यह लेख SentinelOne EDR से डेटा को समेकित करने पर चर्चा करता है जिससे आप Cato कहानियां वर्कबेंच में समीक्षा कर सकते हैं।
एक API कनेक्टर का उपयोग करते हुए, आप SentinelOne EDR से घटना डेटा को एकीकृत कर सकते हैं ताकि एंडपॉइंट उपकरणों के लिए कहानियाँ उत्पन्न की जा सकें। एंडपॉइंट कहानियाँ आपको आपके नेटवर्क में संभावित खतरों की एक अधिक संपूर्ण तस्वीर देती हैं।
CMA में एक कहानी SentinelOne EDR घटनाओं से डेटा को एजेंट UUID (उपकरण ID) और 90 दिन के भीतर खतरे की फाइल हैश के आधार पर सामंजस्य बनाकर बनाई जाती है। इन कहानियों में SentinelOne द्वारा पता लगाई गई घटनाओं के सभी संबंधित प्रमाण शामिल होते हैं। XDR स्टोरीज़ वर्कबेंच दूसरों के साथ-साथ एंडपॉइंट कहानियों को भी दिखाती है, और आप एंडपॉइंट घटनाओं पर ध्यान केंद्रित करने के लिए कहानियों को क्रमबद्ध और फ़िल्टर कर सकते हैं।
SentinelOne कहानियाँ मूल अलर्ट उत्पन्न होने के बाद लगभग वास्तविक समय में बनायी जाती हैं।
SentinelOne EDR घटना डेटा को Cato XOps के साथ एकीकृत करने के लिए, आपको SentinelOne EDR के लिए API कनेक्टर्स सेट करने की आवश्यकता है। कनेक्टर बनाने के बाद, एंडपॉइंट इंसीडेंट इंजन SentinelOne EDR से घटना डेटा को पुनः प्राप्त और विश्लेषण करता है।
XOps कहानियों की समीक्षा करने के लिए अधिक जानकारी, SentinelOne से डेटा सहित, के लिए XOps सुरक्षा कहानियों की गहराई से जांच और विश्लेषण देखें
- आपके पास Singularity Data Lake सहित SentinelOne एंटरप्राइज लाइसेंस होना चाहिए
- SentinelOne EDR घटनाओं के लिए Cato XOps कहानियों को देखने के लिए, एक XOps या MDR लाइसेंस आवश्यक है। घटनाएँ बिना लाइसेंस के उत्पन्न होती हैं
- कनेक्टर जोड़ने के लिए, आपको संसाधन अनुभाग में एकीकरण के लिए संपादक अनुमति होनी चाहिए। अधिक जानकारी के लिए, देखें प्रमाणीकरण विधि का उपयोग करते हुए एडमिन भूमिकाएँ प्रबंधन।
Cato और आपके SentinelOne टेनेंट के बीच कनेक्टर बनाने के लिए, आपको आवश्यकता है:
- SentinelOne कंसोल में API टोकन बनाएँ
- CMA में API कनेक्टर बनाएँ
SentinelOne से प्रमाणित होने के लिए आपके पास सही प्रमाण-पत्र होने चाहिए।
SentinelOne कंसोल में, CMA में दर्ज करने के लिए API टोकन बनाएँ।
API टोकन बनाने के लिए:
- अपने SentinelOne कंसोल टेनेंट में, साइड मेनू में Settings > Choose Users पर नेविगेट करें।
-
Service Users टैब पर, Actions > Create New Service User पर क्लिक करें।
-
Service User के लिए नाम और समाप्ति तिथि जोड़ें। हम अनुशंसा करते हैं कि समाप्ति तिथि कम से कम एक वर्ष हो।
नोट: टोकन की समाप्ति के बाद इसे नवीनीकृत करना होगा।
- Next पर क्लिक करें।
-
खाता स्तर चुनें और संबंधित खाते के बॉक्स को चेक करें।
- Create User पर क्लिक करें। आपसे अपना MFA कोड दर्ज करने की आवश्यकता हो सकती है।
- API टोकन को कॉपी और सहेजें ताकि इसे CMA में जोड़ा जा सके।
एक बार आपके पास API टोकन होने के बाद, विवरण CMA में जोड़ें।
CMA में SentinelOne EDR कनेक्टर को कॉन्फ़िगर करने के लिए:
- नेविगेशन मेनू से, Resources > एकीकरण चुनें।
- एकीकृत ऐप्स टैब पर, नया पर क्लिक करें। नया एकीकरण पैनल खुलता है।
- SaaS एप्लिकेशन ड्रॉप-डाउन मेनू से, SentinelOne चुनें।
-
एक नाम, विवरण (वैकल्पिक), टेनेंट URL (आपके टेनेंट का डोमेन), और API टोकन दर्ज करें।
नोट: टेनेंट URL में https:// शामिल करें। उदाहरण के लिए, https://<YOUR_TENANT>.sentinelone.net
- (वैकल्पिक) एक घटना बनाकर एकीकरण में त्रुटियों को ट्रैक करने का विकल्प चुनें।
- सहेजें पर क्लिक करें।
कनेक्टर सेटिंग्स पृष्ठ पर स्थिति स्तंभ SentinelOne ऐप और आपके Cato खाते के बीच कनेक्शन की स्थिति दिखाता है। ये स्थितियों के स्पष्टीकरण हैं:
- जुड़ा हुआ - आपका खाता ऐप से जुड़ा हुआ है और सही तरीके से काम कर रहा है
- उपयोगकर्ता सहमति लंबित - Cato को SentinelOne ऐप तक पहुँच की अनुमति नहीं दी गई है। इस समस्या को हल करने के लिए, ब्राउज़र को ताज़ा करें। अगर स्थिति जुड़ा हुआ में बदल जाती है, तो समस्या हल हो गई है, अगर स्थिति नहीं बदलती है, तो कनेक्टर को हटा दें और पुनः बनाएँ।
- त्रुटि - कनेक्टर के साथ कनेक्टिविटी, अनुमतियाँ, लाइसेंस या अन्य समस्या है। कनेक्टर को हटा दें और पुनः बनाएँ।
एक बार आपने कनेक्टर बना लिया है, कहानियाँ XDR स्टोरीज़ वर्कबेंच में दिखाई देंगे।
XDR स्टोरीज़ वर्कबेंच पृष्ठ देखने के लिए:
- नेविगेशन मेनू से, होम > XDR स्टोरीज़ वर्कबेंच पर क्लिक करें।
Stories Workbench में कॉलम के बारे में जानकारी के लिए कहानी कॉलम को समझना देखें
XOps कहानियों की समीक्षा करने के लिए अधिक जानकारी, Microsoft Defender से डेटा सहित, के लिए XOps सुरक्षा कहानियों की गहराई से जांच और विश्लेषण देखें
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.