Revoir les Histoires XDR pour SentinelOne EDR (EA)

Cet article traite de l'intégration des données de CrowdStrike EDR pour générer des histoires que vous pouvez examiner dans l'atelier Cato Stories.

Remarque

Remarque : Il s'agit d'une fonctionnalité de disponibilité anticipée (EA) disponible uniquement pour un déploiement limité. Pour plus d'informations, contactez votre représentant Cato Networks ou envoyez un e-mail à ea@catonetworks.com.

Présentation

En utilisant un connecteur API, vous pouvez intégrer les données d'incident de SentinelOne EDR pour générer des histoires pour les dispositifs de point de terminaison. Les histoires des points de terminaison vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau.

Une histoire est créée dans le CMA en corrélant les données des incidents SentinelOne EDR à partir de l'UUID de l'agent (ID de l'appareil) et du hachage du fichier de menace dans un délai de 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne. L'atelier des histoires montre les histoires du point de terminaison avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les incidents Endpoint.

Pour intégrer les données d'incident de SentinelOne EDR avec Cato XDR, vous devez configurer les connecteurs API pour SentinelOne EDR. Après avoir créé le connecteur, le moteur d'incident Endpoint récupère et analyse les données d'incident de SentinelOne EDR.

Configurer le Connecteur SentinelOne EDR

Pour créer le connecteur entre Cato et votre locataire SentinelOne, vous devez :

  1. Créer le jeton API dans la console SentinelOne

  2. Créer le connecteur API dans le CMA

Vous devez disposer des informations d'identification correctes pour authentifier SentinelOne.

Étape 1 : Créer le jeton API dans la console SentinelOne

Dans la console SentinelOne, créez le jeton API à entrer dans le CMA.

Pour créer le jeton API :

  1. Dans votre locataire de console SentinelOne, cliquez sur l'utilisateur en haut à droite et sélectionnez Mon Utilisateur.

  2. Allez dans Actions > API Token Operation > Générer un code d'enregistrement.

    S1.png

  3. Cliquez sur Générer et Copier et enregistrez le jeton afin de pouvoir l'ajouter dans le CMA.

  4. Prolongez la date d'expiration, assurez-vous qu'elle est réglée sur la durée maximale.

Étape 2 : Créer le connecteur API dans le CMA

Après avoir obtenu le jeton API, ajoutez les détails dans le CMA.

S1.png

Pour configurer le Connecteur SentinelOne EDR dans le CMA :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations.

  2. Dans l'onglet Applications Intégrées, cliquez sur Nouvelle. Le panneau Nouvelle Intégration s'ouvre.

  3. Dans le menu déroulant Application SaaS, sélectionnez SentinelOne.

  4. Entrez un Nom, une Description (facultatif), l'URL du locataire (le domaine de votre locataire), et le jeton API.

  5. (Facultatif) Choisissez de suivre les erreurs dans l'intégration en créant un événement.

  6. Cliquez sur Enregistrer.

Comprendre le statut du connecteur

La colonne Statut sur la page des paramètres des connecteurs montre le statut de la connexion entre l'application SentinelOne et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté à l'application et fonctionne correctement

  • Consentement de l'utilisateur en attente - Les autorisations n'ont pas été accordées pour permettre à Cato d'accéder à l'application SentinelOne. Pour résoudre ce problème, rafraîchissez le navigateur. Si le Statut passe à Connecté, le problème est résolu, si le Statut ne change pas, supprimez et recréez le connecteur.

  • Erreur - Il y a un problème de connectivité, d'autorisations, de licence ou autre avec le connecteur. Supprimez et recréez le connecteur.

Affichage de l'atelier des histoires

Detection_Response_Workbench_Endpoint.png

La page de l'atelier des histoires montre un résumé des histoires pour les menaces potentielles dans votre compte.

Pour afficher la page de l'atelier des histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Atelier des histoires.

Pour des informations sur les colonnes de l'atelier des histoires, voir Comprendre les colonnes des histoires

Afficher les histoires d'incidents de point de terminaison

Vous pouvez regrouper et filtrer les histoires selon le type d'histoire Incident de point de terminaison pour trouver rapidement des histoires créées à partir de votre connecteur SentinelOne. Pour plus d'informations sur le regroupement et le filtrage des histoires, voir Examen des Histoires de Détection et Réponse (XDR Sécurité) dans l'Atelier des Histoires.

Analyse en profondeur et analyse des histoires d'incidents de point de terminaison

Vous pouvez cliquer sur une histoire dans l'atelier des histoires pour examiner en profondeur et enquêter sur les détails sur une page différente. Cette page contient un certain nombre de widgets qui vous aident à évaluer la menace potentielle identifiée dans l'histoire.

Lorsque vous examinez en profondeur une histoire d'incident de point de terminaison, vous pouvez examiner tous les incidents SentinelOne sur lesquels l'histoire est basée et examiner en détail les preuves qui se rapportent à chaque incident. Les preuves incluent les processus, les fichiers, les valeurs de registre, les tâches planifiées et les preuves réseau, et peuvent être examinées de deux manières différentes :

  • Le tableau des Preuves - Fournit un aperçu des preuves de toutes les histoires d'incidents de point de terminaison. Cela aide à évaluer plus largement la prévalence des activités malveillantes ou suspectes spécifiques sur l'appareil de point de terminaison

  • Un arbre de processus chronologique présenté dans le contexte d'une alerte spécifique - Cela vous aide à comprendre la séquence d'événements qui semblaient suspects et ont généré l'alerte

Comprendre les widgets d'approfondissement des histoires d'incidents de point de terminaison

S__Story.png

Ce sont les widgets d'approfondissement des histoires :

Nom

Description

Résumé de l'histoire (première ligne)

La Présentation montre un résumé des informations de base sur l'histoire, y compris :

  • Indication de l'attaque détectée

  • Le moteur de Détection et Réponse qui a créé l'histoire

  • Gravité de la menace telle que déterminée par l'analyste

  • Verdict pour la menace tel que déterminé par l'analyste

  • Type d'attaque (par exemple, Extension de Navigateur, Application Native, Scanner, Application Web)

  • Classification détaillée de la menace telle que déterminée par l'analyste (par exemple, Scan de Port, Domaine Nouvellement Enregistré, Scan SMB)

  • Nombre de dispositifs compromis

  • Nombre de signaux (flux de trafic) associés à l'attaque

  • Durée de l'histoire depuis qu'elle a été créée

  • Statut de l'histoire

Utilisez le menu déroulant Actions et sélectionnez Gérer l'histoire pour modifier les paramètres de l'histoire tels que Verdict de l'analyste, Gravité de l'analyste, Statut et Classification.

L'onglet Histoires Liées fournit le contexte pour l'histoire que vous enquêtez en vous permettant de passer en revue rapidement des histoires avec la même source et des histoires aux caractéristiques similaires impliquant différentes sources sur votre réseau.

Chronologie de l'histoire (deuxième ligne)

Affiche une chronologie de l'histoire, telles que les modifications apportées au verdict et à la gravité de l'histoire, et quand de nouvelles alertes sont ajoutées à l'histoire.

Détails

Informations de base pour analyser l'histoire, y compris :

  • Criticité - Score de risque global pour l'histoire tel que calculé par l'algorithme d'analyse de risque de machine learning de Cato (les valeurs vont de 1 (moins critique) à 10 (plus critique))

  • Créé à - Heure du premier flux de trafic pour l'histoire

  • Mise à jour à - Heure de la dernière mise à jour de l'histoire, comme une nouvelle alerte ou un verdict modifié

Appareil

Nom et système d'exploitation pour l'appareil de point de terminaison associé à l'histoire.

Utilisateur

Affiche le nom d'utilisateur et le nom de domaine pour l'utilisateur connecté à l'appareil de point de terminaison. L'adresse e-mail de l'utilisateur est renseignée au mieux et peut parfois être vide.

Incidents

Affiche les détails des incidents liés à l'histoire.

  • Développez une alerte pour montrer un arbre de processus chronologique pour les preuves liées à l'alerte, y compris les processus, fichiers, et valeurs de registre

  • Cliquez sur un élément dans l'arbre de processus pour approfondir et montrer des données granulaires sur la preuve

Voici les colonnes dans le tableau Incident :

  • Un Nom d'Incident qui décrit l'activité suspecte

  • Criticité - Score de risque global pour l'alerte tel que calculé par l'algorithme d'analyse de risque de machine learning de Cato (valeurs de 1 à 10)

  • IP Source

  • Techniques MITRE - Techniques MITRE ATT&CK® identifiées pour la menace

    Pour plus d'informations sur le cadre MITRE ATT&CK®, voir Utilisation du tableau de bord MITRE ATT&CK®.

  • Statut - Montre si l'alerte est Nouvelle ou a déjà été Résolue

  • Date de la première activité - Date de la première activité suspecte détectée pour l'alerte

  • Date de la dernière activité - Date de la plus récente activité suspecte détectée pour l'alerte

  • Nom de la menace - Nom du logiciel malveillant détecté. Par exemple : Trojan:Win32/Startpage

  • Type de détection

  • Indicateurs

Preuves

Détails agrégés pour toutes les valeurs processus, fichiers, et registre, réseau, et tâches planifiées identifiées dans les preuves pour les différentes alertes d'histoire.

Certaines des colonnes du tableau Preuves sont partagées par tous les types de preuves, et certaines sont spécifiques par type.

Voici les colonnes qui apparaissent pour tous les types de preuves :

  • Verdict - Verdict généré par Défenseur pour la preuve (Malveillant, Suspect, ou Aucune menace trouvée)

  • Statut de la remédiation - Indique si la menace a été corrigée

  • Créé - Date et heure où l'événement a été enregistré

Voici les colonnes spécifiques pour chaque type de preuve :

  • Processus :

    • Nom du processus - Nom du fichier exécutable pour le processus

    • ID du processus - Numéro d'ID attribué par Windows pour le processus

    • Ligne de commande du processus - Arguments qui ont été passés au processus dans Windows. Cela peut révéler un contexte important sur l'exécution d'un processus suspect

    • Chemin du fichier - Emplacement sur le dispositif de point de terminaison du fichier exécutable pour le processus

  • Fichiers :

    • Chemin du fichier - Emplacement du fichier sur le dispositif de point de terminaison

    • Nom du fichier - Nom du fichier incluant l'extension

    • Taille du fichier - Taille du fichier en octets, kilooctets ou mégaoctets

  • Registre :

    • Nom de la clé de registre Name

    • Type de valeur de registre - Format des données stockées dans la valeur de registre

    • Valeur de registre - La valeur de l'entrée de registre

  • Réseau :

    • IP de destination - Adresse IP avec laquelle une communication a eu lieu

    • Port de destination - Numéro de port ciblé

    • Requête DNS - Nom de domaine qui a été interrogé

  • Tâches planifiées :

    • Nom de la tâche : Nom attribué à la tâche planifiée

    • Chemin de la tâche : Chemin vers le fichier ou script réel exécuté par la tâche planifiée

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire