Configuração de fonte para o SentinelOne - Amazon CloudWatch
Integrar com o SentinelOne Singularity EndpointInstruções para configurar o Amazon S3 e o Amazon SQSConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para o SentinelOne

Integrar com o SentinelOne Singularity Endpoint

O SentinelOne Singularity Endpoint é uma plataforma de segurança de endpoint baseada em inteligência artificial que fornece proteção em tempo real contra malware, ransomware e ataques do dia zero. Ele usa análise comportamental e machine learning para detectar e interromper ameaças de modo autônomo. A plataforma permite resposta automatizada, reversão e remediação de ameaças. Oferece visibilidade e controle centralizado de todos os endpoints. Os pipelines do CloudWatch permitem coletar esses dados no CloudWatch Logs.

Instruções para configurar o Amazon S3 e o Amazon SQS

Configurar o SentinelOne Singularity Endpoint para enviar logs para um bucket do Amazon S3 envolve várias etapas, concentradas principalmente na configuração do bucket do Amazon S3, na fila do Amazon SQS, nos perfis do IAM e depois na configuração do Amazon Telemetry Pipeline.

  • Crie um bucket do Amazon S3 para armazenar logs do Endpoint do SentinelOne Singularity.

  • Configure o Singularity Cloud Funnel ou o servidor Syslog intermediário com detalhes do bucket do Amazon S3 para enviar logs.

  • Configure o bucket do Amazon S3 no qual criar notificações de eventos, especificamente para eventos de “Criação de objeto”. Essas notificações devem ser enviadas para uma fila do Amazon SQS.

  • Crie uma fila do Amazon SQS na mesma região da AWS do bucket do Amazon S3. Essa fila receberá notificações quando novos arquivos de log forem adicionados ao bucket do Amazon S3.

Configurar o CloudWatch Pipeline

Para configurar o pipeline para ler logs, escolha o SentinelOne Singularity Endpoint como a fonte de dados. Depois de preenchidas as informações necessárias e criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do SentinelOne Singularity Endpoint que são mapeados para File System Activity (1001), Process Activity (1007), HTTP Activity (4002) e DNS Activity (4003).

File System Activity inclui os seguintes eventos:

  • MALICIOUSFILE

  • FILECREATION

  • FILEDELETION

  • FILEMODIFICATION

  • FILERENAME

  • FILESCAN

Process Activity inclui os seguintes eventos:

  • PROCESSCREATION

  • PROCESSTERMINATION

  • DUPLICATETHREAD

  • REMOTETHREAD

  • PROCESSMODIFICATION

  • DUPLICATEPROCESS

  • OPENPROCESS

  • PROCESSINJECTION

  • PROCESSMODIFIER

  • PROCESSEXIT

  • OPENPRIVILEGEDPROCESSFROMKERNEL

Mostrar maisMostrar menos

HTTP Activity inclui os seguintes eventos:

  • HTTP

DNS Activity inclui os seguintes eventos:

  • DNS