Wat is er aan de hand?
SentinelOne heeft eerder deze week een specifieke hash foutief als malware aangemerkt en toegevoegd aan de global blocklist. Deze false positive hash is ontstaan nadat een Threat Intelligence-feed van een derde partij een veelvoorkomend technisch artefact onterecht als kwaadaardig classificeerde. De globale reputatielijst van SentinelOne nam dit oordeel automatisch over, wat bij wereldwijd heeft geleid tot een groot aantal false positive meldingen
De detecties waren zichtbaar als malwaremeldingen op legitieme bestanden, waaronder bestanden die eindigen op Zone.Identifier. Deze Zone.Identifier false positives werden door SentinelOne in quarantaine geplaatst, ondanks dat er geen sprake was van daadwerkelijke malware.
Zodra SentinelOne dit probleem constateerde, is de reputatie van de hash aangepast. De hash is verwijderd van de global blocklist en toegevoegd aan een globale whitelist, zodat er geen nieuwe meldingen meer worden gegenereerd. Daarmee is de kern van deze SentinelOne global blocklist false positive opgelost.
Of deze false positive hash ook in jouw omgeving is voorgekomen, is afhankelijk van de aanwezigheid van deze hash op je endpoints. Heb je meldingen ontvangen over bestanden die eindigen op Zone.Identifier en die in quarantaine zijn geplaatst? Dan is het goed mogelijk dat deze SentinelOne false positive ook in jouw omgeving heeft gespeeld.
False positives controleren en oplossen
Wil je nagaan of deze false positive hash in jouw SentinelOne-omgeving aanwezig is? Volg dan onderstaande stappen om eventuele false positives te identificeren en op te lossen.
Filter in Alerts op de foutief toegevoegde hash (File Hash – SHA): e89cb8f5b2a05b00e85a1f549b0d1e48d148ccbf. Gebruik eventueel “Group by: File Hash (SHA1)” om alle bijbehorende meldingen te groeperen.
Controleer de alerts en markeer deze als “Resolved” en “False Positive”.
Geef de bestanden weer vrij door handmatig de actie “Unquarantine” uit te voeren.
Onderstaande screenshot laat zien hoe je dit filter en de groepering instelt in de SentinelOne-console.
Waar moet je op letten
SentinelOne heeft de hash inmiddels van de globale lijst verwijderd. Toch kunnen er nog nieuwe detecties binnenkomen. Dit komt doordat apparaten die offline zijn geweest de update van de blocklist nog lokaal moeten ophalen, terwijl SentinelOne het systeem bij het opstarten wel actief beschermt. Daardoor kan het de komende dagen voorkomen dat er, ondanks dat het probleem in de kern is opgelost, nog meldingen worden gegenereerd. In dat geval kun je de bovenstaande stappen volgen
Kom je er met bovenstaande uitleg niet helemaal uit of heb je nog andere vragen? Neem dan gerust contact met ons op via support@mydigitals.nl of 085-018 5761.
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl