SentinelOne: Boas Práticas em Exclusões

Gerenciar exclusões (ou exceções) no SentinelOne é um equilíbrio delicado: como garantir que aplicações legítimas e processos internos rodem sem problemas, sem abrir brechas na sua segurança?

Utilize este guia rápido para aplicar as melhores práticas, com a abordagem correta para manter sua organização segura e produtiva.

A Regra de Ouro: Exclua com Precisão Cirúrgica

A prática mais importante é nunca usar exclusões amplas e genéricas. Excluir uma pasta inteira como C:\Program Files\ ou C:\Windows\ é extremamente perigoso e deve ser evitada a todo custo. O objetivo é ser o mais específico possível.

Passo a Passo: Criando uma Exclusão Segura

1. No menu lateral do console, navegue para Sentinels e clique na aba Exclusions.
2. Clique no botão New Exclusion no canto superior direito.
3. Escolha o Exclusion Type (Tipo de Exclusão) correto. Esta é a decisão mais importante.
4. Preencha os dados, selecione o OS (Sistema Operacional) e, crucialmente, limite o escopo aplicando a exclusão apenas aos grupos ou sites necessários.
5. Adicione uma descrição clara explicando o porquê da exclusão (ex: “Exclusão para software de contabilidade XYZ, chamado #12345”).

Qual Tipo de Exclusão Usar?

Siga sempre esta hierarquia de confiança, do mais para o menos seguro:

 1. Signer Identity (Identidade do Assinante / Certificado)

• O que é? Exclui qualquer arquivo assinado digitalmente por um desenvolvedor confiável (ex: Microsoft Corporation, Google LLC).
• Quando usar? É a melhor opção para softwares legítimos de fornecedores conhecidos. Você confia no desenvolvedor, não em um arquivo ou caminho que pode ser alterado.
• Dica: use esta opção sempre que possível.

 2. File Hash (SHA1 ou SHA256)

• O que é? Exclui um único e específico arquivo com base em sua “impressão digital” matemática.
• Quando usar? Ideal para excluir um executável ou DLL específico que é proprietário ou não assinado digitalmente, mas que você sabe que é seguro.
• Dica: é muito seguro, mas lembre-se que se o arquivo for atualizado, seu hash mudará e a exclusão deixará de funcionar.

 3. Path (Caminho)

• O que é? O tipo mais comum, mas que exige mais cuidado. Exclui um arquivo, pasta ou padrão de nome.
• Quando usar? Apenas quando as opções acima não forem viáveis, como para aplicações que se atualizam constantemente ou geram arquivos com nomes variáveis Documentação em um diretório específico.
• Dica de Boas Práticas:
  • Seja específico: use o caminho completo do arquivo (ex: C:\Program Files\App\processo.exe) em vez de apenas o nome do processo.
  • Use Wildcards com cautela: use * e ? de forma inteligente.
  • NUNCA exclua diretórios de sistema (\Windows\), diretórios de usuário (\Users\) ou locais de download.

Para um mergulho profundo e informações sempre atualizadas, consulte a documentação oficial da SentinelOne:

Entendendo as Exclusões na Base de Conhecimento da SentinelOne

Boas Práticas de Exclusões para EDR (Link para a Documentação)

Ao seguir estas dicas, você garante que suas exclusões resolvam problemas de falsos positivos sem comprometer a eficácia do SentinelOne em proteger sua organização.

Esperamos que este guia ajude a otimizar sua postura de segurança.am problemas de falsos positivos sem comprometer a eficácia do SentinelOne em proteger sua organização.