SentinelOne EDR : Configuration de l'intégration XOps

Cet article explique l'intégration des données de SentinelOne EDR pour générer des histoires que vous pouvez examiner dans l'Atelier des Histoires de Cato.

Vue d'ensemble

En utilisant un connecteur API, vous pouvez intégrer les données des incidents de SentinelOne EDR pour générer des histoires pour les appareils. Les histoires des points de terminaison vous aident à obtenir une image plus complète des menaces potentielles sur votre réseau.

Une histoire est créée dans le CMA en corrélant des données à partir des incidents de SentinelOne EDR basées sur l'UUID de l'Agent (ID de l'Appareil) et le Hash du fichier de menace dans les 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne. L'Atelier des Histoires affiche les histoires des points de terminaison avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les incidents des points de terminaison.

Les histoires de SentinelOne sont créées presque en temps réel après que l'alerte originale est générée. 

Pour intégrer les données des incidents de SentinelOne EDR avec Cato XOps, vous devez configurer les connecteurs API pour SentinelOne EDR. Après avoir créé le connecteur, le moteur d'incidents des points de terminaison récupère et analyse les données des incidents de SentinelOne EDR.

Pour plus d'informations sur la révision des histoires XOps, y compris les données de SentinelOne, voir analyse approfondie et analyse des histoires de sécurité XOps

Prérequis

  • Vous devez avoir une licence Enterprise de SentinelOne, incluant le Singularity Data Lake
  • Pour voir les histoires Cato XOps pour les incidents SentinelOne EDR, une licence XOps ou MDR est requise. Les événements sont générés sans licence
  • Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la Ressources section). Pour plus d'informations, voir Managing Admin Roles Using RBAC.

Configuration du Connecteur SentinelOne EDR

Pour créer le connecteur entre Cato et votre locataire SentinelOne, vous devez :

  1. Créer le jeton API dans la console SentinelOne
  2. Créer le connecteur API dans le CMA

Vous devez avoir les bonnes informations d'identification pour s'authentifier à SentinelOne.

Étape 1 : Créer le jeton API dans la Console SentinelOne

Dans la console SentinelOne, créez le jeton API à entrer dans le CMA.

Pour créer le jeton API :

  1. Dans le locataire de votre console SentinelOne, dans le menu latéral, naviguez vers Paramètres > Choisir Utilisateurs.

  2. Dans l'onglet Service Utilisateurs, cliquez sur Actions > Créer un nouvel utilisateur de service.

    New_Service_User.png

  3. Ajoutez un Nom et une Date d'expiration pour l'utilisateur de service. Nous recommandons de définir la date d'expiration sur au moins un an.

    Note : Le jeton doit être renouvelé une fois expiré.

  4. Cliquez sur Suivant.

  5. Choisissez le niveau du Compte et cochez la case du compte pertinent.

    Scope.png
  6. Cliquez sur Créer un utilisateur. Il peut vous être demandé de saisir votre code MFA.
  7. Copiez et sauvegardez le jeton API afin qu'il puisse être ajouté au CMA.

Étape 2 : Créer le Connecteur API dans le CMA

Après avoir obtenu un jeton API, ajoutez les détails dans le CMA.

S1.png

Pour configurer le Connecteur SentinelOne EDR dans le CMA :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations.
  2. Dans l'onglet Applications Intégrées, cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
  3. Dans le menu déroulant Application SaaS, sélectionnez SentinelOne.

  4. Entrez un Nom, une Description (optionnel), une URL du Locataire (le domaine de votre locataire), et un Jeton API.

    Note : Incluez https:// dans l'URL du locataire. Par exemple, https://<VOTRE_LOCATAIRE>.sentinelone.net

  5. (Optionnel) Choisissez de suivre les erreurs dans l'intégration en créant un événement.
  6. Cliquez sur Sauvegarder.

Comprendre l'État du Connecteur

La colonne État sur la page des Paramètres des Connecteurs montre l'état de la connexion entre l'application SentinelOne et votre compte Cato. Voici les explications des états :

  • Connecté - Votre compte est connecté à l'application et fonctionne correctement
  • Consentement de l'utilisateur en attente - Les permissions n'ont pas été accordées pour permettre à Cato d'accéder à l'application SentinelOne. Pour résoudre ce problème, actualisez le navigateur. Si l'État passe à Connecté, le problème est résolu, sinon, supprimez et recréez le connecteur.
  • Erreur - Il y a un problème de connectivité, de permissions, de licence, ou autre avec le connecteur. Supprimez et recréez le connecteur.

Afficher la Page de l'Atelier des Histoires

Une fois le connecteur créé, les histoires seront visibles dans l'Atelier des Histoires.

Pour afficher la page de l'Atelier des Histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.

Pour plus d'informations sur les colonnes de l'Atelier des Histoires, consultez Comprendre les colonnes des histoires

Pour plus d'informations sur la révision des histoires XOps, y compris les données de Microsoft Defender, voir analyse approfondie et analyse des histoires de sécurité XOps

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire