SentinelOne EDR: 配置XOps集成

本文讨论将SentinelOne EDR的数据集成,以生成您可以在Cato事件工作台中查看的事件。

概览

使用API连接器,您可以集成来自SentinelOne EDR的事件数据,以生成终端设备的事件。 这些终端事件帮助您更全面地了解网络中的潜在威胁。

在CMA中,事件是通过关联SentinelOne EDR事件的数据(基于代理UUID(设备ID)和威胁文件哈希)在90天内创建的。 这些事件包括由SentinelOne检测到的事件的所有相关证据。 事件工作台将终端事件与其他事件类型一起显示,您可以对事件进行排序和过滤,以专注于终端事故。

SentinelOne事件是在原始警报生成后近实时创建的。 

要将SentinelOne EDR事件数据与Cato XOps集成,您需要设置SentinelOne EDR的API连接器。 创建连接器后,终端事件引擎将从SentinelOne EDR中检索和分析事件数据。

查看更多有关审核 XOps 事件的信息,包括来自 SentinelOne 的数据,请参见 深入研究和分析 XOps 安全性事件

前提条件

  • 您必须拥有包含Singularity Data Lake的SentinelOne企业许可证
  • 查看 SentinelOne EDR 事件的 Cato XOps 事件,需要 XOps 或 MDR 许可证。 事件在没有许可证的情况下生成
  • 要添加连接器,您必须拥有集成的编辑者权限(位于 资源 部分)。 有关详细信息,请参阅使用RBAC管理管理员角色

配置SentinelOne EDR连接器

要在 Cato 和您的 SentinelOne 租户之间创建连接器,您需要:

  1. 在SentinelOne控制台中创建API令牌
  2. 在CMA中创建API连接器

您必须具备正确的凭据才能认证到SentinelOne。

第1步:在SentinelOne控制台中创建API令牌

在SentinelOne控制台中,创建要输入到CMA中的API令牌。

创建API令牌:

  1. 在您的SentinelOne控制台租户中,在侧边菜单中,导航到设置 > 选择用户

  2. 服务用户选项卡上,单击动作 > 创建新服务用户

    New_Service_User.png

  3. 为服务用户添加名称到期日。 我们建议将到期日设为至少一年。

    注意:令牌必须在过期后续订。

  4. 单击下一步

  5. 选择账户级别,并勾选相关账户的复选框。

    Scope.png
  6. 单击创建用户。 您可能需要输入您的MFA代码。
  7. 复制并保存API令牌,以便可以将其添加到CMA。

第2步:在CMA中创建API连接器

获取API令牌后,在CMA中添加详细信息。

S1.png

要在CMA中配置SentinelOne EDR连接器:

  1. 从导航菜单中,选择资源 > 集成
  2. 集成应用程序选项卡上,单击新建新建集成面板打开。
  3. SaaS应用程序下拉菜单中,选择SentinelOne。

  4. 输入名称描述(可选)、租户URL(您租户的域)和API令牌

    注意:在租户URL中包含https://。 例如,https://<YOUR_TENANT>.sentinelone.net

  5. (可选)选择通过创建事件来跟踪集成中的错误。
  6. 单击保存

了解连接器状态

在连接器设置页面的状态列显示SentinelOne应用和您的Cato账户之间连接的状态。 以下是状态的解释:

  • 已连接 - 您的账户已连接到应用并正常工作
  • 等待用户同意 - 尚未授予权限使Cato访问SentinelOne应用。 要解决此问题,请刷新浏览器。 如果状态更改为已连接,问题已解决,如果状态未更改,请删除并重新创建连接器。
  • 错误 - 与连接器有连接性、权限、许可证或其他问题。 删除并重新创建连接器。

查看事件工作台页面

创建连接器后,将在事件工作台中可见事件。

查看事件工作台页面:

  • 从导航菜单中,单击主页 > 事件工作台

有关 XDR 发现事件列的信息,请参见 理解事件列

查看更多有关审核 XOps 事件的信息,包括来自 Microsoft Defender 的数据,请参见 深入研究和分析 XOps 安全性事件

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论