SentinelOne のソース設定
SentinelOne Singularity Endpoint との統合
SentinelOne Singularity Endpoint は、マルウェア、ランサムウェア、およびゼロデイ攻撃に対するリアルタイム保護を提供する AI を活用したエンドポイントセキュリティプラットフォームです。動作分析と機械学習を使用して、脅威を自律的に検出して阻止します。プラットフォームは、自動応答、ロールバック、および脅威の修復をサポートしています。これにより、すべてのエンドポイントを一元的に視覚化し、制御できます。CloudWatch パイプラインを使用すると、このデータを CloudWatch Logs で収集できます。
Amazon S3 と Amazon SQS を設定する手順
Amazon S3 バケットにログを送信するように SentinelOne Singularity Endpoint を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の Amazon Telemetry パイプラインの設定です。
-
SentinelOne Singularity Endpoint ログを保存する Amazon S3 バケットを作成します。
-
ログをプッシュするには、Amazon S3 バケットの詳細を使用して Singularity Cloud Funnel または中間 Syslog サーバーを設定します。
-
イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は Amazon SQS キューに送信する必要があります。
-
Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。
CloudWatch パイプラインの設定
ログを読み込むようにパイプラインを設定するには、データソースとして SentinelOne Singularity Endpoint を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合では、OCSF スキーマバージョン v1.5.0 と、ファイルシステムアクティビティ (1001)、プロセスアクティビティ (1007)、HTTP アクティビティ (4002)、および DNS アクティビティ (4003) にマッピングする SentinelOne Singularity Endpoint イベントがサポートされています。
ファイルシステムアクティビティには、次のイベントが含まれます。
MALICIOUSFILE
FILECREATION
FILEDELETION
FILEMODIFICATION
FILERENAME
FILESCAN
プロセスアクティビティには、次のイベントが含まれます。
PROCESSCREATION
PROCESSTERMINATION
DUPLICATETHREAD
REMOTETHREAD
PROCESSMODIFICATION
DUPLICATEPROCESS
OPENPROCESS
PROCESSINJECTION
PROCESSMODIFIER
PROCESSEXIT
OPENPRIVILEGEDPROCESSFROMKERNEL
HTTP アクティビティには、次のイベントが含まれます。
HTTP
DNS アクティビティには、次のイベントが含まれます。
DNS
