SentinelOne EDR : Configuration de l'intégration XOps

Cet article traite de l'intégration des données de SentinelOne EDR pour générer des histoires que vous pouvez consulter dans le Cato Stories Workbench.

Remarque

Remarque : XOps est la couche d'analyse unifiée de Cato pour la sécurité et les opérations, offrant des insights et des remédiations guidées. XOps a remplacé XDR, pour plus d'informations, voir XOps FAQ.

Vue d'ensemble

En utilisant un connecteur API, vous pouvez intégrer les données d'incidents de SentinelOne EDR pour générer des histoires pour les appareils terminaux. Les histoires de terminaux vous aident à obtenir une vue plus complète des menaces potentielles dans votre réseau.

Une histoire est créée dans le CMA en corrélant les données des incidents de SentinelOne EDR en fonction de l'UUID de l'agent (ID du dispositif) et du Hash du fichier de menace dans un délai de 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne. Le Stories Workbench montre les histoires de terminaux ainsi que d'autres types d'histoires, vous pouvez trier et filtrer les histoires pour vous concentrer sur les incidents de terminaux.

Pour intégrer les données d'incidents de SentinelOne EDR avec Cato XOps, vous devez configurer les connecteurs API pour SentinelOne EDR. Après avoir créé le connecteur, le moteur d'incidents de terminaux récupère et analyse les données d'incidents de SentinelOne EDR.

Pour plus d'informations sur l'examen des histoires XOps, y compris des données de SentinelOne, voir Exploration et Analyse des Histoires de Sécurité XOps

Pré-requis

  • Vous devez avoir une licence SentinelOne Enterprise, y compris le Lac de données Singularity

  • Pour voir les histoires de Cato XOps pour les incidents SentinelOne EDR, une licence XOps, XDR Pro, ou MDR est requise. Les événements sont générés sans licence

Configurer le connecteur SentinelOne EDR

Pour créer le connecteur entre Cato et votre locataire SentinelOne, vous devez :

  1. Créer le token API dans la console SentinelOne

  2. Créer le connecteur API dans le CMA

Vous devez disposer des bonnes informations d'identification pour vous authentifier auprès de SentinelOne.

Étape 1 : Créer le jeton API dans la console SentinelOne

Dans la console SentinelOne, créez le token API pour l'intégrer dans le CMA.

Pour créer le token API :

  1. Dans le tenant de votre console SentinelOne, dans le menu latéral, naviguez vers Paramètres > Choisir les utilisateurs.

  2. Dans l'onglet Utilisateurs de service, cliquez sur Actions > Créer un nouvel utilisateur de service.

    New_Service_User.png

  3. Ajoutez un Nom et une Date d'expiration pour l'utilisateur de service. Nous recommandons de définir la date d'expiration à au moins un an.

    Remarque : Le token doit être renouvelé une fois expiré.

  4. Cliquez sur Suivant.

  5. Choisissez le niveau de Compte et cochez la case du compte concerné.

    Scope.png

  6. Cliquez sur Créer un utilisateur. Vous devrez peut-être saisir votre code MFA.

  7. Copiez et enregistrez le jeton API afin qu'il puisse être ajouté au CMA.

Étape 2 : Créer le connecteur API dans le CMA

Après avoir obtenu un jeton API, ajoutez les détails dans le CMA.

S1.png

Pour configurer le connecteur SentinelOne EDR dans le CMA :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations.

  2. Dans l'onglet Applications intégrées, cliquez sur Nouveau. Le panneau Nouvelle intégration s'ouvre.

  3. Dans le menu déroulant Application SaaS, sélectionnez SentinelOne.

  4. Saisissez un Nom, une Description (facultatif), une URL du locataire (le domaine de votre locataire) et un Token API.

    Remarque : Incluez https:// dans l'URL du locataire. Par exemple, https://<VOTRE_LOCATAIRE>.sentinelone.net

  5. (Optionnel) Choisissez de suivre les erreurs de l'intégration en créant un événement.

  6. Cliquez sur Sauvegarder.

Comprendre l'état du connecteur

La colonne Statut sur la page des paramètres des connecteurs montre l'état de la connexion entre l'application SentinelOne et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté à l'application et fonctionne correctement

  • Consentement de l'utilisateur en attente - Les autorisations n'ont pas été accordées pour permettre à Cato d'accéder à l'application SentinelOne. Pour résoudre ce problème, actualisez le navigateur. Si le Statut change en Connecté, le problème est résolu, sinon, supprimez et recréez le connecteur.

  • Erreur - Il y a un probleme de connectivité, de permissions, de licence ou autre avec le connecteur. Supprimez et recréez le connecteur.

Visualisation de la page du banc de travail des histoires

Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.

Pour voir la page de l'Atelier des Histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Stories Workbench.

Pour des informations sur les colonnes dans le banc de travail des histoires, voir Comprendre les Colonnes des Histoires

Pour plus d'informations sur l'examen des histoires XOps, y compris des données de Microsoft Defender, voir Exploration et Analyse des Histoires de Sécurité XOps

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire