SentinelOne EDR: تكوين تكامل XOps

يناقش هذا المقال دمج البيانات من SentinelOne EDR لإنشاء قصص يمكنك مراجعتها في منصة عمل القصص Cato.

ملاحظة

ملاحظة: XOps هو الطبقة الموحدة للتحليلات من Cato للأمان والعمليات، ويوفر رؤى وتوجيهات للإصلاح. XOps قد استبدلت XDR، لمزيد من المعلومات، راجع أسئلة شائعة عن XOps.

نظرة عامة

بواسطة موصل API، يمكنك دمج بيانات الحوادث من SentinelOne EDR لإنشاء قصص لأجهزة النقاط النهائية. تساعدك قصص النقطة النهائية في الحصول على صورة أكثر اكتمالاً للتهديدات المحتملة في شبكتك.

يتم إنشاء قصة في نظام إدارة المحتوى عن طريق ربط بيانات من حوادث SentinelOne EDR بناءً على معرف العميل UUID (معرف الجهاز) وتوقيع الملف المهدد خلال 90 يومًا. تتضمن هذه القصص جميع الأدلة ذات الصلة بالحوادث المكتشفة بواسطة SentinelOne. تعرض منصة عمل القصص قصص النقاط النهائية مع أنواع القصص الأخرى، ويمكنك ترتيب وتصفية القصص للتركيز على حوادث النقاط النهائية.

لدمج بيانات حوادث SentinelOne EDR مع Cato XOps، يجب إعداد موصلات API لبرنامج SentinelOne EDR. بعد إنشاء الموصل، يسترجع محرك حوادث النقطة النهائية ويحلل بيانات الحوادث من SentinelOne EDR.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من SentinelOne، راجع تحليل دقيق لقصص أمان XOps

المتطلبات الأساسية

  • يجب أن تمتلك ترخيص SentinelOne Enterprise، بما في ذلك بحيرة البيانات السنجولاريتي

  • لعرض قصص Cato XOps لحوادث SentinelOne EDR، يلزم توفر ترخيص XOps أو XDR Pro أو MDR. يتم توليد الأحداث بدون ترخيص

تكوين موصل SentinelOne EDR

لإنشاء الموصل بين Cato والمستأجر الخاص بك في SentinelOne تحتاج إلى:

  1. إنشاء رمز API في وحدة تحكم SentinelOne

  2. إنشاء موصل API في CMA

يجب أن تكون لديك بيانات الاعتماد الصحيحة للمصادقة على SentinelOne.

الخطوة 1: إنشاء رمز API في وحدة تحكم SentinelOne

في وحدة تحكم SentinelOne، أنشئ رمز API لإدخاله في CMA.

لإنشاء رمز API:

  1. في وحدة تحكم SentinelOne الخاصة بك، في القائمة الجانبية، انتقل إلى الإعدادات > اختيار المستخدمين.

  2. في علامة تبويب مستخدمي الخدمة، انقر فوق الأعمال > إنشاء مستخدم خدمة جديد.

    New_Service_User.png

  3. أضف اسمًا وتاريخ انتهاء لمستخدم الخدمة. نوصي بتعيين تاريخ انتهاء لا يقل عن عام واحد.

    ملاحظة: يجب تجديد الرمز بعد انتهاء صلاحيته.

  4. انقر التالي.

  5. اختر مستوى الحساب وحدد المربع الخاص بالحساب المعني.

    Scope.png

  6. انقر على إنشاء مستخدم. قد يُطلب منك إدخال رمز MFA الخاص بك.

  7. نسخ وحفظ رمز API حتى يمكن إضافته إلى نظام إدارة المحتوى.

الخطوة 2: إنشاء موصل API في نظام إدارة المحتوى

بعد الحصول على رمز API، قم بإضافة التفاصيل في نظام إدارة المحتوى.

S1.png

لتكوين موصل SentinelOne EDR في CMA:

  1. من القائمة التنقلية، اخترالموارد > الدمج.

  2. في علامة تبويب التطبيقات المدمجة، انقر فوق جديد. تفتح لوحة دمج جديد.

  3. من القائمة المنسدلة تطبيقات SaaS، اختر SentinelOne.

  4. أدخل اسمًا ووصفًا (اختياريًا) وعنوان URL للعميل (النطاق الخاص بك) ورمز API.

    ملاحظة: تأكد من تضمين https:// في عنوان URL للعميل. على سبيل المثال، https://<YOUR_TENANT>.sentinelone.net

  5. (اختياري) اختر تتبع الأخطاء في الدمج عن طريق إنشاء حدث.

  6. انقر على حفظ.

فهم حالة الموصل

عمود الحالة في صفحة إعدادات الموصلات يعرض حالة الاتصال بين تطبيق SentinelOne وحساب Cato الخاص بك. هذه هي تفسيرات الحالات:

  • متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح

  • بانتظار موافقة المستخدم - لم تُمنح أذونات للسماح لـ Cato بالوصول إلى تطبيق SentinelOne. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت الحالة إلى متصل، فالمشكلة قد تم حلها، إذا لم تتغير الحالة، احذف وأعد إنشاء الموصل.

  • خطأ - هناك مشكلة في الاتصال أو الأذونات أو الترخيص أو أي مشكلة أخرى مع الموصل. احذف وأعد إنشاء الموصل.

عرض صفحة عمل القصص

بمجرد قيامك بإنشاء الموصل، ستظهر القصص في منصة القصص.

لعرض صفحة منصة القصص:

  • من القائمة التنقلية، انقر على الرئيسية > منصة عمل القصص.

لمزيد من المعلومات حول الأعمدة في منصة عمل القصص، راجع فهم أعمدة القصص

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، راجع تحليل دقيق لقصص أمان XOps

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات