Sdílet prostřednictvím

Konektor SentinelOne (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor SentinelOne poskytuje možnost ingestovat běžné objekty serveru SentinelOne, jako jsou hrozby, agenti, aplikace, aktivity, zásady, skupiny a další události do Microsoft Sentinelu prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview k rozhraní API. Konektor poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Nastavení aplikace SentinelOneAPIToken
SentinelOneUrl
ID pracovního prostoru
WorkspaceKey
LogAnalyticsUri (volitelné)
Kód aplikace funkcí Azure https://aka.ms/sentinel-SentinelOneAPI-functionapp
Tabulky Log Analytics SentinelOne_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Události SentinelOne – všechny aktivity.

SentinelOne

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci se službou SentinelOne (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se SentinelOneAPIToken . Další informace o rozhraní API najdete v dokumentaci.https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní API SentinelOne k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias SentinelOne a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

KROK 1 : Kroky konfigurace pro rozhraní SENTINELOne API

Podle pokynů získejte přihlašovací údaje.

  1. Přihlaste se ke konzole pro správu SentinelOne pomocí uživatelských přihlašovacích údajů správce.
  2. V konzole pro správu klikněte na Nastavení.
  3. V zobrazení NASTAVENÍ klikněte na UŽIVATELÉ.
  4. Klikněte na Nový uživatel.
  5. Zadejte informace pro nového uživatele konzoly.
  6. V roli vyberte Správce.
  7. Klikněte na ULOŽIT.
  8. Uložte přihlašovací údaje nového uživatele pro použití v datovém konektoru.

POZNÁMKA:- Přístup správce lze delegovat pomocí vlastních rolí. Další informace o vlastním řízení přístupu na základě role najdete v dokumentaci k SentinelOne.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru SentinelOne zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete zkopírovat z následujícího kódu).

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru SentinelOne Audit pomocí šablony ARM.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure Deploy to Azure Gov

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

POZNÁMKA: Ve stejné skupině prostředků nemůžete kombinovat aplikace pro Windows a Linux ve stejné oblasti. Vyberte existující skupinu prostředků bez aplikací pro Windows nebo vytvořte novou skupinu prostředků. 3. Zadejte SentinelOneAPIToken, SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net) a nasaďte. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor SentinelOne Reports ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. SOneXXXXX).

    e. Vyberte modul runtime: Zvolte Python 3.8.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.

  2. Na kartě Nastavení aplikace vyberte ** Nové nastavení aplikace**.

  3. Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (volitelné)

  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.