Intégration à SentinelOne Singularity Endpoint Instructions pour configurer Amazon S3 et Amazon SQS Configuration du CloudWatch pipeline Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Configuration source pour SentinelOne

Intégration à SentinelOne Singularity Endpoint

SentinelOne Singularity Endpoint est une plateforme de sécurité des terminaux basée sur l'IA qui fournit une protection en temps réel contre les logiciels malveillants, les ransomwares et les attaques de type « jour zéro ». Il utilise l'analyse comportementale et l'apprentissage automatique pour détecter et arrêter les menaces de manière autonome. La plateforme prend en charge les réponses automatisées, le rollback et la correction des menaces. Il offre une visibilité et un contrôle centralisés sur tous les terminaux. CloudWatch pipelines vous permet de collecter ces données dans CloudWatch des journaux.

Instructions pour configurer Amazon S3 et Amazon SQS

La configuration de SentinelOne Singularity Endpoint pour envoyer des journaux vers un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS, des rôles IAM, puis sur la configuration du pipeline de télémétrie Amazon.

Créez un compartiment Amazon S3 qui stocke les journaux de SentinelOne Singularity Endpoint.
Configurez Singularity Cloud Funnel ou un serveur Syslog intermédiaire avec les détails du bucket Amazon S3 pour envoyer des journaux.
Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à une file d'attente Amazon SQS.
Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.

Configuration du CloudWatch pipeline

Pour configurer le pipeline afin de lire les journaux, choisissez SentinelOne Singularity Endpoint comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements SentinelOne Singularity Endpoint qui correspondent à l'activité du système de fichiers (1001), à l'activité des processus (1007), à l'activité HTTP (4002) et à l'activité DNS (4003).

L'activité du système de fichiers contient les événements suivants :

FICHIER MALVEILLANT
CRÉATION DE FICHIERS
SUPPRESSION DE FICHIERS
MODIFICATION DE FICHIER
NOM DE FICHIER
ANALYSE DE FICHIERS

L'activité du processus contient les événements suivants :

CRÉATION DE PROCESSUS
TERMINAISON DU PROCESSUS
FIL DUPLIQUÉ
FIL DISTANT
MODIFICATION DU PROCESSUS
PROCESSUS DUPLIQUÉ
PROCESSUS OUVERT
PROCÉDÉ D'INJECTION
MODIFICATEUR DE PROCESSUS
SORTIE DU PROCESSUS
PROCESSUS PRIVILÉGIÉ OUVERT DEPUIS LE NOYAU

Afficher plus

Afficher moins

L'activité HTTP contient les événements suivants :

HTTP

L'activité DNS contient les événements suivants :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SentinelOne

Configuration du pipeline