SentinelOne EDR: Configurando a Integração XOps

Este artigo discute a integração de dados do SentinelOne EDR para gerar histórias que você pode revisar na Bancada de Trabalho de Histórias da Cato.

Visão geral

Usando um conector de API, você pode integrar dados de incidentes do SentinelOne EDR para gerar histórias para dispositivos endpoint. As histórias de endpoint ajudam você a obter uma imagem mais completa das ameaças potenciais na sua rede.

Uma história é criada na CMA correlacionando dados de incidentes do SentinelOne EDR com base no Agent UUID (ID do Dispositivo) e no Hash de arquivo da ameaça dentro de 90 dias. Essas histórias incluem todas as evidências relevantes para os incidentes detectados pelo SentinelOne. A Bancada de Trabalho de Histórias mostra as histórias de endpoint junto com os outros tipos de histórias, e você pode ordenar e filtrar as histórias para focar nos incidentes de Endpoint.

As histórias do SentinelOne são criadas em tempo quase real após o alerta original ser gerado. 

Para integrar dados de incidentes do SentinelOne EDR com o Cato XOps, você precisa configurar os conectores de API para o SentinelOne EDR. Após criar o conector, o motor de Incidentes de Endpoint recupera e analisa os dados de Incidente do SentinelOne EDR.

Para mais informações sobre a análise de histórias do XOps, incluindo dados do SentinelOne, veja Drilling-Down and Analyzing XOps Security Stories

Pré-requisitos

  • Você deve ter uma licença Enterprise do SentinelOne, incluindo o Singularity Data Lake
  • Para visualizar histórias do Cato XOps para incidentes do SentinelOne EDR, é necessária uma licença XOps ou MDR. Eventos são gerados sem uma licença
  • Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos). Para mais informações, veja Gerenciamento de Funções de Admin Usando RBAC.

Configurando o Conector SentinelOne EDR

Para criar o conector entre o Cato e seu locatário do SentinelOne, você precisa:

  1. Criar o token de API no console SentinelOne
  2. Criar o conector de API na CMA

Você deve ter as credenciais corretas para autenticar no SentinelOne.

Passo 1: Criar o Token de API no Console SentinelOne

No console SentinelOne, crie o token de API para inserir na CMA.

Para criar o token de API:

  1. No menu lateral do seu locatário do console SentinelOne, navegue para Configurações > Escolher Usuários.

  2. Na aba Service Users, clique em Ações > Criar Novo Usuário de Serviço.

    New_Service_User.png

  3. Adicione um Nome e uma Data de Expiração para o Usuário de Serviço. Recomendamos definir a data de expiração para pelo menos um ano.

    Nota: O token deve ser renovado uma vez que tenha expirado.

  4. Clique em Próximo.

  5. Escolha o nível de Conta e marque a caixa da conta relevante.

    Scope.png
  6. Clique em Criar Usuário. Pode ser necessário inserir seu código MFA.
  7. Copie e salve o token de API para que ele possa ser adicionado à CMA.

Passo 2: Criar o Conector de API na CMA

Depois de ter um Token de API, adicione os detalhes na CMA.

S1.png

Para configurar o Conector SentinelOne EDR na CMA:

  1. No menu de navegação, selecione Recursos > Integrações.
  2. Na aba Aplicativos Integrados, clique em Novo. O painel de Nova Integração abre.
  3. No menu drop-down do Aplicativo SaaS, selecione SentinelOne.

  4. Digite um Nome, uma Descrição (opcional), uma URL do Tenante (o domínio do seu tenante), e o Token de API.

    Nota: Inclua https:// na URL do tenante. Por exemplo, https://<SEU_TENANTE>.sentinelone.net

  5. (Opcional) Escolha rastrear erros na integração criando um evento.
  6. Clique em Salvar.

Entendendo o Status do Conector

A coluna de Status na página Configurações de Conectores mostra o status da conexão entre o aplicativo SentinelOne e sua conta Cato. Estas são as explicações dos status:

  • Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
  • Pendente consentimento do usuário - As permissões não foram concedidas para permitir que a Cato acesse o aplicativo SentinelOne. Para resolver este problema, atualize o navegador. Se o Status mudar para Conectado, a questão está resolvida, se o Status não mudar, exclua e recrie o conector.
  • Erro - Há um problema de conectividade, permissões, licença ou outro problema com o conector. Exclua e recrie o conector.

Visualizando a Página da Bancada de Trabalho de Histórias

Uma vez que você tenha criado o conector, as histórias estarão visíveis na Bancada de Trabalho de Histórias.

Para visualizar a página Bancada de Trabalho de Histórias:

  • No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.

Para mais informações sobre as colunas na Bancada de Trabalho de Histórias, consulte Understanding the Stories Columns

Para mais informações sobre a análise de histórias do XOps, incluindo dados do Microsoft Defender, veja Drilling-Down and Analyzing XOps Security Stories

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário