SentinelOne EDR: XOps 통합 구성

이 문서는 SentinelOne EDR에서 데이터를 통합하여 Cato Stories Workbench에서 검토할 수 있는 스토리를 생성하는 방법을 설명합니다.

개요

API 커넥터를 사용하여 SentinelOne EDR에서 사건 데이터를 통합하여 엔드포인트 장치용 스토리를 생성할 수 있습니다. 엔드포인트 스토리는 네트워크의 잠재적 위협에 대한 더 완전한 그림을 얻는 데 도움이 됩니다.

스토리는 에이전트 UUID(장치 ID) 및 90일 이내의 위협 파일 해시를 기반으로 SentinelOne EDR 사건 데이터를 상관하여 CMA에서 생성됩니다. 이러한 스토리에는 SentinelOne이 감지한 사건에 대한 모든 관련 증거가 포함되어 있습니다. Stories Workbench는 엔드포인트 스토리와 다른 스토리 유형을 함께 보여주며, 여러분은 엔드포인트 사건에 집중할 수 있도록 스토리를 정렬하고 필터링할 수 있습니다.

SentinelOne 스토리는 원래 알림이 생성된 후 거의 실시간으로 생성됩니다. 

SentinelOne EDR 사건 데이터를 Cato XOps와 통합하려면 SentinelOne EDR용 API 커넥터를 설정해야 합니다. 커넥터를 생성한 후, 엔드포인트 사건 엔진은 SentinelOne EDR에서 사건 데이터를 가져오고 분석합니다.

SentinelOne의 데이터 포함해 XOps 스토리를 검토하는 방법에 대한 더 많은 정보는 Drilling-Down 및 Analyzing XOps Security Stories를 참조하십시오.

사전 요구 사항

  • Singularity Data Lake를 포함한 SentinelOne 엔터프라이즈 라이센스가 필요합니다.
  • SentinelOne EDR 사건에 대한 Cato XOps 스토리를 보려면 XOps 또는 MDR 라이센스가 필요합니다. 라이센스 없이 이벤트가 생성됩니다.
  • 엔드포인트 커넥터를 추가하려면 자원 섹션의 통합에 대한 편집자 권한이 있어야 합니다. 자세한 내용은 RBAC을 사용한 관리자 역할 관리를 참조하십시오.

SentinelOne EDR 커넥터 구성

Cato와 SentinelOne 테넌트 간의 연결을 생성하려면 다음이 필요합니다:

  1. SentinelOne 콘솔에서 API 토큰을 생성합니다.
  2. CMA에서 API 커넥터를 생성합니다.

SentinelOne에 인증하려면 정확한 자격 증명이 필요합니다.

1단계: SentinelOne 콘솔에서 API 토큰 생성

SentinelOne 콘솔에서 CMA에 입력할 API 토큰을 생성합니다.

API 토큰을 생성하려면:

  1. SentinelOne 콘솔 테넌트에서 사이드 메뉴에서 설정 > 사용자 선택으로 이동합니다.

  2. 서비스 사용자 탭에서 작업 > 새 서비스 사용자 생성을 클릭합니다.

    New_Service_User.png

  3. 서비스 사용자의 이름만료 날짜를 추가합니다. 만료 날짜를 최소 1년으로 설정하는 것을 권장합니다.

    참고: 토큰은 만료되면 갱신해야 합니다.

  4. 다음을 클릭합니다.

  5. 계정 레벨을 선택하고 관련 계정의 박스를 체크합니다.

    Scope.png
  6. 사용자 생성을 클릭합니다. MFA 코드를 입력해야 할 수 있습니다.
  7. API 토큰을 복사하고 CMA에 추가할 수 있도록 저장합니다.

2단계: CMA에서 API 커넥터 생성

API 토큰을 받은 후 CMA에 세부 정보를 추가하십시오.

S1.png

CMA에서 SentinelOne EDR 커넥터를 구성하려면:

  1. 탐색 메뉴에서 자원 > 통합을 선택합니다.
  2. 통합 앱 탭에서 새로 만들기를 클릭합니다. 새 통합 패널이 열립니다.
  3. SaaS 애플리케이션 드롭다운 메뉴에서 SentinelOne을 선택합니다.

  4. 이름, 설명(선택 사항), 테넌트 URL(테넌트의 도메인) 및 API 토큰을 입력합니다.

    참고: 테넌트 URL에 https://를 포함하십시오. 예: https://<YOUR_TENANT>.sentinelone.net

  5. (선택 사항) 이벤트 생성으로 통합 오류를 추적하도록 선택합니다.
  6. 저장을 클릭합니다.

커넥터 상태 이해

연결 설정 페이지의 상태 열은 SentinelOne 앱과 Cato 계정 간의 연결 상태를 보여줍니다. 이 상태들에 대한 설명은 다음과 같습니다.

  • 연결됨 - 계정이 앱과 연결되어 올바르게 작동하고 있습니다.
  • 사용자 동의 대기 중 - Cato가 SentinelOne 앱에 접근하는 권한이 부여되지 않았습니다. 이 문제를 해결하려면 브라우저를 새로고침하십시오. 상태연결됨으로 변경되면 문제가 해결된 것입니다. 상태가 변경되지 않으면 커넥터를 삭제하고 다시 생성하십시오.
  • 오류 - 커넥터에 연결 문제, 권한, 라이선스 또는 기타 문제가 있습니다. 커넥터를 삭제하고 다시 만듭니다.

Stories Workbench 페이지 보기

커넥터를 생성하면 Stories Workbench에서 스토리가 표시됩니다.

Stories Workbench 페이지를 보려면:

  • 탐색 메뉴에서 홈 > Stories Workbench를 클릭합니다.

열에 관한 정보는 스토리 열 이해하기를 참조하십시오.

Microsoft Defender의 데이터 포함하여 XOps 스토리를 검토하는 방법에 대한 더 많은 정보는 Drilling-Down 및 Analyzing XOps Security Stories를 참조하십시오.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개