Konfigurasi sumber untuk SentinelOne - Amazon CloudWatch
Integrasi dengan SentinelOne Singularity EndpointPetunjuk untuk mengatur Amazon S3 dan Amazon SQSMengkonfigurasi Pipeline CloudWatchKelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk SentinelOne

Integrasi dengan SentinelOne Singularity Endpoint

SentinelOne Singularity Endpoint adalah platform keamanan endpoint bertenaga AI yang memberikan perlindungan real-time terhadap malware, ransomware, dan serangan zero-day. Ini menggunakan analisis perilaku dan pembelajaran mesin untuk mendeteksi dan menghentikan ancaman secara mandiri. Platform ini mendukung respons otomatis, rollback, dan remediasi ancaman. Ini memberikan visibilitas dan kontrol terpusat di semua titik akhir. CloudWatch pipelines memungkinkan Anda untuk mengumpulkan data ini di CloudWatch Log.

Petunjuk untuk mengatur Amazon S3 dan Amazon SQS

Mengonfigurasi Titik Akhir SentinelOne Singularitas untuk mengirim log ke bucket Amazon S3 melibatkan beberapa langkah, terutama berfokus pada pengaturan bucket Amazon S3, antrian Amazon SQS, peran IAM, dan kemudian mengonfigurasi Pipeline Telemetri Amazon.

  • Buat bucket Amazon S3 yang menyimpan log SentinelOne Singularity Endpoint.

  • Konfigurasikan Singularity Cloud Funnel atau server Syslog perantara dengan detail bucket Amazon S3 untuk mendorong log.

  • Konfigurasikan bucket Amazon S3 untuk membuat notifikasi acara, khusus untuk acara “Buat Objek”. Pemberitahuan ini harus dikirim ke antrian Amazon SQS.

  • Buat antrean Amazon SQS di AWS wilayah yang sama dengan bucket Amazon S3 Anda. Antrian ini akan menerima pemberitahuan saat file log baru ditambahkan ke bucket Amazon S3.

Mengkonfigurasi Pipeline CloudWatch

Untuk mengonfigurasi pipeline untuk membaca log, pilih SentinelOne Singularity Endpoint sebagai sumber data. Setelah mengisi informasi yang diperlukan dan Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa Titik Akhir SentinelOne Singularitas yang memetakan ke Aktivitas Sistem File (1001), Aktivitas Proses (1007), Aktivitas HTTP (4002) dan Aktivitas DNS (4003).

Aktivitas Sistem File berisi peristiwa berikut:

  • FILE JAHAT

  • FILECREATION

  • FILEDELETION

  • FILEMODIFIKASI

  • NAMA BERKAS

  • FILESCAN

Aktivitas Proses berisi peristiwa-peristiwa berikut:

  • PEMBUATAN PROSES

  • PROSESTERMINASI

  • DUPLIKAT UTAS

  • REMOTETHREAD

  • MODIFIKASI PROSES

  • PROSES DUPLIKAT

  • PROSES TERBUKA

  • PROSESSINJEKSI

  • PENGUBAH PROSES

  • PROCESSEXIT

  • OPENPRIVILEGEDPROCESSFROMKERNEL

Tampilkan lebih banyakTampilkan lebih sedikit

Aktivitas HTTP berisi peristiwa berikut:

  • HTTP

Aktivitas DNS berisi peristiwa-peristiwa berikut:

  • DNS