Konektor SentinelOne (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

  • Artikel

Konektor data SentinelOne menyediakan kemampuan untuk menyerap objek server SentinelOne umum seperti Ancaman, Agen, Aplikasi, Aktivitas, Kebijakan, Grup, dan lebih banyak peristiwa ke Microsoft Sentinel melalui REST API. Lihat dokumentasi API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview untuk informasi selengkapnya. Konektor menyediakan kemampuan untuk mendapatkan peristiwa yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, dan banyak lagi.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Pengaturan aplikasi SentinelOneAPIToken
SentinelOneUrl
WorkspaceID
WorkspaceKey
logAnalyticsUri (opsional)
Kode aplikasi fungsi Azure https://aka.ms/sentinel-SentinelOneAPI-functionapp
Tabel Log Analytics SentinelOne_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Microsoft Corporation

Kueri sampel

Peristiwa SentinelOne - Semua Aktivitas.

SentinelOne

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan SentinelOne (menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial/izin REST API: SentinelOneAPIToken diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang API di https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke API SentinelOne untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Catatan

Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan yang disebarkan sebagai bagian dari solusi. Untuk melihat kode fungsi di Log Analytics, buka bilah Log Analytics/Microsoft Sentinel Logs, klik Functions dan cari alias SentinelOne dan muat kode fungsi atau klik di sini. Fungsi ini biasanya membutuhkan waktu 10-15 menit untuk diaktifkan setelah penginstalan/pembaruan solusi.

LANGKAH 1 - Langkah konfigurasi untuk API SentinelOne

Ikuti petunjuk untuk memperoleh kredensial.

  1. Masuk ke Konsol Manajemen SentinelOne dengan kredensial pengguna Admin.
  2. Di Konsol Manajemen, klik Pengaturan.
  3. Dalam tampilan PENGATURAN, klik PENGGUNA
  4. Klik Pengguna Baru.
  5. Masukkan informasi untuk pengguna konsol baru.
  6. Di Peran, pilih Admin.
  7. Klik SIMPAN
  8. Simpan kredensial pengguna baru untuk digunakan di konektor data.

CATATAN :- Akses admin dapat didelegasikan menggunakan peran kustom. Harap tinjau dokumentasi SentinelOne untuk mempelajari lebih lanjut tentang RBAC kustom.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data SentinelOne, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut).

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor data Audit SentinelOne menggunakan ARM Tempate.

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke AzureSebarkan ke Azure Gov

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

CATATAN: Dalam grup sumber daya yang sama, Anda tidak dapat mencampur aplikasi Windows dan Linux di wilayah yang sama. Pilih grup sumber daya yang ada tanpa aplikasi Windows di dalamnya atau buat grup sumber daya baru. 3. Masukkan SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) dan sebarkan. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data SentinelOne Reports secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

1. Menyebarkan Aplikasi Fungsi

CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

  1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

  2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

  3. Pilih folder tingkat atas dari file yang diekstrak.

  4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

  5. Berikan informasi berikut pada permintaan:

    a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

    b. Pilih Langganan: Pilih langganan yang akan digunakan.

    c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

    d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya SOneXXXXXX).

    e. Pilih runtime: Pilih Python 3.8.

    f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

  6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

  7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

2. Mengonfigurasi Aplikasi Fungsi

  1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.

  2. Di tab Pengaturan aplikasi, pilih ** Pengaturan aplikasi baru**.

  3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceID WorkspaceID logAnalyticsUri (opsional)

  • Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.
  1. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.