SentinelOne EDR: Configuración de la Integración XOps

Este artículo discute la integración de datos de SentinelOne EDR para generar historias que puedes revisar en el Cato Stories Workbench.

Nota

Nota: XOps es la capa unificada de analítica de Cato para seguridad y operaciones, ofreciendo información y remediación guiada. XOps ha reemplazado a XDR, para más información, consulte Preguntas Frecuentes de XOps.

Descripción general

Usando un conector API, puedes integrar datos de incidentes de SentinelOne EDR para generar historias para dispositivos de punto final. Las historias de punto final te ayudan a obtener una imagen más completa de las amenazas potenciales en tu red.

Se crea una historia en el CMA correlacionando datos de incidentes de SentinelOne EDR basados en el UUID del Agente (ID del Dispositivo) y el Hash del archivo de amenaza dentro de un plazo de 90 días. Estas historias incluyen toda la evidencia relevante para los incidentes detectados por SentinelOne. El Stories Workbench muestra las historias de punto final junto con otros tipos de historias, y puedes ordenar y filtrar las historias para centrarte en los incidentes de Punto Final.

Para integrar los datos de incidentes de SentinelOne EDR con Cato XOps, necesita configurar los conectores API de SentinelOne EDR. Después de crear el conector, el motor de Incidentes de Punto Final recupera y analiza los datos de Incidentes de SentinelOne EDR.

Para más información sobre la revisión de historias XOps, incluidos los datos de SentinelOne, consulte Profundizar y Analizar Historias de Seguridad de XOps

Requisitos previos

  • Debe tener una licencia Enterprise de SentinelOne, incluido el Lago de datos.

  • Para ver las historias de Cato XOps para incidentes de SentinelOne EDR, se requiere una licencia de XOps, XDR Pro o MDR. Los eventos se generan sin una licencia.

Configuración del Conector SentinelOne EDR

Para crear el conector entre Cato y su inquilino de SentinelOne necesita:

  1. Crear el token de API en la consola de SentinelOne

  2. Crear el conector de API en el CMA

Debe tener las credenciales correctas para autenticarse en SentinelOne.

Paso 1: Crear el Token de API en la Consola de SentinelOne

En la consola de SentinelOne, cree el token de API para ingresar en el CMA.

Para crear el token de API:

  1. En su inquilino de la consola SentinelOne, en el menú lateral, navegue a Configuración > Elegir Usuarios.

  2. En la pestaña Usuarios del Servicio, haga clic en Acciones > Crear Nuevo Usuario de Servicio.

    New_Service_User.png

  3. Agregue un Nombre y una Fecha de vencimiento para el Usuario de Servicio. Recomendamos establecer la fecha de vencimiento en al menos un año.

    Nota: El Token debe renovarse una vez que haya expirado.

  4. Haga clic en Siguiente.

  5. Elija el nivel de Cuenta y marque la casilla de la cuenta relevante.

    Scope.png

  6. Haga clic en Crear Usuario. Es posible que deba ingresar su código MFA.

  7. Copie y guarde el token API para que se pueda añadir al CMA.

Paso 2: Crear el Conector API en el CMA

Después de obtener un Token de API, añada los detalles en el CMA.

S1.png

Para configurar el Conector de SentinelOne EDR en el CMA:

  1. Desde el menú de navegación, seleccione Recursos > Integraciones.

  2. En la pestaña Aplicaciones Integradas, haga clic en Nuevo. Se abre el panel Nueva Integración.

  3. Desde el menú desplegable de Aplicación SaaS, seleccione SentinelOne.

  4. Ingrese un Nombre, Descripción (opcional), URL del Inquilino (el dominio de su inquilino) y Token de API.

    Nota: Incluya https:// en la URL del inquilino. Por ejemplo, https://<SU_INQUILINO>.sentinelone.net

  5. (Opcional) Elija rastrear errores en la integración creando un evento.

  6. Haga clic en Guardar.

Comprender el Estado del Conector

La columna Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación de SentinelOne y su cuenta de Cato. Estas son las explicaciones de los estados:

  • Conectado - Su cuenta está conectada a la aplicación y funciona correctamente

  • Consentimiento de usuario pendiente - No se han concedido permisos para permitir que Cato acceda a la aplicación de SentinelOne. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema se resuelve, si el Estado no cambia, elimine y recree el conector.

  • Error - Hay un problema de conectividad, permisos, licencia u otro con el conector. Elimine y recree el conector.

Visualizar la Página del Banco de Trabajo de Historias

Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.

Para ver la página del Banco de Trabajo de Historias:

  • Desde el menú de navegación, haga clic en Inicio > Banco de Trabajo de Historias.

Para información sobre las columnas en el Banco de Trabajo de Historias, consulte Comprender las Columnas de Historias

Para más información sobre la revisión de historias XOps, incluidos los datos de Microsoft Defender, consulte Profundizar y Analizar Historias de Seguridad de XOps

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios