SentinelOne 的来源配置
与 SentinelOne Singularity Endpoint 集成
SentinelOne Singularity Endpoint 是一个人工智能驱动的端点安全平台,可针对恶意软件、勒索软件和零日攻击提供实时保护。该平台使用行为分析和机器学习来自主检测和阻止威胁。该平台支持自动响应、回滚和威胁修复,提供了跨所有端点的集中可见性和控制。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。
Amazon S3 与 Amazon SQS 设置说明
将 SentinelOne Singularity Endpoint 配置为向 Amazon S3 存储桶发送日志,需执行多个步骤,核心为搭建 Amazon S3 存储桶、配置 Amazon SQS 队列、创建 IAM 角色,再配置 Amazon Telemetry Pipeline。
-
创建用于存储 SentinelOne Singularity Endpoint 日志的 Amazon S3 存储桶。
-
使用 Amazon S3 存储桶详细信息配置 Singularity Cloud Funnel 或中间 Syslog 服务器以推送日志。
-
为该 Amazon S3 存储桶配置事件通知,需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
-
Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 AWS 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
配置 CloudWatch 管道
要将管道配置为读取日志,请选择 SentinelOne Singularity Endpoint 作为数据来源。填写必填信息并创建管道后,所选的 CloudWatch Logs 日志组中将显示数据。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 1.5.0 以及映射到“文件系统活动”(1001)、“进程活动”(1007)、“HTTP 活动”(4002)和“DNS 活动”(4003)的 SentinelOne Singularity Endpoint 事件。
文件系统活动包含以下事件:
MALICIOUSFILE
FILECREATION
FILEDELETION
FILEMODIFICATION
FILERENAME
FILESCAN
进程活动包含以下事件:
PROCESSCREATION
PROCESSTERMINATION
DUPLICATETHREAD
REMOTETHREAD
PROCESSMODIFICATION
DUPLICATEPROCESS
OPENPROCESS
PROCESSINJECTION
PROCESSMODIFIER
PROCESSEXIT
OPENPRIVILEGEDPROCESSFROMKERNEL
HTTP 活动包含以下事件:
HTTP
DNS 活动包含以下事件:
DNS
