# SentinelOne > Security vendor · Sede: Mountain View, California, EUA · Presença LATAM: Sim ## Visão Geral **SentinelOne** é uma empresa americana de cibersegurança fundada em 2013, especializada em plataformas de segurança autônoma com inteligência artificial. Em 2021 realizou o maior IPO da história da cibersegurança até aquele momento, arrecadando mais de US$ 1,2 bilhão na NYSE. A empresa é reconhecida pela plataforma **Singularity**, que integra EDR, XDR, proteção de identidade e segurança em nuvem em uma única arquitetura unificada. **Dados do vendor:** - Tipo: Security vendor - líder em EDR/XDR com IA autônoma - Sede: Mountain View, California, EUA - Fundação: 2013 · IPO: 2021 - Website: https://www.sentinelone.com - Presença no Brasil/LATAM: Sim - adoção crescente em MSSPs e setor financeiro brasileiro - Principais setores atendidos: [[financial]], [[government]], [[healthcare|saúde]], [[critical-infrastructure]], [[technology]] ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | Destaques | |---------|-----------|-----------| | [[singularity-xdr\|Singularity XDR]] | xdr | Correlação de endpoint, rede, nuvem e identidade; Storyline ID | | [[singularity-soar\|Singularity SOAR]] | soar | Playbooks visuais, 300+ conectores, Python scripting | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria" FROM "vendors/sentinelone" WHERE type = "product" SORT title ASC ``` %% ## Diferenciais A plataforma Singularity da SentinelOne diferencia-se da concorrência por recursos únicos que impactam tanto a eficácia de defesa quanto a investigação de ameaças: - **Storyline ID**: Identificador de correlação único que vincula todos os eventos de um ataque em uma única cadeia causal - desde a execução inicial de [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] até movimentação lateral e exfiltração. Fundamental para reconstrução forense de incidentes. - **Resposta Autônoma**: O agente pode matar processos, quarentenar arquivos e realizar rollback do estado do sistema sem intervenção humana - sem necessidade de conectividade com o console durante a resposta. - **1-Click Remediation/Rollback**: Capacidade de reverter alterações maliciosas no sistema operacional, registro e arquivos com um único clique, incluindo reversão de ransomware que modificou arquivos em disco. - **Deep Visibility**: Motor de consulta proprietário (DVQ) que permite ingestão e busca histórica de telemetria de endpoint, cobrindo criação de processos, modificações de registro, conexões de rede e eventos de [[t1082-system-information-discovery|T1082 - System Information Discovery]]. - **Purple AI**: IA generativa integrada para investigação de ameaças em linguagem natural - analistas podem consultar o estado do ambiente sem necessidade de conhecer DVQ. - **Arquitectura sem agente**: Opções de proteção agentless para ambientes cloud e contêineres, complementando a proteção baseada em agente. Atores como [[g0032-lazarus-group|Lazarus Group]] e [[g0016-apt29|APT29 / Cozy Bear]] utilizam técnicas de evasão de EDR como [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] para persistência e injeção de processo para contornar detecções baseadas em assinatura - a abordagem comportamental e por IA da SentinelOne é desenhada específicamente para cobrir esses vetores. ## Inteligência de Ameaças A equipe de pesquisa **SentinelLabs** pública inteligência de ameaças de alto valor, com foco em atores de Estado-nação e malware sofisticado. Publicações notáveis incluem: - Análise técnica aprofundada de TTPs do [[g0032-lazarus-group|Lazarus Group]] - incluindo campanhas contra o setor de criptomoedas e de defesa - Mapeamento de infraestrutura de [[g0016-apt29|APT29 / Cozy Bear]] e análise de implantes utilizados em campanhas de espionagem - Pesquisa sobre operadores de [[Cl0p / TA505]] e técnicas de exfiltração de dados em larga escala - Análise forense de amostras do [[lockbit|LockBit Operators]], incluindo o builder vazado em 2022 - Publicação de IoCs e YARA rules para malware recém-descoberto A SentinelLabs atua como fonte Tier 1 confiável para o pipeline CTI da RunkIntel, sendo monitorada via feed RSS e alertas de públicação. ## Presença LATAM/Brasil A SentinelOne tem expandido sua presença no Brasil por meio de parcerias com MSSPs locais e distribuidores de segurança. O setor financeiro brasileiro - bancos de grande porte e fintechs - figura entre os principais adotantes da plataforma Singularity na região. **Setores com maior adoção no Brasil:** - [[financial]] - bancos e instituições financeiras com alta exigência de detecção comportamental - [[government]] - órgãos com mandato de proteção de infraestrutura crítica - [[technology]] - empresas de tecnologia e SaaS com ambientes cloud-native A ampla adoção em ambientes com dados sensíveis torna a SentinelOne um alvo potencial de atores que buscam desabilitar proteções antes de aprofundar o comprometimento - tática documentada em campanhas de [[lockbit]] e grupos afiliados. ## Advisories e Recursos - [SentinelLabs Research](https://www.sentinelone.com/labs/) - [SentinelOne Support Documentation](https://docs.sentinelone.com/) - [Singularity Platform Overview](https://www.sentinelone.com/platform/) ## Notas Relacionadas **Produtos:** [[singularity-xdr|Singularity XDR]] · [[singularity-soar|Singularity SOAR]] **Malware pesquisado:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0368-notpetya]] **Atores monitorados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[Cl0p / TA505]] · [[lockbit|LockBit Operators]] **TTPs relevantes:** [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1082-system-information-discovery|T1082 - System Information Discovery]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]]