Configuración del origen para SentinelOne - Amazon CloudWatch
Integración con SentinelOne Singularity EndpointInstrucciones para configurar Amazon S3 y Amazon SQSConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para SentinelOne

Integración con SentinelOne Singularity Endpoint

SentinelOne Singularity Endpoint es una plataforma de seguridad para puntos de conexión basada en IA que proporciona protección en tiempo real contra el malware, el ransomware y los ataques de día cero. Utiliza el análisis de comportamiento y el machine learning para detectar y detener las amenazas de forma autónoma. La plataforma admite la respuesta automática, la reversión y la corrección de amenazas. Ofrece visibilidad y control centralizados en todos los puntos de conexiones. Las canalizaciones de CloudWatch le permiten recopilar estos datos en Registros de CloudWatch.

Instrucciones para configurar Amazon S3 y Amazon SQS

La configuración de SentinelOne Singularity Endpoint para enviar registros a un bucket de Amazon S3 implica varios pasos, que se centran principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS y los roles de IAM y, a continuación, configurar la canalización de telemetría de Amazon.

  • Cree un bucket de Amazon S3 en el que se almacenan los registros de SentinelOne Singularity Endpoint.

  • Configure Singularity Cloud Funnel o un servidor Syslog intermedio con los detalles del bucket de Amazon S3 para enviar registros.

  • Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones deben enviarse a una cola de Amazon SQS.

  • Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.

Configuración de la canalización de CloudWatch

Para configurar la canalización a fin de leer registros, elija SentinelOne Singularity Endpoint como origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos de SentinelOne Singularity Endpoint que se asignan a la actividad de sistemas de archivos (1001), la actividad de procesos (1007), la actividad HTTP (4002) y la actividad de DNS (4003).

La actividad de sistemas de archivos contiene los siguientes eventos:

  • MALICIOUSFILE

  • FILECREATION

  • FILEDELETION

  • FILEMODIFICATION

  • FILERENAME

  • FILESCAN

La actividad de procesos contiene los siguientes eventos:

  • PROCESSCREATION

  • PROCESSTERMINATION

  • DUPLICATETHREAD

  • REMOTETHREAD

  • PROCESSMODIFICATION

  • DUPLICATEPROCESS

  • OPENPROCESS

  • PROCESSINJECTION

  • PROCESSMODIFIER

  • PROCESSEXIT

  • OPENPRIVILEGEDPROCESSFROMKERNEL

Mostrar másMostrar menos

La actividad HTTP contiene los siguientes eventos:

  • HTTP

La actividad de DNS contiene los siguientes eventos:

  • DNS