यह लेख Cato कहानियों वर्कबेंच में समीक्षा के लिए कहानियां उत्पन्न करने के लिए SentinelOne EDR से डेटा एकीकृत करने पर चर्चा करता है।
नोट
नोट: XOps Cato की सुरक्षित और संचालन के लिए एकीकृत एनालिटिक्स लेयर है, जो अंतर्दृष्टि और निर्देशित समाधान प्रदान करता है। XOps ने XDR को प्रतिस्थापित कर दिया है, अधिक जानकारी के लिए देखें XOps FAQ.
API कनेक्टर का उपयोग करके, आप एंडपॉइंट उपकरणों के लिए कहानियां उत्पन्न करने के लिए SentinelOne EDR से घटना डेटा एकीकृत कर सकते हैं। एंडपॉइंट कहानियाँ आपके नेटवर्क में संभावित खतरों की अधिक पूर्ण तस्वीर प्राप्त करने में मदद करती हैं।
एक कहानी CMA में बनाई जाती है जो SentinelOne ईडीआर घटनाओं से डेटा को 90 दिनों के भीतर Agent UUID (डिवाइस आईडी) और खतरे फ़ाइल हैश को समन्वयित करके बनाती है। इन कहानियों में SentinelOne द्वारा पहचानी गई घटनाओं के सभी प्रासंगिक साक्ष्य शामिल होते हैं। कहानियों वर्कबेंच अन्य कहानी प्रकारों के साथ एंडपॉइंट कहानियां दिखाता है, और आप कहानियों को सॉर्ट और फिल्टर कर सकते हैं ताकि एंडपॉइंट घटनाओं पर ध्यान केंद्रित कर सकें।
SentinelOne ईडीआर घटना डेटा को Cato XOps के साथ एकीकृत करने के लिए, आपको SentinelOne ईडीआर के लिए एपीआई कनेक्टर्स सेट अप करने की आवश्यकता है। कनेक्टर बनाने के बाद, एंडपॉइंट घटना इंजन SentinelOne EDR से घटना डेटा को पुनः प्राप्त करता है और उसका विश्लेषण करता है।
SentinelOne से डेटा सहित XOps कहानियों की समीक्षा के लिए अधिक जानकारी, देखें Drilling-Down and Analyzing XOps Security Stories
Cato और आपके SentinelOne टेनेंट के बीच कनेक्टर बनाने के लिए आपको:
-
SentinelOne कंसोल में API टोकन बनाएं
-
CMA में API कनेक्टर बनाएं
SentinelOne में प्रामाणिकता के लिए सही साख होनी चाहिए।
SentinelOne कंसोल में, CMA में प्रवेश करने के लिए API टोकन बनाएं।
API टोकन बनाने के लिए:
-
अपने SentinelOne कंसोल टेनेंट में, साइड मेनू में, Settings > Choose Users पर जाएँ।
-
सेवा यूजर्स टैब पर, क्रियाएं > नया सेवा यूजर बनाएं पर क्लिक करें।
-
सेवा यूजर के लिए एक नाम और समाप्ति तिथि जोड़ें। हम कम से कम एक वर्ष की समाप्ति तिथि सेट करने की सिफारिश करते हैं।
नोट: टोकन की समाप्ति होने पर उसे नवीनीकृत करना चाहिए।
-
अगला पर क्लिक करें।
-
खाता स्तर चुनें और संबंधित खाते के बॉक्स पर जाँच करें।
-
यूजर बनाएं पर क्लिक करें। आपसे अपना MFA कोड दर्ज करने के लिए कहा जा सकता है।
-
एपीआई टोकन की कॉपी करें और सहेजें ताकि इसे CMA में जोड़ा जा सके।
एक बार जब आपके पास API टोकन आ जाए, तो CMA में विवरण जोड़ें।
CMA में SentinelOne EDR कनेक्टर को कॉन्फ़िगर करने के लिए:
-
नेविगेशन मेनू से, संसाधन > इंटीग्रेशन चुनें।
-
एकीकृत ऐप्स टैब पर, नया पर क्लिक करें। नई एकीकरण पैनल खुलता है।
-
SaaS एप्लिकेशन ड्रॉप-डाउन मेनू से, SentinelOne चुनें।
-
नाम, विवरण (वैकल्पिक), टेनेंट यूआरएल (आपके टेनेंट का डोमेन), और API टोकन दर्ज करें।
नोट: टेनेंट यूआरएल में https:// शामिल करें। उदाहरण के लिए, https://<YOUR_TENANT>.sentinelone.net
-
(वैकल्पिक) एक घटना बनाकर इंटीग्रेशन में त्रुटियों को ट्रैक करने के लिए चुनें।
-
सहेजें पर क्लिक करें।
कनेक्टर्स सेटिंग पेज पर स्थिति कॉलम SentinelOne ऐप और आपके Cato खाते के बीच कनेक्शन की स्थिति दिखाता है। इन्हीं स्थितियों की व्याख्या यह है:
-
कनेक्टेड - आपका खाता ऐप से कनेक्टेड है और सही ढंग से काम कर रहा है
-
यूजर सहमति लंबित - Cato को SentinelOne ऐप तक पहुंचाने की अनुमति नहीं दी गई है। इस समस्या को हल करने के लिए, ब्राउज़र को ताज़ा करें। यदि स्थिति कनेक्टेड में बदल जाती है, तो समस्या हल हो गई है, यदि स्थिति नहीं बदलती है, तो कनेक्टर को हटाएं और पुनः बनाएं।
-
त्रुटि - कनेक्टर में एक कनेक्टिविटी, अनुमतियाँ, लाइसेंस, या अन्य समस्या है। कनेक्टर को हटाएं और पुनः बनाएं।
एक बार जब आपने कनेक्टर बना लिया है, तो कहानियाँ वर्कबेंच में दिखाई देंगी।
कहानियों वर्कबेंच में कॉलम के बारे में जानकारी के लिए देखें Understanding the Stories Columns
Microsoft Defender से डेटा सहित XOps कहानियों की समीक्षा के लिए अधिक जानकारी, देखें Drilling-Down and Analyzing XOps Security Stories
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.