SentinelOne EDR: Конфигурирование интеграции XOps

Эта статья обсуждает интеграцию данных из SentinelOne EDR для создания историй, которые вы можете просматривать в Рабочей области Историй Cato.

Обзор

С помощью API-коннектора вы можете интегрировать данные инцидентов из SentinelOne EDR для создания историй для конечных устройств. Истории конечных устройств помогают получить более полное представление о потенциальных угрозах в вашей сети.

История создается в CMA путем корреляции данных из инцидентов SentinelOne EDR на основе UUID агента (ID устройства) и хэша файла угрозы в течение 90 дней. Эти истории включают все релевантные доказательства для инцидентов, обнаруженных средствами SentinelOne. Рабочая область Историй показывает истории конечных устройств вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на инцидентах конечных точек.

Истории SentinelOne создаются почти в режиме реального времени после первоначального оповещения. 

Для интеграции данных инцидентов SentinelOne EDR с XOps Cato вам нужно настроить API-коннекторы для SentinelOne EDR. После создания коннектора, механизм инцидентов конечной точки получает и анализирует данные инцидентов из SentinelOne EDR.

Для более подробной информации по проверке историй XOps, включая данные из SentinelOne, смотрите Углубленный анализ XOps историй безопасности

Предварительные условия

  • У вас должна быть лицензия SentinelOne Enterprise, включающая Singularity Data Lake
  • Для просмотра историй Cato XOps по инцидентам EDR в SentinelOne требуется лицензия XOps или MDR. События генерируются без лицензии
  • Чтобы добавить конечный коннектор, вы должны иметь разрешение редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление административными ролями с использованием RBAC.

Настройка коннектора SentinelOne EDR

Чтобы создать соединитель между Cato и вашим клиентом SentinelOne, необходимо:

  1. Создать API-токен в консоли SentinelOne
  2. Создать API-коннектор в CMA

У вас должны быть корректные данные для аутентификации в SentinelOne.

Шаг 1: Создать API-токен в консоли SentinelOne

В консоли SentinelOne создайте API-токен для входа в CMA.

Чтобы создать API-токен:

  1. В вашем клиенте консоли SentinelOne, в боковом меню перейдите в Настройки > Выбрать пользователей.

  2. На вкладке Сервисные пользователи нажмите Действия > Создать нового сервисного пользователя.

    New_Service_User.png

  3. Добавьте Имя и Срок действия для Сервисного пользователя. Мы рекомендуем установить срок действия не менее одного года.

    Примечание: Токен должен быть обновлен после его истечения.

  4. Нажмите Далее.

  5. Выберите уровень Аккаунта и установите флажок нужного аккаунта.

    Scope.png
  6. Нажмите Создать пользователя. Возможно, потребуется ввести код MFA.
  7. Скопируйте и сохраните API-токен, чтобы добавить его в CMA.

Шаг 2: Создать API-коннектор в CMA

После получения API-токена, добавьте данные в CMA.

S1.png

Чтобы настроить коннектор SentinelOne EDR в CMA:

  1. Из меню навигации выберите Ресурсы > Интеграции.
  2. На вкладке Интегрированные приложения нажмите Новый. Откроется панель Новая интеграция.
  3. В выпадающем меню SaaS-приложение выберите SentinelOne.

  4. Введите Имя, Описание (необязательно), URL арендатора (домен вашего арендатора) и API-токен.

    Примечание: Включите https:// в URL арендатора. Например, https://<ВАШ_АРЕНДАТОР>.sentinelone.net

  5. (Необязательно) Вы можете отслеживать ошибки интеграции, создавая событие.
  6. Нажмите Сохранить.

Понимание статуса коннектора

Столбец Статус на странице настроек Коннекторов показывает статус соединения между приложением SentinelOne и вашей учетной записью Cato. Вот объяснения статусов:

  • Подключено - Ваша учетная запись подключена к приложению и работает корректно
  • Ожидается согласие пользователя - Разрешения не были предоставлены для доступа Cato к приложению SentinelOne. Чтобы устранить эту проблему, обновите браузер. Если Статус изменится на Подключено, проблема решена, если Статус не изменится, удалите и создайте коннектор заново.
  • Ошибка - Существует проблема с подключением, разрешениями, лицензией или другим вопросом с коннектором. Удалите и создайте коннектор заново.

Просмотр страницы рабочей области Историй

После создания коннектора истории будут видны в рабочей области Историй.

Чтобы просмотреть страницу рабочей области Историй:

  • Из меню навигации нажмите Главная > Рабочая область Историй.

Для получения информации о столбцах в Рабочей области Историй смотрите Понимание колонок историй

Для более подробной информации по проверке историй XOps, включая данные из Microsoft Defender, смотрите Углубленный анализ XOps историй безопасности

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев