# SentinelOne Singularity XDR > XDR · Vendor: [[_sentinelone|SentinelOne]] > [!latam] Presença no Brasil e LATAM > O SentinelOne Singularity XDR tem crescimento acelerado no Brasil, adotado por grandes corporações financeiras, MSSPs e empresas de tecnologia que buscam uma alternativa ao ecossistema Microsoft. A capacidade de **resposta autônoma** é especialmente valorizada no contexto brasileiro, onde a escassez de analistas de SOC qualificados torna a automação de contenção crítica. O Singularity XDR é distribuído no Brasil por parceiros como **Redbelt Security** e **ISH Tecnologia**. ## Visão Geral **Singularity XDR** é a plataforma de detecção e resposta estendida da [[_sentinelone|SentinelOne]], projetada para correlacionar telemetria de endpoints, nuvem, identidade e rede em uma interface unificada de investigação. Diferencia-se de soluções tradicionais de EDR pela capacidade de resposta autônoma - o agente pode encerrar processos maliciosos, quarentenar arquivos e reverter o estado do sistema sem intervenção do analista de SOC. **Dados do produto:** - Categoria: XDR (Extended Detection and Response) - Vendor: [[_sentinelone|SentinelOne]] - Linguagem de consulta: Deep Visibility Query (DVQ) - Integração com SOAR: nativo - [[singularity-soar|Singularity SOAR]] - Presença no Brasil/LATAM: Crescente - adotado por grandes corporações e MSSPs brasileiros ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Singularity XDR") SORT patch-daté DESC ``` %% ## Query Language - Deep Visibility Query (DVQ) O **Deep Visibility Query (DVQ)** é a linguagem proprietária do Singularity XDR para consulta histórica de telemetria de endpoint. Baseada em SQL, permite filtrar eventos por tipo, processo, linha de comando, caminho de arquivo, conexões de rede e identidade do usuário. ```sql -- Exemplo: Detectar PowerShell baixando payload via DownloadString SELECT * FROM events WHERE EventType = 'Process Creation' AND ProcessName = 'powershell.exe' AND CmdLine CONTAINS 'DownloadString' LIMIT 100 ``` ```sql -- Exemplo: Detectar acesso a LSASS (dump de credenciais) SELECT * FROM events WHERE EventType = 'Cross Process' AND TargetProcessName = 'lsass.exe' AND SrcProcessName != 'MsMpEng.exe' ORDER BY EventTime DESC LIMIT 50 ``` **Campos principais disponíveis:** - `EventType` - tipo de evento (Process Creation, File Modification, Network, Cross Process, Registry) - `ProcessName` / `ParentProcessName` - nome do processo e do pai - `CmdLine` - linha de comando completa - `NetworkDirection` / `DstIP` / `DstPort` - dados de rede - `FilePath` / `FileHash` - identificação de arquivo - `UserName` / `SID` - identidade As consultas DVQ suportam exportação via API OpenAPI para integração com SIEMs externos e pipelines de automação. ## Storyline ID O **Storyline ID** é um dos diferenciais mais relevantes do Singularity XDR do ponto de vista de investigação de incidentes. Cada evento registrado pelo agente recebe um identificador de correlação - o StorylineID - que vincula automaticamente todos os eventos relacionados a um mesmo ataque em uma única cadeia causal. **Funcionamento prático:** 1. Um script PowerShell é executado via macro do Word (vetor inicial - [[t1566-phishing|T1566 - Phishing]]) 2. O PowerShell realiza injeção de processo (shellcode loader) em `explorer.exe` 3. O processo injetado estabelece conexão C2 com infraestrutura do [[s0154-cobalt-strike]] 4. Movimentação lateral via SMB para outros hosts da rede Todos os quatro eventos acima compartilham o mesmo **StorylineID**, tornando trivial a reconstrução completa do incidente - desde o ponto de entrada até o impacto - sem necessidade de correlação manual entre eventos dispersos em logs. Esse recurso é especialmente valioso na investigação de incidentes de [[lockbit]], onde a cadeia de comprometimento frequentemente se estende por horas ou dias antes da execução do ransomware. ## Integração com Ameaças O Singularity XDR fornece detecções nativas para TTPs documentadas de grupos de ameaça ativos: **[[g0032-lazarus-group|Lazarus Group]]** - Detecção de loaders multi-estágio utilizados em campanhas contra o setor financeiro e de criptomoedas. O DVQ permite rastrear processos filhos suspeitos originados de aplicativos legítimos (T1059). **[[g0016-apt29|APT29 / Cozy Bear]]** - Monitoramento de exfiltração de dados via serviços legítimos de nuvem ([[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage]]), padrão utilizado em campanhas de espionagem contra governos. **[[s0154-cobalt-strike]]** - Detecção de beacon staging, injeção de processo e comunicação C2 via perfis maleáveis. A análise comportamental detecta o padrão mesmo quando o hash do beacon é desconhecido. **[[lockbit]]** - Detecção de comportamentos de pré-criptografia: enumeração de compartilhamentos de rede, exclusão de shadow copies ([[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]]), e modificação em massa de arquivos. **Integração com CVEs:** - [[cve-2024-3400|CVE-2024-3400]] - Telemetria de endpoint detecta tentativas de exploração via GlobalProtect e execução pós-comprometimento - [[cve-2025-0282|CVE-2025-0282]] - Monitoramento de processos filhos suspeitos originados de serviços Ivanti ## Notas Relacionadas **Vendor:** [[_sentinelone|SentinelOne]] **SOAR integrado:** [[singularity-soar|Singularity SOAR]] **Malware detectado:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0368-notpetya]] **Atores monitorados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[cl0p|Cl0p / TA505]] **CVEs referênciados:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2025-0282|CVE-2025-0282]] **TTPs relevantes:** [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1566-phishing|T1566 - Phishing]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage]]