Megosztás a következőn keresztül:


SentinelOne (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

A SentinelOne adatösszekötő lehetővé teszi a Gyakori SentinelOne-kiszolgálóobjektumok, például fenyegetések, ügynökök, alkalmazások, tevékenységek, szabályzatok, csoportok és egyéb események betöltését a Microsoft Sentinelbe a REST API-n keresztül. További információkért tekintse meg az API dokumentációját https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview . Az összekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában, a csapat együttműködésének elemzésében, a konfigurációs problémák diagnosztizálásában és egyebekben.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Alkalmazásbeállítások SentinelOneAPIToken
SentinelOneUrl
WorkspaceID
WorkspaceKey
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-SentinelOneAPI-functionapp
Log Analytics-tábla(ok) SentinelOne_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

SentinelOne események – Minden tevékenység.

SentinelOne

| sort by TimeGenerated desc

Előfeltételek

A SentinelOne-nal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API hitelesítő adatok/engedélyek: A SentinelOneAPIToken szükséges. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a SentinelOne API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Logs panelt, kattintson a Functions elemre, és keresse meg a SentinelOne aliast, és töltse be a függvénykódot, vagy kattintson ide. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

1. LÉPÉS – A SentinelOne API konfigurációs lépései

A hitelesítő adatok beszerzéséhez kövesse az utasításokat.

  1. Jelentkezzen be a SentinelOne felügyeleti konzolra rendszergazdai felhasználói hitelesítő adatokkal.
  2. A felügyeleti konzolon kattintson a Beállítások gombra.
  3. A BEÁLLÍTÁSOK nézetben kattintson a FELHASZNÁLÓK gombra
  4. Kattintson az Új felhasználó elemre.
  5. Adja meg az új konzolfelhasználó adatait.
  6. A Szerepkörben válassza a Rendszergazda lehetőséget.
  7. Kattintson a MENTÉS gombra
  8. Mentse az új felhasználó hitelesítő adatait az adatösszekötőben való használathoz.

MEGJEGYZÉS :- A rendszergazdai hozzáférés egyéni szerepkörökkel delegálható. Tekintse át a SentinelOne dokumentációját , és tudjon meg többet az egyéni RBAC-ről.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A SentinelOne adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a SentinelOne Audit adatösszekötő egy ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

MEGJEGYZÉS: Ugyanabban az erőforráscsoportban nem keverheti a Windows- és Linux-alkalmazásokat ugyanabban a régióban. Válassza ki a meglévő erőforráscsoportot Windows-alkalmazások nélkül, vagy hozzon létre új erőforráscsoportot. 3. Adja meg a SentinelOneAPIToken, a SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net) és az üzembe helyezés parancsot. 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Az alábbi lépésenkénti utasítások segítségével manuálisan üzembe helyezheti a SentinelOne Reports adatösszekötőt az Azure Functionsben (üzembe helyezés a Visual Studio Code-on keresztül).

1. Függvényalkalmazás üzembe helyezése

MEGJEGYZÉS: VS-kódot kell előkészítenie az Azure-függvények fejlesztéséhez.

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

  2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

  3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

  4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

  5. Amikor a rendszer kéri, adja meg az alábbi információkat:

    a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

    b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

    c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

    d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. SOneXXXXX).

    e. Válasszon ki egy futtatókörnyezetet: Válassza a Python 3.8-at.

    f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.

  6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

  7. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

2. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.

  2. Az Alkalmazásbeállítások lapon válassza az ** Új alkalmazásbeállítás** lehetőséget.

  3. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetésével): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)

  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.
  1. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.