SentinelOne EDR: Configuración de la Integración de XOps

Este artículo discute la integración de datos de SentinelOne EDR para generar historias que puede revisar en el Banco de Trabajo de Historias de Cato.

Resumen

Usando un conector API, puedes integrar datos de incidentes de SentinelOne EDR para generar historias para dispositivos de punto final. Las historias de punto final te ayudan a obtener una imagen más completa de las amenazas potenciales en tu red.

Una historia se crea en la CMA correlacionando datos de incidentes de SentinelOne EDR basados en el UUID del Agente (ID del Dispositivo) y el Hash del archivo de amenaza dentro de 90 días. Estas historias incluyen toda la evidencia relevante para los incidentes detectados por SentinelOne. El Banco de Trabajo de Historias muestra las historias de punto final junto con otros tipos de historia, y puedes ordenar y filtrar las historias para enfocarte en los incidentes de Punto Final.

Las historias de SentinelOne se crean en casi tiempo real después de que la alerta original se genera. 

Para integrar datos de incidentes de SentinelOne EDR con Cato XOps, necesitas configurar los conectores API para SentinelOne EDR. Después de crear el conector, el motor de Incidentes de Punto Final recupera y analiza los datos de Incidentes de SentinelOne EDR.

Para más información sobre la revisión de historias XOps, incluidos datos de SentinelOne, consulte Drilling-Down and Analyzing XOps Security Stories

Requisitos previos

  • Debes tener una licencia Enterprise de SentinelOne, incluyendo el Singularity Data Lake
  • Para ver las historias Cato XOps para incidentes EDR de SentinelOne, se requiere una licencia XOps o MDR. Se generan eventos sin una licencia
  • Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección Recursos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.

Configuración del Conector de SentinelOne EDR

Para crear el conector entre Cato y su inquilino de SentinelOne, necesita:

  1. Crear el token API en la consola de SentinelOne
  2. Crear el conector API en la CMA

Debes tener las credenciales correctas para autenticarte en SentinelOne.

Paso 1: Crear el Token API en la Consola de SentinelOne

En la consola de SentinelOne, crea el token API para ingresar en la CMA.

Para crear el token API:

  1. En tu arrendatario de consola de SentinelOne, en el menú lateral, navega a Configuración > Elegir Usuarios.

  2. En la pestaña Usuarios de Servicio, haz clic en Acciones > Crear Nuevo Usuario de Servicio.

    New_Service_User.png

  3. Agrega un Nombre y una Fecha de Expiración para el Usuario de Servicio. Recomendamos establecer la fecha de expiración al menos a un año.

    Nota: El Token debe ser renovado una vez que ha expirado.

  4. Haz clic en Siguiente.

  5. Elige el nivel de Cuenta y marca la casilla de la cuenta relevante.

    Scope.png
  6. Haz clic en Crear Usuario. Se te puede requerir ingresar tu código MFA.
  7. Copia y guarda el token API para que pueda ser añadido a la CMA.

Paso 2: Crear el Conector API en la CMA

Después de tener un Token API, añade los detalles en la CMA.

S1.png

Para configurar el Conector de SentinelOne EDR en la CMA:

  1. Desde el menú de navegación, selecciona Recursos > Integraciones.
  2. En la pestaña Aplicaciones Integradas, haz clic en Nuevo. El panel de Nueva Integración se abre.
  3. Desde el menú desplegable de Aplicación SaaS, selecciona SentinelOne.

  4. Introduce un Nombre, Descripción (opcional), URL del Arrendatario (el dominio de tu arrendatario) y Token API.

    Nota: Incluye https:// en el URL del arrendatario. Por ejemplo, https://<YOUR_TENANT>.sentinelone.net

  5. (Opcional) Elige rastrear errores en la integración creando un evento.
  6. Haz clic en Guardar.

Entendiendo el Estado del Conector

La columna Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la app de SentinelOne y tu cuenta de Cato. Estas son las explicaciones de los estados:

  • Conectado - Tu cuenta está conectada a la aplicación y funcionando correctamente
  • Consenso de usuario pendiente - No se han otorgado permisos para permitir que Cato acceda a la aplicación SentinelOne. Para resolver este problema, refresca el navegador. Si el Estado cambia a Conectado, el problema está resuelto; si el Estado no cambia, elimina y recrea el conector.
  • Error - Hay un problema de conectividad, permisos, licencia u otro con el conector. Elimina y recrea el conector.

Visualizando la Página del Banco de Trabajo de Historias

Una vez que has creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.

Para ver la página del Banco de Trabajo de Historias:

  • Desde el menú de navegación, haz clic en Inicio > Banco de Trabajo de Historias.

Para obtener información sobre las columnas en el Banco de Trabajo de Historias, vea Entendiendo las Columnas de Historias

Para más información sobre la revisión de historias XOps, incluidos datos de Microsoft Defender, consulte Drilling-Down and Analyzing XOps Security Stories

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios