سينتينال ون EDR: تكوين تكامل XOps

تتناول هذه المقالة تكامل البيانات من سينتينال ون EDR لإنشاء قصص يمكنك مراجعتها في منصة قصص كاتو.

نظرة عامة

باستخدام موصل API، يمكنك دمج بيانات الحوادث من سينتينال ون EDR لإنشاء قصص لأجهزة النهاية. تساعدك قصص النهاية في الحصول على صورة أكثر شمولاً للتهديدات المحتملة في شبكتك.

يتم إنشاء قصة في CMA عن طريق دمج البيانات من حوادث سينتينال ون EDR بناءً على معرف الوكيل (معرف الجهاز) وملف التهديد خلال 90 يومًا. تشمل هذه القصص جميع الأدلة ذات الصلة للحوادث التي تم اكتشافها بواسطة سينتينال ون. تُظهر منصة القصص قصص النهاية مع أنواع القصص الأخرى، ويمكنك ترتيب وتصفية القصص للتركيز على حوادث النهاية.

يتم إنشاء قصص SentinelOne في الوقت القريب الحقيقي بعد إنشاء التنبيه الأصلي. 

لدمج بيانات الحوادث من سينتينال ون EDR مع XOps، تحتاج لإعداد موصلات API لسينتينال ون EDR. بعد إنشاء الموصل، يقوم محرك حوادث النهاية باسترجاع وتحليل بيانات الحوادث من سينتينال ون EDR.

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من SentinelOne، انظر التعمق والتحليل في قصص XOps الأمنية

المتطلبات الأساسية

  • يجب أن يكون لديك ترخيص سينتينال ون Enterprise، بما في ذلك Singularity Data Lake
  • لعرض قصص Cato XOps لحوادث SentinelOne EDR، يلزم توفير ترخيص XOps أو MDR. يتم إنشاء الأحداث دون الحاجة إلى ترخيص
  • لإضافة موصل، يجب أن يكون لديك إذن المحرر لـالتكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.

تكوين موصل سينتينال ون EDR

لإنشاء الموصل بين Cato والمستأجر الخاص بك في SentinelOne، تحتاج إلى:

  1. إنشاء رمز API في وحدة التحكم في سينتينال ون
  2. إنشاء موصل API في CMA

يجب أن تكون لديك بيانات الاعتماد الصحيحة للمصادقة مع سينتينال ون.

الخطوة 1: إنشاء رمز API في وحدة التحكم في سينتينال ون

في وحدة التحكم في سينتينال ون، قم بإنشاء رمز API لإدخاله في CMA.

لإنشاء رمز API:

  1. في مستأجر وحدة التحكم في سينتينال ون، في القائمة الجانبية، انتقل إلى الإعدادات > اختيار المستخدمين.

  2. على علامة تبويب خدمة المستخدمين، انقر على الإجراءات > إنشاء مستخدم خدمة جديد.

    New_Service_User.png

  3. أضف اسم وتاريخ انتهاء الصلاحية لمستخدم الخدمة. نوصي بتحديد تاريخ انتهاء الصلاحية ليكون عامًا على الأقل.

    ملاحظة: يجب تجديد الرمز بمجرد انتهاء صلاحيته.

  4. انقر على التالي.

  5. اختر مستوى الحساب وحدد خانة الحساب المناسب.

    Scope.png
  6. انقر على إنشاء مستخدم. قد يُطلب منك إدخال رمز MFA الخاص بك.
  7. انسخ واحفظ رمز API حتى يمكن إضافته إلى CMA.

الخطوة 2: إنشاء موصل API في CMA

بعد الحصول على رمز API، أضف التفاصيل في CMA.

S1.png

لتكوين موصل سينتينال ون EDR في CMA:

  1. من قائمة التنقل، اختر الموارد > التكاملات.
  2. على علامة التبويب التطبيقات المتكاملة، انقر على جديد. لوحة التكامل الجديد تفتح.
  3. من قائمة تطبيقات SaaS المنسدلة، حدد سينتينال ون.

  4. أدخل اسم ووصف (اختياري) وعنوان URL الخاص بالمستأجر (نطاق المستأجر الخاص بك) ورمز API.

    ملاحظة: يشمل https:// في عنوان URL الخاص بالمستأجر. على سبيل المثال، https://<YOUR_TENANT>.sentinelone.net

  5. (اختياري) اختر تعقب الأخطاء في التكامل عبر إنشاء حدث.
  6. انقر على حفظ.

فهم حالة الموصل

يعرض العمود الحالة في صفحة إعدادات الموصلات حالة الاتصال بين تطبيق سينتينال ون وحساب كاتو الخاص بك. هذه هي تفسيرات الحالات:

  • متصل - حسابك متصل بالتطبيق ويعمل بشكل صحيح
  • في انتظار الموافقة - لم يتم منح الأذونات لتمكين كاتو من الوصول للتطبيق سينتينال ون. لحل هذه المشكلة، قم بتحديث المتصفح. إذا تغيرت الحالة إلى متصل، فإن المشكلة قد تم حلها، إذا لم تتغير الحالة، فاحذف وأعد إنشاء الموصل.
  • خطأ - يوجد مشكلة اتصال أو أذونات أو ترخيص أو مشاكل أخرى مع الموصل. احذف وأعد إنشاء الموصل.

عرض صفحة منصة القصص

بمجرد إنشاء الموصل، ستكون القصص مرئية في منصة القصص.

لعرض صفحة منصة القصص:

  • من قائمة التنقل، انقر الرئيسية > منصة القصص.

لمعرفة المزيد عن الأعمدة في Workbench القصص، انظر فهم أعمدة القصص

لمزيد من المعلومات حول مراجعة قصص XOps، بما في ذلك البيانات من Microsoft Defender، انظر التعمق والتحليل في قصص XOps الأمنية

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات