IT-Netzwerke sind mit Firewall, Sandbox & Co. meist sehr gut im Kern abgesichert — viele Angriffe erfolgen jedoch über das Endgerät, wo User tagtäglich Viren, Würmern und Trojanern ausgesetzt sind. Am Endgerät ist ein intelligenter, verhaltensorientierter Schutz erforderlich.
Mittels aktiver Endpoint Detection Response (ActiveEDR™) und Deep Visibility bietet SentinelOne sogar eine SOC-1-Analyse direkt am Endgerät.
Warum Legacy-AV nicht mehr genügt
Speicher-Limit auf dem Endgerät
Der Reputationsfilter mit allen bekannten Viren ist heute ~10 TB groß — entspricht ca. 1.000 Stunden HD-Video. So viel Platz hat kein Endgerät für AV-Signaturen.
Polymorphe Malware
Mutationen bekannter Viren werden vom Legacy-AV nicht erkannt — es fehlt die Signatur. Angreifer nutzen das gezielt aus: kein Adhoc-Schutz für „neue" Varianten.
Malicious Documents
Manipulierte Dokumente nutzen Schwachstellen in populären Anwendungen aus. Solche Angriffe tauchen in keiner AV-Reputationsdatenbank auf.
Fileless Malware
PowerShell-Angriffe und Scripting hinterlassen keine Datei auf dem Endgerät. Legacy-AV erkennt nur File-basierte Angriffe — diese Lücke wird zunehmend ausgenutzt.
Verschlüsselter Datenverkehr
Angreifer verschlüsseln zunehmend ihre Angriffskommunikation und entziehen sich dem Zugriff regulärer AV-Lösungen.
Reaktiv statt proaktiv
Klassischer AV reagiert nur auf Bekanntes. Moderne Bedrohungen — Zero-Day, Memory-Only, Ransomware — passieren in Echtzeit.
Die SentinelOne-Lösung
Komplett-Schutz gegen Ransomware & Co. — auch gegen unbekannte Exploits (Zero-Day) und Memory-Only Malware (PowerShell / Scripting). Basierend auf einer einzigen Plattform: Schutz, Entdeckung, Reaktion und Forensik.
Genutzt wird ein homogener Software-Agent — einheitlich für Windows, macOS, Linux und Virtualisierungs-Umgebungen. Mit Machine-Speed-Performance und maximal 2 % CPU-Last.
🤖 Static & Behavioral AI
Künstliche Intelligenz mit Bezug zu Millionen von Malware-Beispielen. Keine Pattern-Updates — das Verhalten auf dem Endgerät wird beobachtet.
↺ Rollback-Funktion
System-Wiederherstellung per Rollback für Windows-Endgeräte — basierend auf der von SentinelOne patentierten Nutzung der Volume Shadow Copy (VSS).
👁 Deep Visibility
Schutz der laufenden Prozesse am Endgerät plus SOC-Analyse und vollständige Dokumentation — direkt am Endgerät.
⚡ Machine Speed
Reaktion in Echtzeit ohne spürbare Performance-Einbußen. Maximal 2 % CPU-Last im Normalbetrieb.
Der Workflow im Detail
SentinelOne nutzt einen Multi-Vektoren-Ansatz und ist unabhängig von Pattern-Updates (Signaturen). Der automatisierte Workflow auf dem zu schützenden Endgerät läuft in drei Phasen:
Vor der Ausführung — Static AI Engine
Bezug zu mehreren Millionen Beispielen von Malware.
Beispiel: Entdeckung und Quarantäne von neuer Ransomware, die über einen E-Mail-Link oder eine Website geladen wurde.
Während der Ausführung — ActiveEDR™ Verhaltensanalyse
Stetige Überwachung aller Prozesse sowie der Netzwerk-Kommunikation auf dem Endgerät. Tracking aller Systemänderungen plus automatisches Logging der beteiligten Prozesse zu einer archivierenden TrueContext™-ID.
Das ermöglicht späteres „Kill & Quarantine" plus Rollback, falls Prozesse Teil eines Angriffs waren.
Bereinigung — Automatisiert & mit Rollback
SentinelOne bereinigt das Endgerät automatisiert per „Kill & Quarantine". Für Windows-Endgeräte bietet sich die Möglichkeit einer Rücksetzung (Rollback) in den ursprünglichen, sauberen Zustand vor der Infizierung.
Forensik — Root Cause Analysis
Die forensische Analyse erfolgt DSGVO-konform mit Hilfe des SentinelOne-Agenten auf dem Endgerät. Dank der TrueContext™-Technologie — welcher Prozess war wann und wie beteiligt? — kann jeder Angriff „post mortem" nachvollzogen werden.
Integration in die Systemüberwachung
Die SentinelOne EDR-Lösung ist komplett in unsere FiF-MAX-Systemüberwachung integriert und ersetzt den vorhandenen Managed-Antivirus-Virenscanner.
Die Lizenzverwaltung erfolgt wie bisher pro System (Server, Workstation) mit einer Laufzeit von einem Monat und automatischer Verlängerung.