SentinelOne (使用 Azure Functions) 連接器適用於 Microsoft Sentinel
SentinelOne 資料連接器提供透過 REST API 將常見的 SentinelOne 伺服器物件內嵌至 Microsoft Sentinel 的功能,例如威脅、代理程式、應用程式、活動、原則、群組等等。 如需詳細資訊, https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview 請參閱 API 檔。 連接器可讓您取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| 應用程式設定 | SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (選擇性) |
| Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-SentinelOneAPI-functionapp |
| Log Analytics 數據表(s) | SentinelOne_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
SentinelOne 事件 - 所有活動。
SentinelOne
| sort by TimeGenerated desc
必要條件
若要與 SentinelOne 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- REST API 認證/許可權: 需要 SentinelOneAPIToken 。 請參閱檔,以深入瞭解 上的
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewAPI。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 SentinelOne API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)安全地將工作區和 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 SentinelOne 並載入函式程式代碼,或按兩下 這裡。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
步驟 1 - SentinelOne API 的設定步驟
請依照指示取得認證。
- 使用 管理員 用戶認證登入 SentinelOne 管理控制台。
- 在 [管理控制台] 中,按兩下 [設定]。
- 在 [ 設定] 檢視中,按兩下 [ 使用者]
- 按兩下 [ 新增使用者]。
- 輸入新控制台用戶的資訊。
- 在 [角色] 中,選取 [管理員]。
- 點選 [ 儲存]
- 儲存新使用者的認證,以用於數據連接器。
注意 :- 管理員 存取權可以使用自定義角色來委派。 請檢閱 SentinelOne 檔 ,以深入瞭解自定義 RBAC。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 在部署 SentinelOne 數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製)。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM Tempate自動部署 SentinelOne Audit 資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
注意: 在同一個資源群組內,您無法在同一個區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 3.輸入 SentinelOneAPIToken、 SentinelOneUrl
(https://<SOneInstanceDomain>.sentinelone.net)並部署。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,透過 Azure Functions 手動部署 SentinelOne Reports 數據連接器(透過 Visual Studio Code 進行部署)。
1.部署函式應用程式
注意: 您必須 準備 VS 程式代碼 以進行 Azure 函式開發。
下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層資料夾。
選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。
c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 SOneXXXXX)。
e. 選取運行時間: 選擇 Python 3.8。
f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域 。
部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
移至 Azure 入口網站以取得函式應用程式設定。
2.設定函式應用程式
在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。
個別新增下列每個應用程式設定,其個別字串值(區分大小寫):SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。
- 輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。