IT Pro · Security ČLÁNOK 4. apríla 2026 · 12 min čítania

SentinelOne EDR — pohľad z praxe. Core, Control alebo Complete?

EDR riešenie je dnes pre firmu nutnosť — či z pohľadu NIS2 alebo len čistej bezpečnosti. EDR riešení je veľa, ale SentinelOne patrí medzi tie, o ktorých sa dá povedať, že si zaslúžia svoju reputáciu. Tu je môj pohľad.

Prečo SentinelOne?

Keď sa pozriem na nezávislé hodnotenia — MITRE ATT&CK evaluations, Gartner Magic Quadrant, Forrester Wave — S1 sa pravidelne pohybuje na vrchole. Nie z vlastnej reklamy, ale z výsledkov. V MITRE hodnoteniach dosahuje 100% detekciu bez potreby manuálnych konfigurácií, čo je v praxi presne to, čo chcete — riešenie ktoré funguje hneď po nasadení.

Okrem kvality produktu je pre mňa kľúčová ešte jedna vec — distribučná sieť, cena a integrácia. Ale k tomu sa dostanem neskôr.

Tri verzie — Core, Control, Complete

SentinelOne Singularity vychádza v troch základných variantoch. Každý ďalší stupeň obsahuje všetko z predchádzajúceho plus niečo navyše.

Základ

Core

Náhrada za klasický AV s AI detekciou. Lepšie ako AV, ale stále len základ — chýba management a kontrola zariadení.

Static AI + Behavioral AI enginy
Autonómna detekcia a response
1-click rollback po ransomware
Multi-OS podpora
Storyline (útočný reťazec)

Odporúčané pre väčšinu firiem

Control

Core + device management. Pre MSP a firemné prostredie správna voľba — máte všetko čo potrebujete.

Všetko z Core
Firewall Control (s location awareness)
Device Control — USB, Bluetooth
Vulnerability Management
Application Inventory
Globálne nastavenia cez konzolu

Pre SOC a threat hunting

Complete

Control + Deep Visibility. Zbieranie a prehľadávanie všetkých telemetrických dát — kto s tým pracuje, ocení každý detail.

Všetko z Control
Deep Visibility (SIEM data lake)
PowerQuery vyhľadávanie
Threat hunting nástroje
Forensic timeline

Môj pohľad na výber verzie

Core neodporúčam — je to stále lepšie ako klasický AV, ale pre firmu je to príliš málo. Chýba USB kontrola, firewall management, vulnerability prehľad. Control je pre väčšinu firiem správna voľba. Máte skutočný EDR s kompletným device managementom. Complete má zmysel ak máte SOC tím, threat huntera, alebo ak po incidente chcete vedieť každý detail — Deep Visibility je ako mať DVR záznam celej siete. Ak s tým nikto nepracuje, je to peniaz navyše.

Detekčné enginy — čo to v praxi znamená

SentinelOne nepoužíva len signatúrovú databázu. Každý endpoint má na sebe niekoľko vrstiev detekcie, ktoré pracujú súbežne — niektoré sú AI-based, iné pravidlové:

Static AI Engine

Analyzuje súbory pred spustením. Trénovaný na miliardách vzoriek, detekuje malvér bez potreby signatúr — vrátane zero-day.

Behavioral AI Engine

Sleduje správanie procesov v reálnom čase. Zachytí fileless útoky, memory injection a ransomware aj keď neexistuje žiadny súbor na disku.

Reputation Engine

Porovnáva súbory a procesy s threat intelligence cloudom. Kontinuálne aktualizovaný zo všetkých chránených endpointov globálne.

Storyline Engine

Automaticky koreluje všetky udalosti na endpointe do vizuálneho útočného reťazca. Vidíte celý incident — od prvého kliknutia po posledný proces.

STAR Rules Engine

Custom detection rules — vlastné pravidlá pre špecifické prostredia. Hodí sa pri špecializovaných aplikáciách kde AI potrebuje pomoc.

Cloud Intelligence Engine

Rozširuje detekciu o cloudové dáta. Koreluje lokálne správanie s globálnou threat intelligence z celej S1 siete.

Dôležité: tieto enginy fungujú aj bez internetového pripojenia. Endpoint nie je závislý na cloude pre základnú detekciu — AI modely sú priamo na zariadení. To je kľúčová výhoda oproti riešeniam kde bez cloudu nefunguje takmer nič.

Prečo Core bez Device Control nestačí

Toto vidím v praxi ako najčastejší omyl. Firma nasadí Core, zaplatí menej, ale v konzole nemá USB kontrolu. Zamestnanec príde s infikovaným USB kľúčom — a S1 Core zachytí hrozbu. Ale nezabrání pripojeniu. Ak by bol Control, USB zariadenia by sa dali globálne zakázať alebo obmedziť len na povolené.

S Control viete cez jednu konzolu:

Zakázať všetky USB okrem firemných (whitelist podľa vendor ID)
Blokovať Bluetooth periférie
Nastaviť firewall pravidlá globálne pre všetkých zákazníkov naraz
Vidieť zoznam nainštalovaných aplikácií s CVE zraniteľnosťami

Automatické exclusions — podceňovaná funkcia

Každý kto niekedy nastavoval exclusions v AV riešeniach vie, čo to znamená. Hodiny ladenia, false positives, volania od používateľov že "nefunguje aplikácia." SentinelOne má v Control a Complete funkciu AI-based automatických exclusions — systém sám na základe správania rozozná legitímne aplikácie a vytvorí exclusions bez manuálneho zásahu. Nie je to 100% ale v praxi dramaticky šetrí čas.

Izolácia endpointu — a remote shell

Ak S1 detekuje vážnu hrozbu, vie PC automaticky odpojiť od siete. Žiadna komunikácia von ani dnu — ransomware sa nerozsirí na ďalšie stroje. A tu je vec, ktorá ma na S1 naozaj teší: aj pri izolovanom endpointe máte cez konzolu stále prístup cez Remote Shell. Môžete spustiť príkazy, zbierať dáta, vyšetrovať incident — endpoint je izolovaný od siete ale nie od vás.

Praktická ukážka: Ransomware incident

PC je napadnutý ransomwarom → S1 Behavioral AI detekuje šifrovanie súborov → automaticky izoluje endpoint → 1-click rollback obnoví zašifrované súbory zo snapshot-ov → incident je vyriešený bez straty dát. Celý proces môže prebehnúť v sekundách, autonómne, bez ľudského zásahu.

Rogue vs Ranger — sieťová viditeľnosť

Toto je oblasť kde je dobré vedieť čo dostanete zadarmo a čo nie.

Rogue (zadarmo v Console) — zobrazí vám všetky zariadenia ktoré vidí vo vašej sieti cez chránené endpointy. Jednoducho povedané: nainštalujete agenta na PC, a konzola automaticky ukáže čo ďalšie je v sieti — tlačiarne, NAS, IoT zariadenia, nechránené PC. Veľmi užitočná funkcia bez príplatku.

Ranger (platený addon) — to je väčší brat. Nielen nájde zariadenia, ale dokáže aj aktívne kontrolovať ich komunikáciu. Ten príklad s kórejskou chladničkou komunikujúcou s Kóreou — to je presne na čo Ranger slúži. Nájde neznáme zariadenie, zablokuje podozrivú komunikáciu, izoluje ho od zvyšku siete. Pre väčšinu MSP zákazníkov Rogue postačí — Ranger je na špecifické prostredia kde IoT security je kritická.

Deep Visibility — pre koho to naozaj je

Complete verzia prináša Deep Visibility — v podstate SIEM data lake priamo v S1 konzole. Každý proces, každé sieťové spojenie, každá zmena registrov — všetko sa zaznamenáva a môžete to prehľadávať pomocou PowerQuery jazyka.

Ak nastane incident, môžete robiť skutočnú digitálnu forenziku: zistiť čo sa stalo, kedy, kde, akým procesom, aké súbory boli dotknuté. Je to ako mať DVR záznam celej aktivity na endpointe niekoľko dní dozadu.

Complete má zmysel len ak s ním niekto pracuje

Deep Visibility generuje obrovské množstvo dát. Ak nemáte nikoho kto vie s PowerQuery pracovať a kto pravidelne prehľadáva logy — Complete je peniaz navyše. Pre bežné MSP zákazníky Control plne postačí. Complete je pre firmy s interným SOC alebo pre prostredia kde compliance vyžaduje dlhodobú retenciu logov.

MSP konzola — jeden pohľad na všetkých zákazníkov

Toto je pre mňa jeden z najväčších dôvodov prečo S1 odporúčam MSP partnerom. Máte jeden multi-tenant dashboard kde vidíte všetkých zákazníkov. Môžete:

Tvoriť a aplikovať polícy globálne alebo per zákazník
Nastaviť firewall pravidlá naprieč celým portfoliom
Vidieť alerty zo všetkých prostredí na jednom mieste
Spravovať USB/Bluetooth polícy centrálne
Sledovať vulnerability stav naprieč zákazníkmi

Pre MSP s 20 zákazníkmi to znamená, že namiesto 20 rôznych konzol máte jednu. A keď vyjde nový CVE, viete okamžite vidieť ktorí zákazníci sú vystavení.

Integrácie — kde S1 skutočne svieti

Tu je podľa mňa jedna z najväčších konkurenčných výhod SentinelOne voči porovnateľným riešeniam ako Sophos Intercept X alebo CrowdStrike. S1 je hlboko integrovaný v ekosystémoch ktoré MSP dennodenne používajú:

NinjaOne RMM N-able N-central N-able N-sight SonicWall Capture Client ConnectWise Automate Datto RMM Microsoft Sentinel Splunk

Vďaka integrácii v NinjaOne alebo N-central je deployment S1 doslova otázka pár klikov — vyberiete zariadenia, zvolíte policy, a agent sa nasadí automaticky. Nie je potrebné nič špeciálne konfigurovať. Monitorovanie alertov prebieha priamo v RMM konzole bez prepínania medzi aplikáciami.

SonicWall Capture Client je zaujímavý prípad — S1 agent je priamo zabudovaný do SonicWall ekosystému, čo znamená že zákazníci so SonicWall firewallom dostanú S1 ako prirodzenú súčasť svojej security stacku.

Porovnanie s konkurenciou

Riešenie	AI detekcia	Rollback	MSP integrácia	Remote Shell	Multi-tenant
SentinelOne	áno (on-device)	áno (1-click)	výborná	áno	áno
Sophos Intercept X	áno	obmedzený	dobrá	Live Response	áno
CrowdStrike Falcon	áno (cloud-heavy)	nie	dobrá	áno	áno
Microsoft Defender	základná	nie	len M365	obmedzene	cez Lighthouse

CrowdStrike je technologicky porovnateľný ale cena je výrazne vyššia a chýba automatický rollback. Sophos Intercept X je solídna alternatíva s dobrou MSP integráciou. Microsoft Defender je zadarmo pre M365 zákazníkov ale v hĺbke detekcie a MSP manageability za S1 zaostáva.

Pre MSP segment je S1 podľa môjho názoru najlepšia kombinácia kvality, ceny a ekosystémovej integrácie.

Pohľad z praxe

Pre väčšinu firiem a MSP zákazníkov odporúčam Control. Máte skutočný EDR, device management, firewall kontrolu, USB/Bluetooth polícy — všetko čo firma potrebuje. Core je stále lepšie ako AV, ale pre firemnú ochranu je to príliš málo.

Complete má zmysel pri SOC tíme alebo ak compliance vyžaduje dlhodobú retenciu a audit logov. Ak s Deep Visibility nikto nepracuje, je to zbytočná investícia.

Čo ma na S1 naozaj teší — funguje. Deployment je jednoduchý vďaka integrácii v RMM nástrojoch, konzola je prehľadná, AI exclusions šetria čas, a keď nastane incident, máte Remote Shell aj na izolovanom endpointe. To nie sú marketingové frázy — to je každodenná realita pri práci s týmto nástrojom.

IT Pro · Security ARTIKEL 4. April 2026 · 12 Min. Lesezeit

SentinelOne EDR — Praxisbericht. Core, Control oder Complete?

EDR ist heute eine Notwendigkeit für Unternehmen — ob aus NIS2-Sicht oder einfach aus Sicherheitsgründen. Es gibt viele EDR-Lösungen, aber SentinelOne gehört zu denen, die ihren Ruf verdienen. Hier ist meine Einschätzung.

Warum SentinelOne?

Unabhängige Bewertungen — MITRE ATT&CK Evaluierungen, Gartner Magic Quadrant, Forrester Wave — zeigen S1 regelmäßig an der Spitze. In den MITRE-Bewertungen erreicht es 100% Erkennung ohne manuelle Konfigurationsänderungen. Das ist genau das, was man in der Praxis will.

Drei Versionen — Core, Control, Complete

Basis

Core

AV-Ersatz mit KI-Erkennung. Besser als AV, aber nur die Grundlage — fehlt Geräteverwaltung und Kontrolle.

Static AI + Behavioral AI Engines
Autonome Erkennung und Response
1-Click Rollback nach Ransomware
Multi-OS Unterstützung
Storyline (Angriffskette)

Erkennungs-Engines

SentinelOne verwendet nicht nur eine Signaturdatenbank. Jeder Endpunkt verfügt über mehrere Erkennungsschichten, die gleichzeitig arbeiten — einige KI-basiert, andere regelbasiert:

Static AI Engine

Analysiert Dateien vor der Ausführung. Trainiert auf Milliarden von Mustern, erkennt Malware ohne Signaturen — einschließlich Zero-Days.

Behavioral AI Engine

Überwacht Prozessverhalten in Echtzeit. Erkennt dateilose Angriffe, Memory Injection und Ransomware — auch wenn keine Datei auf der Festplatte existiert.

Reputation Engine

Vergleicht Dateien und Prozesse mit der Threat-Intelligence-Cloud. Wird kontinuierlich aus allen weltweit geschützten Endpunkten aktualisiert.

Storyline Engine

Korreliert automatisch alle Ereignisse auf dem Endpunkt zu einer visuellen Angriffskette. Der gesamte Incident ist sichtbar — vom ersten Klick bis zum letzten Prozess.

STAR Rules Engine

Benutzerdefinierte Erkennungsregeln für spezifische Umgebungen. Ideal für spezialisierte Anwendungen, bei denen die KI Unterstützung benötigt.

Cloud Intelligence Engine

Erweitert die Erkennung um Cloud-Daten. Korreliert lokales Verhalten mit globaler Threat Intelligence aus dem gesamten S1-Netzwerk.

Warum Core ohne Device Control nicht ausreicht

Das ist in der Praxis der häufigste Fehler. Ein Unternehmen setzt Core ein, zahlt weniger, hat aber keine USB-Kontrolle in der Konsole. Ein Mitarbeiter kommt mit einem infizierten USB-Stick — S1 Core erkennt die Bedrohung. Aber es verhindert nicht die Verbindung. Mit Control lassen sich USB-Geräte global sperren oder nur auf zugelassene beschränken.

Mit Control können Sie über eine Konsole:

Alle USB-Geräte außer firmeneigenen sperren (Whitelist nach Vendor-ID)
Bluetooth-Peripheriegeräte blockieren
Firewall-Regeln global für alle Kunden gleichzeitig festlegen
Eine Liste installierter Anwendungen mit CVE-Schwachstellen einsehen

Automatische Exclusions — eine unterschätzte Funktion

Jeder, der schon einmal Exclusions in AV-Lösungen konfiguriert hat, weiß was das bedeutet. Stundenlange Feinabstimmung, False Positives, Anrufe von Benutzern dass „die Anwendung nicht funktioniert". SentinelOne bietet in Control und Complete KI-basierte automatische Exclusions — das System erkennt anhand des Verhaltens legitime Anwendungen und erstellt Exclusions ohne manuellen Eingriff. Nicht 100% perfekt, aber in der Praxis deutlich zeitsparend.

Endpoint-Isolierung — und Remote Shell

Wenn S1 eine ernste Bedrohung erkennt, kann der PC automatisch vom Netzwerk getrennt werden. Keine Kommunikation rein oder raus — Ransomware kann sich nicht auf weitere Rechner ausbreiten. Und hier ist das, was mich an S1 wirklich begeistert: Auch bei einem isolierten Endpoint haben Sie über die Konsole weiterhin Zugriff per Remote Shell. Sie können Befehle ausführen, Daten sammeln, den Incident untersuchen — der Endpoint ist vom Netzwerk isoliert, aber nicht von Ihnen.

Praxisbeispiel: Ransomware-Incident

PC wird von Ransomware angegriffen → S1 Behavioral AI erkennt die Dateiverschlüsselung → isoliert den Endpoint automatisch → 1-Click Rollback stellt verschlüsselte Dateien aus Snapshots wieder her → Incident gelöst ohne Datenverlust. Der gesamte Prozess kann in Sekunden ablaufen, autonom, ohne menschliches Eingreifen.

Rogue vs Ranger — Netzwerktransparenz

Rogue (kostenlos in der Konsole) — zeigt alle Geräte, die über geschützte Endpunkte im Netzwerk sichtbar sind. Einfach gesagt: Sie installieren einen Agenten auf einem PC, und die Konsole zeigt automatisch was sonst noch im Netzwerk vorhanden ist — Drucker, NAS, IoT-Geräte, ungeschützte PCs. Eine sehr nützliche Funktion ohne Aufpreis.

Ranger (kostenpflichtiges Add-on) — das ist der große Bruder. Er findet nicht nur Geräte, sondern kann auch aktiv deren Kommunikation kontrollieren. Ein unbekanntes Gerät wird gefunden, verdächtige Kommunikation blockiert, das Gerät vom Rest des Netzwerks isoliert. Für die meisten MSP-Kunden reicht Rogue aus — Ranger ist für spezifische Umgebungen, in denen IoT-Sicherheit kritisch ist.

Deep Visibility — für wen ist das wirklich gedacht

Die Complete-Version bringt Deep Visibility — im Grunde einen SIEM-Data-Lake direkt in der S1-Konsole. Jeder Prozess, jede Netzwerkverbindung, jede Registry-Änderung — alles wird aufgezeichnet und kann mit der PowerQuery-Sprache durchsucht werden.

Bei einem Incident können Sie echte digitale Forensik betreiben: herausfinden was passiert ist, wann, wo, durch welchen Prozess, welche Dateien betroffen waren. Es ist wie ein DVR-Mitschnitt aller Aktivitäten auf dem Endpoint über mehrere Tage zurück.

⚠️ Complete lohnt sich nur wenn jemand damit arbeitet

Deep Visibility erzeugt enorme Datenmengen. Wenn niemand da ist, der mit PowerQuery arbeiten kann und regelmäßig Logs durchsucht — ist Complete Geldverschwendung. Für normale MSP-Kunden reicht Control vollständig aus. Complete ist für Unternehmen mit internem SOC oder Umgebungen, in denen Compliance eine langfristige Log-Retention erfordert.

MSP-Konsole — ein Blick auf alle Kunden

Das ist für mich einer der größten Gründe, warum ich S1 MSP-Partnern empfehle. Sie haben ein einziges Multi-Tenant-Dashboard, in dem Sie alle Kunden sehen. Sie können:

Richtlinien global oder pro Kunde erstellen und anwenden
Firewall-Regeln über das gesamte Portfolio festlegen
Alerts aus allen Umgebungen an einem Ort sehen
USB/Bluetooth-Richtlinien zentral verwalten
Schwachstellenstatus über alle Kunden hinweg verfolgen

Für einen MSP mit 20 Kunden bedeutet das: statt 20 verschiedener Konsolen haben Sie eine. Und wenn ein neuer CVE veröffentlicht wird, sehen Sie sofort welche Kunden betroffen sind.

Integrationen — wo S1 wirklich glänzt

Das ist nach meiner Einschätzung einer der größten Wettbewerbsvorteile von SentinelOne gegenüber vergleichbaren Lösungen wie Sophos Intercept X oder CrowdStrike. S1 ist tief in Ökosystemen integriert, die MSPs täglich nutzen:

NinjaOne RMM N-able N-central N-able N-sight SonicWall Capture Client ConnectWise Automate Datto RMM Microsoft Sentinel Splunk

Dank der Integration in NinjaOne oder N-central ist der S1-Deployment buchstäblich eine Frage von wenigen Klicks — Geräte auswählen, Richtlinie wählen, Agent wird automatisch ausgerollt. Alert-Monitoring läuft direkt in der RMM-Konsole ohne Anwendungswechsel.

SonicWall Capture Client ist ein interessanter Fall — der S1-Agent ist direkt in das SonicWall-Ökosystem eingebaut, was bedeutet dass Kunden mit SonicWall-Firewall S1 als natürlichen Teil ihres Security-Stacks erhalten.

Vergleich mit der Konkurrenz

Lösung	KI-Erkennung	Rollback	MSP-Integration	Remote Shell	Multi-Tenant
SentinelOne	ja (on-device)	ja (1-click)	ausgezeichnet	ja	ja
Sophos Intercept X	ja	eingeschränkt	gut	Live Response	ja
CrowdStrike Falcon	ja (cloud-heavy)	nein	gut	ja	ja
Microsoft Defender	grundlegend	nein	nur M365	eingeschränkt	über Lighthouse

CrowdStrike ist technologisch vergleichbar, aber deutlich teurer und ohne automatischen Rollback. Sophos Intercept X ist eine solide Alternative mit guter MSP-Integration. Microsoft Defender ist kostenlos für M365-Kunden, aber in der Erkennungstiefe und MSP-Verwaltbarkeit hinter S1.

Für das MSP-Segment ist S1 meiner Meinung nach die beste Kombination aus Qualität, Preis und Ökosystem-Integration.

Fazit aus der Praxis

Für die meisten Unternehmen und MSP-Kunden empfehle ich Control. Echtes EDR, Geräteverwaltung, Firewall-Kontrolle, USB/Bluetooth-Richtlinien — alles was ein Unternehmen braucht. Core ist zwar besser als AV, aber für den Unternehmensschutz zu wenig.

Complete lohnt sich beim SOC-Team oder wenn Compliance eine langfristige Log-Retention erfordert.

IT Pro · Security ARTICLE April 4, 2026 · 12 min read

SentinelOne EDR — a view from the field. Core, Control or Complete?

EDR is a necessity for businesses today — whether from a NIS2 compliance perspective or pure security. There are many EDR solutions, but SentinelOne is one that genuinely earns its reputation. Here's my take.

Why SentinelOne?

Independent evaluations — MITRE ATT&CK, Gartner Magic Quadrant, Forrester Wave — consistently place S1 at the top. In MITRE evaluations it achieves 100% detection with zero configuration changes. That's exactly what you want — a solution that works right after deployment.

Three tiers — Core, Control, Complete

Foundation

Core

AV replacement with AI detection. Better than AV but still just the basics — no device management or control.

Static AI + Behavioral AI engines
Autonomous detection and response
1-click rollback after ransomware
Multi-OS support
Storyline (attack chain)

Recommended for most companies

Control

Core + device management. The right choice for MSP and enterprise environments.

Everything from Core
Firewall Control (with location awareness)
Device Control — USB, Bluetooth
Vulnerability Management
Application Inventory
Remote Script Orchestration
Active Directory Integration

For SOC and Threat Hunting

Complete

Control + Deep Visibility. Collection and search of all telemetry data — for forensic analysis.

Everything from Control
Deep Visibility (SIEM Data Lake)
PowerQuery telemetry search
Remote Shell
Ranger (network discovery)
Cloud Workload Security
Identity Threat Detection

Detection engines — what this means in practice

SentinelOne doesn't rely on signature databases alone. Every endpoint runs several detection layers simultaneously — some AI-based, others rule-based:

Static AI Engine

Analyses files before execution. Trained on billions of samples, detects malware without signatures — including zero-days.

Behavioral AI Engine

Monitors process behaviour in real time. Catches fileless attacks, memory injection and ransomware even when no file exists on disk.

Reputation Engine

Compares files and processes against the threat intelligence cloud. Continuously updated from all protected endpoints worldwide.

Storyline Engine

Automatically correlates all endpoint events into a visual attack chain. You see the entire incident — from the first click to the last process.

STAR Rules Engine

Custom detection rules for specific environments. Useful for specialised applications where AI needs assistance.

Cloud Intelligence Engine

Extends detection with cloud data. Correlates local behaviour with global threat intelligence from across the entire S1 network.

Why Core without Device Control isn't enough

This is the most common mistake I see in practice. A company deploys Core, pays less, but has no USB control in the console. An employee brings in an infected USB drive — S1 Core detects the threat. But it doesn't prevent the connection. With Control, USB devices can be blocked globally or restricted to approved ones only.

With Control you can manage from a single console:

Block all USB devices except company-approved ones (whitelist by vendor ID)
Block Bluetooth peripherals
Set firewall rules globally across all customers at once
View a list of installed applications with CVE vulnerabilities

Automatic exclusions — an underrated feature

Anyone who has ever configured exclusions in AV solutions knows what that means. Hours of fine-tuning, false positives, calls from users saying "the application doesn't work." SentinelOne in Control and Complete offers AI-based automatic exclusions — the system identifies legitimate applications based on behaviour and creates exclusions without manual intervention. Not 100% perfect, but in practice it saves significant time.

Endpoint isolation — and remote shell

When S1 detects a serious threat, it can automatically disconnect the PC from the network. No communication in or out — ransomware can't spread to other machines. And here's what genuinely impresses me about S1: even with an isolated endpoint, you still have console access via Remote Shell. You can run commands, collect data, investigate the incident — the endpoint is isolated from the network but not from you.

Real-world example: Ransomware incident

PC is hit by ransomware → S1 Behavioral AI detects file encryption → automatically isolates the endpoint → 1-click rollback restores encrypted files from snapshots → incident resolved with no data loss. The entire process can happen in seconds, autonomously, without human intervention.

Rogue vs Ranger — network visibility

Rogue (free in the console) — shows all devices visible in your network via protected endpoints. Simply put: install an agent on a PC and the console automatically shows everything else on the network — printers, NAS, IoT devices, unprotected PCs. A very useful feature at no extra cost.

Ranger (paid add-on) — the big brother. It doesn't just find devices, it can actively control their communication. An unknown device is found, suspicious communication blocked, the device isolated from the rest of the network. For most MSP customers Rogue is sufficient — Ranger is for specific environments where IoT security is critical.

Deep Visibility — who it's really for

The Complete tier brings Deep Visibility — essentially a SIEM data lake directly inside the S1 console. Every process, every network connection, every registry change — all recorded and searchable using PowerQuery.

When an incident occurs you can perform real digital forensics: find out what happened, when, where, by which process, which files were affected. It's like having a DVR recording of all endpoint activity going back several days.

⚠️ Complete only makes sense if someone actually uses it

Deep Visibility generates enormous amounts of data. If no one is available to work with PowerQuery and regularly review logs — Complete is money wasted. For standard MSP customers Control is fully sufficient. Complete is for companies with an internal SOC or environments where compliance requires long-term log retention.

MSP console — one view across all customers

This is one of the biggest reasons I recommend S1 to MSP partners. You have a single multi-tenant dashboard where you see all customers. You can:

Create and apply policies globally or per customer
Set firewall rules across the entire portfolio
See alerts from all environments in one place
Manage USB/Bluetooth policies centrally
Track vulnerability status across all customers

For an MSP with 20 customers that means instead of 20 different consoles you have one. And when a new CVE is published you can immediately see which customers are exposed.

Integrations — where S1 truly shines

This is in my opinion one of SentinelOne's biggest competitive advantages over comparable solutions like Sophos Intercept X or CrowdStrike. S1 is deeply integrated into ecosystems MSPs use every day:

NinjaOne RMM N-able N-central N-able N-sight SonicWall Capture Client ConnectWise Automate Datto RMM Microsoft Sentinel Splunk

Thanks to integration in NinjaOne or N-central, S1 deployment is literally a matter of a few clicks — select devices, choose a policy, agent deploys automatically. Alert monitoring runs directly inside the RMM console without switching applications.

SonicWall Capture Client is an interesting case — the S1 agent is built directly into the SonicWall ecosystem, meaning customers with a SonicWall firewall get S1 as a natural part of their security stack.

Comparison with competitors

Solution	AI detection	Rollback	MSP integration	Remote Shell	Multi-tenant
SentinelOne	yes (on-device)	yes (1-click)	excellent	yes	yes
Sophos Intercept X	yes	limited	good	Live Response	yes
CrowdStrike Falcon	yes (cloud-heavy)	no	good	yes	yes
Microsoft Defender	basic	no	M365 only	limited	via Lighthouse

CrowdStrike is technically comparable but significantly more expensive and lacks automatic rollback. Sophos Intercept X is a solid alternative with good MSP integration. Microsoft Defender is free for M365 customers but lags behind S1 in detection depth and MSP manageability.

For the MSP segment S1 is in my opinion the best combination of quality, price and ecosystem integration.

View from the field

For most businesses and MSP customers I recommend Control. Real EDR, device management, firewall control, USB/Bluetooth policies — everything a company needs. Core is better than AV but too limited for business protection.

Complete makes sense with a SOC team or when compliance requires long-term log retention and audit capabilities.