SentinelOne (S) – 财报回顾 – 2024 年 3 月 16 日

作者： Brad Freeman17 3 月, 2024发布分类：股市洞悉

Third-Party Content. Provided for informational purposes only. Not investment advice or a recommendation to buy or sell any security. See disclosure here.

SentinelOne (S) – 财报回顾 – 2024 年 3 月 16 日

在终端安全领域，SentinelOne 与 CrowdStrike、Microsoft Defender 和 Palo Alto 直接竞争。该公司专门服务中小企业客户，目前正在向高端市场拓展。 CrowdStrike 的总体平台名为 “猎鹰”，而 SentinelOne 的同类套件名为 “奇点平台”。它提供终端检测和响应（EDR）等功能。与 CrowdStrike 一样，它也在积极拓展云安全、数据分析和一些身份识别的使用场景。两家公司的产品路线图非常相似，CrowdStrike 在将其路线图推向市场方面略胜一筹。

我认为该公司是终端安全领域第二好的公司。按毛利倍数计算，它也比 CrowdStrike 便宜得多，但它仍在烧钱，仍未达到息税前盈亏平衡点，离美国通用会计准则下的息税前盈亏平衡点还很远。财报发布后，我首次将 SentinelOne 纳入了我的投资组合。这份收益报告比一般的报告更详细一些。我想详细说明 SentinelOne 的产品套件、竞争定位、前景、风险以及我开仓这只股票的原因。

需求

SentinelOne 的营收业绩比预期高出 2.8%，比指引高出 3.1%。每年新增经常性净收入（NNARR）为 6100 万美元，低于一些买方机构的预期。我的卖方预估数据只包括 2 位分析师，因此无法引用。

Source: Brad Freeman – SEC Filings, Company Presentations, and Company Press Releases

盈利能力

Beat -$23 million EBIT estimate by $7.2 million & beat guidance by $7.9 million.
- 息税前利润率连续第 10 个季度达到 2500 个基点（1 个基点 = 0.01%）。
- 由于员工人数增加，运营费用同比增长 11%（非美国通用会计准则下同比增长 10%）。在所有 3 个主要运营支出项目中，它都享有很高的杠杆率。
毛利率 (GPM) 比预期的 77.5% 高出 50 个基点（1 个基点 = 0.01%）。
每股收益比预期的-0.04 美元超出了0.02 美元。

Source: Brad Freeman – SEC Filings, Company Presentations, and Company Press Releases

资产负债表

12 亿美元的现金、投资和等价物。
没有负债。
总股本同比增长 6.3%。

股份稀释是我最不喜欢的部分。尽管如此，并购还是放大了这一影响。此外，由于公司继续更好地控制股票薪酬支出，本季度股票薪酬的同比增长速度仅为收入的一半。今后，我将一如既往地关注股本数量的增长。这是我的期望，也是我们被告知的期望。那么，就请实现它吧。

指引与估值

公司展望“假定宏观不确定性全年持续存在”。就全年而言，该公司的收入指引值偏离了 0.4%，同比增长 31.2%。其息税前盈利（EBIT）指引值大幅低于预期的-2000 万美元，相差 1260 万美元。该公司还将全年毛利率定为 78%，与预期基本一致。自私地说，这些低于预期的原因，再加上负面的价格走势，正是我开始建仓所需要的。

首先，我相信在 2024 年全年，公司的收入指引都会上调，因为公司总是在故意降低业绩预期。关于编写这份业绩指引的措辞与以往的报告非常相似。就息税前盈利（EBIT）而言，大额亏损是由于计划投资于两项收购（均在后面讨论），以便将产品作为同类最佳产品推向市场。这些投资使息税前盈利（EBIT）指引值下降了 250 个基点。如果没有这一项，息税前盈利指引的-1200 万美元将比预期高出 800 万美元（或 60%）。我支持继续投资以支持长期增长，尤其是该公司重申了到今年年底实现正的自由现金流（FCF）和息税前盈利（EBIT）的目标。而且，息税前利润率仍将同比提高 1500 个基点。由于其中一项收购是近期进行的（Stride Security），分析师很可能没有将其纳入远期利润估算模型。

“毫无疑问，我们可以实现更大的增长。但我们优先考虑的是盈利能力”。- 联合创始人兼首席执行官托默-温加顿（Tomer Weingarten）

SentinelOne 的交易价格约为毛利润的 11 倍。毛利润应同比增长约 35%。成熟的标准普尔 500 指数公司的交易价格约为毛利润的 5 倍。考虑到公司的增长和利润趋势，这家公司应该是一家昂贵的公司。不过，这仍然为继续执行设定了很高的标准。

假设

营收增长预测基于卖方估算、我与买方的联系、管理层自己的目标、所有其他相关背景以及我个人的观点。鉴于 SentinelOne 模式的订阅特性，2024年营收情景的范围较小是基于其强大的年度需求可视性。消费性收入在总收入中所占的比例继续下降，以加强这种可见性。

利润率估算假定 SentinelOne最迟在今年第四季度实现 FCF 正增长。它采用的是卖方一致估计的利润率，即 2024 财年为 0%，2025 才年为 10%。然后，利润率估算假定，从 2025 年到 2027 年，利润率的年同比增长将从 1000 个基点放缓到 250-500 个基点。 FCF倍数是基于在盈利能力方面领先SentinelOne几年的可比公司的相对估值。例如 CrowdStrike、Zscaler、Okta、Cloudflare、Palo Alto 和 Datadog。我在这里加入了一点保守主义的考虑，以求安慰。我认为概率最高的情况用黄色标出。

产品套件、投资者来信和电话会要点

奇点平台：

SentinelOne 的奇点平台（Singularity Platform）的核心使用场景在终端。与 CrowdStrike 一样，它也提供高度自主的服务和丝滑、轻量级的单一代理，以推动互操作性。这反过来又意味着，与传统的现有公司相比，它具有全面的覆盖范围和卓越的违规保护。

与 CrowdStrike 类似，SentinelOne 也拥有一个相得益彰的数据分析平台（它称之为奇点数据湖/Singularity Data Lake）。这个“数据湖”可以从身份识别、案例管理、威胁情报等方面摄取结构化数据日志。有了这项功能，SentinelOne 就能一次性收集数据，并通过该单一代理在所有客户使用案例中加以利用。数据孤岛的减少意味着其平台的模型和算法可以更有效地进行调配，以提高效率。除了终端安全（下一步将介绍）之外的其他使用场景意味着，它可以反复循环利用这些数据，而几乎不会增加成本。在这个过程中，交叉销售的机会很多，利润上限也很高。每售出一个增量模块，基本上都是纯利润。如果你觉得这听起来与 CrowdStrike 非常相似，那就对了。

完善非终端产品的方法：

如前所述，SentinelOne 的产品路线图与 CrowdStrike 非常相似。它通过一些并购建立了这套系统，但并不像Palo Alto公司这样仓促行事，草草了事。并购整合的速度很慢。在这项工作全部完成之前，它甚至不会提供新收购的产品。这一切都是为了有效地增加价值，而不是增加复杂性、成本和泛滥的假消息。这种追求带来了更可持续、更有意义的收入增长。 SentinelOne 将购得的产品与其“奇点平台”美妙而复杂地结合在一起，以最大限度地提高客户价值。这样的例子不胜枚举。

平台的其他部分 – 数据：

SentinelOne 正在努力为其总体平台增加广泛的身份识别、数据分析、云和 GenAI 用例。与网络安全领域的 CrowdStrike 和 Zscaler 一样，正是这一流程使 SentinelOne 在与点解决方案和传统竞争对手的竞争中脱颖而出。这就是 SentinelOne 将如何促进最有意义的供应商整合，以促进有利的总体拥有成本 (TCO) 和卓越的保护。虽然它的模块广度不如 CrowdStrike，但也不遑多让。

如前所述，SentinelOne 的“奇点数据湖”对公司来说是一个巨大的发展机遇。它可以从几乎无穷无尽的数据源摄取数据，为端到端的数据分析提供支持。这种摄取是通过 “对数标度 “完成的，即以对数方式组织和存储数据。这种更广泛的数据摄取意味着更好的漏洞保护，因为 SentinelOne 的产品可以在更大的相关洞察力集合上进行更适当的训练。团队可以直观地组织和查询数据，以加快漏洞修复并指导战略决策。汇总数据（或 “日志”）以帮助企业发现和修复威胁的服务被称为安全信息和事件管理（SIEM）。

将 SentinelOne 的 EDR 和其他端点产品与庞大的数据日志规模相结合，使其在扩展检测和响应 (XDR) 安全浪潮中处于有利地位。虽然从技术上讲，XDR 是端点的一部分，但它是终端的扩展和升级。 XDR 与 EDR 类似，但将非端点数据源注入保护流程，将 XDR 漏洞保护和修复推向端点之外。有了更多的背景，终端就可以仅仅作为保护的起点，而不是客户技术堆栈中唯一具备适当保护能力的地方。 XDR 需要两样东西：优秀的 EDR 是基础，大规模数据摄取是关键。 SentinelOne 同时提供这两种服务。

对客户和生态系统的数据有了更全面的了解，数据丢失防护（DLP）产品也会随之推出。它选择将这些 DLP 功能与其 XDR 平台绑定，而不是像 CrowdStrike 那样将其作为单独的工具提供。这些 DLP 功能侧重于端点，包括所有敏感数据的保护、法规遵从帮助和高度可配置的权限控制。对 Scalyr 的收购有助于将高质量的 XDR 和下一代 SIEM 推向市场。

“奇点数据湖”目前是 SentinelOne 增长最快的产品。在上一季度，它占到了新预订量的整整 10%。 与本季度的 CrowdStrike 一样，SentinelOne 也大肆宣扬自己正在迅速取代 Splunk 等传统 SIEM 供应商。在客户厌倦了 “不断上涨的成本和过时的技术 “之后，该公司将一家财富 500 强能源公司从他们手中夺走。将所有数据分析和终端安全功能结合起来，大大降低了总体拥有成本，并为 SentinelOne 日益完善的平台提供了更多支持。

平台的其他部分——云计算与身份识别

SentinelOne 首次涉足云安全领域是在云工作负载安全（CWS）中。 CrowdStrike 和其他供应商将其称为云工作负载保护（CWP）。它是一种基于代理的预防性云保护工具，用于观察云环境进入者的任何不良行为。该工具还带有取证分析功能，就像 CrowdStrike 提供的一样（我知道这很令人震惊）。它为 SentinelOne 的自动漏洞保护敲响警钟，并在必要时为托管检测和响应 (MDR) 威胁狩猎团队（称为 Vigilance）敲响警钟。它没有一个专门的云基础设施权限管理（CIEM）工具来识别云进入者和建立权限，但人们普遍认为，这和应用安全态势管理（ASPM）都将很快引入。

云原生应用保护平台（CNAPP）是用来描述公司全套云安全工具的流行语。虽然 SentinelOne 主要从事 CWS 业务，但它刚刚宣布收购 PingSafe，以加强其云安全业务。这将大大加快其与 CrowdStrike 产品平起平坐的步伐。 PingSafe 提供无代理云工具套件，包括云安全与态势管理 (CSPM)。

CSPM 可报告任何云环境中的漏洞并进行配置分析。它可以标记不当权限或网络环境的卫生状况。它不能孤立地阻止漏洞，但可以提供所需的警报，从而使 CWS 等其他云工具能够腾出手来做这件事。此次收购巩固了 SentinelOne 的云安全平台，使其与强大的终端安全平台结合在一起。 CSPM 还将促进供应商整合，实现成本节约与卓越功效的完美结合。

除了这些额外的高价值工具外，SentinelOne 还在寻找这家被收购公司独有的其他工具。 PingSafe 建立了自己的 “进攻性攻击引擎”，在可控、低风险的环境中模拟高优先级和复杂的漏洞。这不仅能培训安全分析师和 SentinelOne 的模型，还能减少误报。这是因为该引擎可提供渐进的背景信息，以便更好地确定攻击的优先级。

“在 SentinelOne，我们始终认为，要阻止攻击者，就必须像攻击者那样思考。PingSafe 就体现了这一理念。- 联合创始人/首席执行官 Tomer Weingarten

正如我们简要提到的，SentinelOne 的 CWS 采用基于代理的方法，而 PingSafe 则是无代理的。基于代理需要直接安装软件，而无代理则不需要。客观上来讲，这两种方式其实各有优势。无代理被认为成本更低、更易于部署和扩展。它非常适合配置分析等风险较低的用例，是 CWS 的完美补充。刚起步的公司预算有限，潜在的扩展需求巨大，而且缺乏高度敏感的数据，因此可以采用无代理方法。基于代理的方法被认为更全面，具有更完整的可视性。对于监管更严格、资产更敏感、需要实时 EDR 以及合规性更复杂的行业，基于代理的解决方案都能提供很好的服务。通过提供这两种解决方案，SentinelOne 可以同时满足这两个市场的需求，从而消除了对不同点解决方案的需求。

与以往一样，SentinelOne 将采取缓慢、有条不紊的方式进行整合，确保完美完成。 PingSafe 的产品要到今年第三季度才会提供给 SentinelOne 的客户。这可能会进一步减少交叉销售的摩擦，但指引意见中并未假设这一点。如果这种情况得以实现，该股的表现可能会更出色。

SentinelOne 还通过两年前收购 Attivo Networks 提供身份安全工具。重要的是，这并不与 Okta 或 Ping Identity 竞争。 Attivo 并不想成为身份代理。它只是利用其理想的终端基础，将身份安全作为另一种形式的终端。 SentinelOne ID 的其他工具包括 “网络欺骗 “或使用诱饵账户 “引诱攻击者暴露自己”。它还提供最低权限工具，标记可疑行为，保护公司免受网络钓鱼攻击，同样也是以终端为中心。

这就引出了一个重要问题。 绝大多数相关安全数据和环境（约占 80%）来自终端。不是网络，不是身份代理……是终端。这使 SentinelOne 和 CrowdStrike 可以说处于拓展新用途的最佳位置。为什么呢？因为这些新的使用场景都可以从这个背景信息和数据丰富的中心提取。这比任何非终端公司更快、更有效地训练新产品。在我的投资组合中，网络安全占 12%，其中全部是端点安全，这并非偶然。完全不是随机的。根据 Grand View Research、Mordor Intelligence、Transparency Market Research 等公司的预测，到 2030 年，电子数据记录仪的行业复合增长率将超过 20%。这个市场极具吸引力。成为其中的第二名（以较低的成本）也是如此。

目前，数据、云和身份识别占公司增量预订的 30%。他们还为每客户两位数的 ARR 年同比增长做出了贡献。随着时间的推移，这两种趋势预计都会加快。

SentinelOne 还刚刚收购了 Stride Security。 Stride 提供安全协调、自动化和响应 (SOAR)，以指导和指示更高效的工作流程。它可以跨端点工作，自动保护威胁；它可以跨云工具工作，加快事件响应；它还有助于查询所需的数据湖上下文，以加强补救措施。 SOAR 将这些产品套件统一起来，推动更直观的交叉销售。它将使这个自动化的“奇点平台”……嗯……更加自动化，更少依赖人工干预。

SentinelOne vs. CrowdStrike & Competition：

在所有第三方研究公司中，SentinelOne 的排名都非常靠前。 Gartner 称其为终端领域的领导者，而 IDC 也这么认为。 Forrester 也正在迅速将这一标签加诸于它。在与传统和下一代竞争者的竞争评估中，它继续赢得 “绝大多数”，本季度赢得的 100 万美元以上的交易数量创下历史新高，因为它建立了企业级的牵引力。此外，与现有客户的扩展相比，新客户的业务量仍占较大比重。这一点很重要，因为它解释了净收入留存率 (NRR) 从几个季度前的超过 125% 下降到 115% 的趋势。根据团队的说法，今天的重点是抢占市场，而明天会担心更多的交叉销售（与现有客户一起拓展更有利可图）。由于公司暂时不会优先考虑全平台销售，因此快速的收入和净资产收益率增长现在可能还有后劲。这将是未来的上升空间。

虽然 CrowdStrike 是其最接近的竞争对手，但将两者相提并论并不公平。 CrowdStrike 在快速增长、规模、利润扩张、GAAP 利润、现金印刷和市场份额提升等方面的能力堪称世界一流。没有其他公司能与之相媲美。因此，虽然 CrowdStrike 在更大的基础上增长更快，利润率也高得多，但这并不妨碍我也想拥有 SentinelOne。我认为，出于上述原因，拥有终端领域排名第二的公司比拥有大多数相邻利基市场的同类最佳公司更有吸引力。

将 SentinelOne 与其他任何高速增长的软件相比，它都非常出色。它将大大超过 GitLab、Snowflake、Okta 和 Datadog，同时与 Zscaler 同步增长。随着息税前盈利（EBIT）和盈亏平衡（FCF）的临近，该公司的利润率扩张速度也远高于上述所有其他公司（尽管盈利能力远不如前四家公司）。将 SentinelOne 与 CrowdStrike 相提并论，就好比将 NBA 全明星与迈克尔-乔丹相提并论。与其他所有全明星相比，它都非常出色。

需求环境：

在我看来，SentinelOne 对需求环境的评论清楚地表明，该公司确实是该领域排名第二的公司（对不起，Palo Alto和微软）……其股票估值比排名第一的公司更有吸引力。它认为宏观不利因素会趋于稳定，不会出现 “预算缩减”。它没有压力去 “免费赠送产品 “或像Palo Alto现在这样大打折扣。简单地说，就是执行、提供增量价值并享受相应的定价权。 SentinelOne 的毛利率趋势表明，定价能力依然非常强大。

“这不是免费赠送。随着时间的推移，这将为客户创造协同效应和更高的成本效益”。- 联合创始人兼首席执行官托梅尔-温加顿（Tomer Weingarten ）

人们继续关注效率和预算审查，但情况并没有恶化。网络安全 “仍然是至关重要的任务”，客户将继续为此支出。重要的是，企业业绩指引假定宏观经济在全年将保持稳定。任何改善都意味着上升空间。

“老化的基础设施和传统系统显然存在风险，因为它们根本无法抵御这些现代化的攻击。这就更需要强有力的现代安全措施。传统网络安全公司正在玩 “打地鼠 “的游戏来堵塞漏洞。这不仅耗费了资源，而且给人一种虚假的保护感”。—— 最新股东信

AI：

SentinelOne 自成立之初就是一家人工智能公司。它的整个基础设施都直接采用了机器学习算法。这股浪潮对公司来说并不陌生。

未来几周，SentinelOne 将首次推出名为 “Purple AI”的安全助手。这与 CrowdStrike 的 “夏洛特人工智能 “工具直接竞争。测试客户对该产品 “兴趣浓厚”，对其爱不释手。它从 Singularity 平台和数据湖中提取数据，自动处理安全分析师日常工作中繁琐的手动操作。这为他们节省了许多时间，并大大提高了分析人员的个人能力。这也是“数据湖”如此重要的另一个原因。 Purple AI 对漏洞进行排名，提供最佳修复方案，并 “让客户以前所未有的性能和速度运行”。它能释放更大的数据摄取规模，以更好地适应这些新模式和应用。上季度的一次产品演示为公司赢得了有史以来最大的新客户之一。

风险：

SentinelOne 的主要风险在于推断近期的利润率趋势，并假定这种趋势会在增长引擎嗡嗡作响时持续下去。虽然它现在比 CrowdStrike 便宜得多，但仍然是一只昂贵的标的。它仍然需要以目前的估值倍数完美地执行业务。要实现盈利，就必须继续快速扩大利润率，实现 30% 以上的收入复合增长。对于任何其他公司来说，这几乎是不可能实现的目标。它们不适合 SentinelOne。

加强市场推广：

与 CrowdStrike 相比，SentinelOne 要做的最多的事情就是进入市场。它在与托管安全服务提供商（MSSP）合作方面表现出色，这也是它受到小客户欢迎的主要原因。对于大公司，我希望看到它与 AWS、Google Cloud 甚至更多的系统集成商（如 CrowdStrike）更紧密地合作，以帮助赢得更多全球 2000 强品牌的青睐。一年前，该公司聘请 Michael Cremen 担任新的首席营收官，负责改革市场推广和调整销售激励机制，以推进平台的采用。

最近，该公司还将其产品套件重组为企业和商业捆绑包，以推动整个平台更快地被采用。这些捆绑产品结合了 SentinelOne 的大部分产品套件，包括其管理检测和响应 (MDR) 威胁团队。这些版本已经 “加快了转换时间，并扩大了初始交易规模”。

会计问题

2024 财年第一季度，SentinelOne 报告了一起严重的会计失误。它将一些以使用和消费为基础的收入错误地归类为年度平均收入。这是大忌，因为这些收入来源本身就更不稳定、更不稳定，而且缺乏可见性。此后，该公司加强了内部会计控制，增加了另一名来自四大审计机构的审计师，此后再也没有犯过错误。对我来说，会计错误使得我对这家公司的信任程度降低了。我很可能不会容忍重蹈覆辙，如果再出现这种情况，我也不会再坚持看好它。

Disclaimer: Third party content is provided for informational purposes only and should not be construed as an offer to sell or a solicitation of an offer to buy or sell any security. Third party content is not intended to serve as a recommendation to buy or sell any security and is not intended to serve as investment advice. Third party content creators are not affiliated with BBAE Holdings LLC, (“BBAE”) Redbridge Securities LLC (“Redbridge Securities”) or BBAE Advisors LLC (“BBAE Advisors”). All investments involve risk, including the possibility of total loss of principal. For additional important information, please click here.