# SentinelOne Singularity SOAR > SOAR · Vendor: [[_sentinelone|SentinelOne]] ## Visão Geral **Singularity SOAR** é a camada de orquestração, automação e resposta integrada à plataforma [[_sentinelone|SentinelOne]]. Diferente de soluções SOAR independentes, o Singularity SOAR opera nativamente com a telemetria do [[singularity-xdr|Singularity XDR]], permitindo que playbooks de resposta sejam acionados automaticamente a partir de alertas gerados pelo agente - sem necessidade de integração manual via API. **Dados do produto:** - Categoria: SOAR (Security Orchestration, Automation and Response) - Vendor: [[_sentinelone|SentinelOne]] - Linguagem de automação: Python (scripting avançado) + construtor visual low-code - Integração nativa: [[singularity-xdr|Singularity XDR]] - Conectores disponíveis: 300+ integrações via marketplace ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Singularity SOAR") SORT patch-daté DESC ``` %% ## Arquitetura de Automação O Singularity SOAR oferece três modelos de automação para aténder perfis de equipes diferentes: **1. Construtor Visual (Low-code)** Interface de drag-and-drop para criação de playbooks sem necessidade de programação. Ideal para analistas de nível L1/L2 que precisam padronizar fluxos de resposta a incidentes recorrentes. **2. Python Scripting** Para automações avançadas, analistas podem escrever ações customizadas em Python que interagem com APIs externas, enriquecem alertas com contexto adicional (ex: consulta ao VirusTotal, Shodan) ou executam lógica de decisão complexa. **3. Marketplace de Integrações** Catálogo com 300+ conectores pré-construídos para integração com SIEMs, plataformas de ticketing (Jira, ServiceNow), feeds de inteligência de ameaças e ferramentas de comunicação (Slack, Teams). ## Casos de Uso ### Resposta a Surto de Ransomware Fluxo automatizado acionado quando o [[singularity-xdr|Singularity XDR]] detecta comportamento de pré-criptografia associado ao [[lockbit]] ou grupos similares: 1. **Detecção** - XDR identifica exclusão de shadow copies e modificação em massa de arquivos 2. **Isolamento automático** - Endpoint isolado da rede em segundos via API do agente 3. **Rollback** - 1-Click Remediation reverte todas as alterações maliciosas no sistema 4. **Notificação** - Ticket criado automaticamente no ITSM com evidências coletadas (Storyline ID, hashes, IoCs) 5. **Enriquecimento** - IoCs verificados automaticamente via VirusTotal e feeds de inteligência ### Investigação de Phishing Fluxo para análise de e-mails de [[t1566-phishing|T1566 - Phishing]] reportados por usuários: 1. **Triagem** - Playbook recebe o e-mail suspeito via integração com plataforma de e-mail 2. **Detonação** - Anexos e URLs enviados para análise em sandbox 3. **Extração de IoCs** - Hashes, domínios e IPs extraídos automaticamente dos resultados de sandbox 4. **Bloqueio** - IoCs confirmados enviados ao XDR para bloqueio imediato em todos os endpoints 5. **Enriquecimento** - Análise de contexto via Perplexity e feeds de threat intel ### Resposta a Exploração de Vulnerabilidade Fluxo para resposta a alertas de exploração de vulnerabilidades críticas (ex: [[s0154-cobalt-strike]] beacon detectado pós-exploração): 1. **Detecção de beacon** - XDR identifica padrão de comunicação C2 do Cobalt Strike 2. **Correlação** - Playbook correlaciona o processo pai para identificar vetor de entrada (CVE explorada) 3. **Verificação de patch** - Integração com plataforma de gerenciamento de vulnerabilidades verifica status de patch em todos os endpoints da rede 4. **Isolamento seletivo** - Endpoints vulneráveis não comprometidos recebem alerta de prioridade; endpoints comprometidos são isolados 5. **Relatório** - Relatório de incidente gerado automaticamente para o CISO ## Gestão de Casos O módulo de gestão de casos do Singularity SOAR centraliza todos os incidentes em uma interface unificada, permitindo: - Agrupamento automático de alertas relacionados em um único caso (via Storyline ID do [[singularity-xdr|Singularity XDR]]) - Atribuição de casos a analistas com rastreamento de SLA - Timeline de investigação com todas as ações tomadas (automatizadas e manuais) - Exportação de relatórios forenses para fins de compliance e comunicação com stakeholders > [!latam] Relevância para Brasil e LATAM > A SentinelOne tem crescimento expressivo no Brasil, adotada por grandes empresas e MSSPs. A capacidade de isolamento automático de endpoints e resposta a ransomware em segundos é especialmente relevante contra grupos como Blind Eagle que atuam ativamente na região. ## Notas Relacionadas **Vendor:** [[_sentinelone|SentinelOne]] **XDR integrado:** [[singularity-xdr|Singularity XDR]] **Malware referênciado:** [[lockbit]] · [[s0154-cobalt-strike]] **TTPs automatizados:** [[t1566-phishing|T1566 - Phishing]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores beneficiados:** [[financial]] · [[government]] · [[healthcare|saúde]]