Classificazione: Il tipo di minaccia presente sul dispositivo. Ecco i tipi più comuni:
- Malware: Software destinato a danneggiare o ad ottenere un accesso non autorizzato a un dispositivo.
- Ransomware: Un software che cripta i dati su un dispositivo, rendendoli inaccessibili senza il pagamento di un "riscatto".
- Trojan: Un software che può rubare le password, registrare i tasti premuti o danneggiare i file.
- PUA: Un'applicazione potenzialmente indesiderata che può rallentare un dispositivo, mostrare annunci inaspettati o installare software indesiderati.
- Worm: Un malware che può replicarsi e diffondersi in una rete sfruttando le debolezze della sicurezza.
Per maggiori dettagli sui tipi di minaccia, visita il sito web di SentinelOnesite.

Filtrare le minacce

Puoi filtrare le minacce per data o per un attributo specifico. Per impostazione predefinita/a, puoi visualizzare le minacce degli ultimi tre mesi. Per modificare l'intervallo di tempo, scegli un periodo dall'elenco a discesa Seleziona il tempo in alto a destra.

Per filtrare in base a un attributo, seleziona Aggiungi filtri sopra l'elenco delle minacce e scegli i valori appropriati dal pannello laterale a destra. Quindi seleziona Applica filtri per aggiornare l'elenco delle minacce.

Visualizza i dettagli del dispositivo

Puoi controllare i dettagli di un dispositivo protetto da EDR per ottenere informazioni dettagliate su quel dispositivo. Nella pagina Devices > EDR, seleziona un dispositivo nella colonna Endpoint per aprire la pagina Device EDR insights.

Tip: Questa pagina mostra i dati della pagina Gestione degli agenti > Endpoint di SentinelOne. Per informazioni dettagliate sui singoli attributi e valori, consulta il sito web di SentinelOnesite.

I dettagli del dispositivo sono mostrati nelle seguenti schede:

Scheda Reddito di emergenza

Visualizza le informazioni generali del dispositivo in queste sezioni:

Proprietà del dispositivo: Fornisce informazioni sull'hardware e sulla rete del dispositivo.
Altre proprietà: Elenca il tipo di sistema operativo e altre specifiche del dispositivo.

Scheda Avvisi EDR

Elenca le minacce su un dispositivo specifico. Puoi ordinare e filtrare le minacce utilizzando gli elenchi a discesa nella parte superiore della pagina. Seleziona il nome di una minaccia per vederne i dettagli nella pagina Dettagli della minaccia.

Scheda Salute del TED

Visualizza le informazioni sull'integrità dei dispositivi in queste sezioni:

Indicatori di salute: Fornisce dettagli sull'integrità dell'antivirus del dispositivo.
Proprietà dell'agente: Visualizza i dettagli dell'agente SentinelOne, come la versione.

Remember: Puoi gestire le impostazioni EDR dei dispositivi solo in SentinelOne. Seleziona Mostra in SentinelOne a sinistra per vedere i dettagli del dispositivo nella pagina Inventario della console di SentinelOne.

Visualizza dettagli sulla minaccia

Nella pagina Devices > EDR, seleziona una minaccia nella colonna Threat details per aprire la pagina Threat name.

Il pannello Riepilogo delle minacce a sinistra mostra la gravità, la classificazione, l'attenuazione e la data della minaccia segnalata. statuse la data della minaccia segnalata. Inoltre, elenca le azioni di mitigazione adottate per eliminare la minaccia.

Le informazioni dettagliate sulle minacce sono visualizzate a destra in queste schede:

Scheda Proprietà

Visualizza le proprietà di base delle minacce nelle seguenti sezioni:

Proprietà del file: Nome, dimensione e editore del file infetto.
Rilevamento Details: Informazioni su come e quando è stata scoperta la minaccia.
Asset bersaglio: Details del dispositivo infetto.

Indicatori scheda

Visualizza i motivi per cui un file o un servizio è stato segnalato come una minaccia.

La cronologia

Visualizza la cronologia dettagliata delle mitigazioni della minaccia.

Visualizza lo stato di protezione EDR dei tuoi dispositivi

La pagina Dispositivi fornisce una panoramica dello stato di protezione dei tuoi dispositivi contro le minacce EDR. Ti aiuta a identificare i dispositivi in cui l'agente SentinelOne non è ancora stato distribuito.

Nella pagina Console, vai alla pagina Dispositivi.
Scegli Vista EDR dall'elenco a discesa Vista Focus in alto a destra.
Cerca un dispositivo e vedi il suo stato di protezione nella colonna protezione EDR.
Per facilitare la navigazione, puoi ordinare i dispositivi in base al loro stato di protezione EDR. Un dispositivo può avere uno dei seguenti stati:
- Scarico: L'agente SentinelOne ha iniziato il download sul dispositivo selezionato.
- Installazione: L'agente SentinelOne è in fase di installazione sul dispositivo selezionato.
- Installato: L'agente SentinelOne è stato installato sul dispositivo.
- Parzialmente installato: L'agente SentinelOne è stato installato, ma per completare l'installazione è necessaria un'interazione manuale come il riavvio del dispositivo.
- Fallito: L'installazione dell'agente SentinelOne è iniziata sul dispositivo ma non è stata completata.
- Se non vedi nessuna di queste opzioni, l'agente SentinelOne non è installato sul dispositivo.

What to do next: Dalla pagina Dispositivi, puoi anche navigare verso i dettagli EDR e minacce EDR di un dispositivo. Per farlo, seleziona un dispositivo tramite la sua casella di controllo e poi, alla voce Altre azioni, scegli Gestione EDR. Seleziona Apri dettagli EDR per visualizzare le informazioni EDR sul dispositivo selezionato, oppure Apri minacce EDR per visualizzare le minacce EDR di tutti i tuoi dispositivi. Queste opzioni sono disponibili solo sui dispositivi in cui l'agente SentinelOne è stato installato correttamente.

Distribuisci l'agente SentinelOne sui tuoi dispositivi LogMeIn Resolve.

Prima di poter visualizzare e gestire le minacce EDR di un LogMeIn Resolve dispositivo nel LogMeIn ResolveConsole, devi distribuire l'agente SentinelOne. Questo rende il dispositivo disponibile nel tuo account SentinelOne e in LogMeIn Resolve.

Puoi recarti fisicamente su un dispositivo remoto e scaricare e installare l'agente SentinelOne, ma con LogMeIn Resolve puoi farlo da qualsiasi parte del mondo.

Note: L'installazione dell'agente SentinelOne su dispositivi Mac da LogMeIn Resolve non è supportata.

Nella pagina Devices di Console, seleziona EDR view come vista principale per vedere le informazioni relative a SentinelOne.
La colonna protezione EDR mostra l' attuale protezione status dell'agente SentinelOne su ogni dispositivo.
Seleziona i dispositivi in cui vuoi distribuire l'agente SentinelOne.
A destra si apre la finestra di dialogo Gestione dispositivo selezionato.
Sotto Altre azioni, scegli Gestione EDR > Installazione su dispositivi selezionati.
Questa opzione è disponibile solo sui dispositivi in cui non è installato l'agente SentinelOne.
Result: L'installazione inizia e puoi monitorare il suo avanzamento nella colonna protezione EDR.
Seleziona l'account di SentinelOne e site a cui vuoi collegare i tuoi dispositivi LogMeIn Resolve.
Opzionalmente, seleziona un gruppo SentinelOne a cui vuoi aggiungere il tuo dispositivo.
Seleziona Installa protezione EDR in basso a destra.
Digita la tua chiave di firma zero trust e seleziona Procedere.

Mitigare le minacce EDR

Gli agenti possono ridurre le minacce EDR senza recarsi alla console di SentinelOne.

In LogMeIn Resolve, vai alla pagina Devices > EDR e scegli una minaccia nella colonna Threat details.
Le azioni precedenti sono visualizzate nel pannello Riassunto della minaccia.
Seleziona Azione in alto a destra.
Seleziona l'azione che vuoi intraprendere contro la minaccia. Non tutte le azioni sono disponibili per ogni minaccia.
- Uccidi: Arresta tutti i processi correlati alla minaccia.
- Quarantena: Cripta e sposta il file in una posizione sicura.
- Remediate: Elimina tutti i file e le modifiche al sistema apportate dalla minaccia.
- Roll back: Riporta il dispositivo a un'istantanea VSS salvata in precedenza. Windows VSS precedentemente salvata, invertendo le modifiche apportate dalla minaccia.
- Aggiungi a elenco elementi non consentiti: Aggiunge il file a un elenco elementi non consentiti per la quarantena automatica in futuro.
- Disconnetti: Disconnette manualmente il dispositivo da Internet. Il dispositivo rimarrà offline fino al riavvio.
Queste azioni sono disponibili anche nella console di SentinelOne.
Seleziona Mitigate per eseguire l'azione selezionata.

Domande frequenti

Ho aggiunto una nuova categoria in SentinelOne. Perché non riesco a vederlo in LogMeIn Resolve?: Qualsiasi attributo aggiunto in SentinelOne viene sincronizzato automaticamente con LogMeIn Resolve. Se non vedi un attributo particolare, ad esempio una nuova categoria di minacce, aggiorna la pagina selezionando Ricarica la pagina in alto a destra.
Come fa LogMeIn Resolve a classificare le minacce?: LogMeIn Resolve legge solo le informazioni di SentinelOne. Le categorie di minacce e tutti gli altri dati sono definiti da SentinelOne.
Come posso mitigare le minacce EDR in LogMeIn Resolve?: In LogMeIn Resolve, puoi gestire le minacce EDR nella pagina Devices > Updates. Seleziona una minaccia e poi intraprendi le azioni necessarie come descritto in Mitigare le minacce EDR.
Posso installare l'agente SentinelOne su un dispositivo da LogMeIn Resolve?: Sì, puoi installare l'agente su Windows dispositivi. Vedi Distribuisci l'agente SentinelOne sui tuoi dispositivi LogMeIn Resolve..

Article last updated: 25 June, 2025