SentinelOne 的來源組態

與 SentinelOne 奇異性端點整合

SentinelOne 奇異性端點是採用 AI 技術的端點安全平台，可即時防範惡意軟體、勒索軟體和零時差攻擊。它使用行為分析和機器學習來自動偵測和停止威脅。平台支援自動回應、回復和威脅修補。它提供所有端點的集中可見性和控制。CloudWatch 管道可讓您在 CloudWatch Logs 中收集此資料。

設定 Amazon S3 和 Amazon SQS 的說明

設定 SentinelOne 奇異性端點將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟，主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色，然後設定 Amazon Telemetry Pipeline。

• 建立存放 SentinelOne 奇異性端點日誌的 Amazon S3 儲存貯體。

• 使用 Amazon S3 儲存貯體詳細資訊設定 Singularity Cloud Funnel 或中繼 Syslog 伺服器以推送日誌。

• 設定 Amazon S3 儲存貯體以建立事件通知，特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。

• 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時，此佇列會收到通知。

設定 CloudWatch 管道

若要設定管道讀取日誌，請選擇 SentinelOne 奇異性端點做為資料來源。填入必要資訊並建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

支援的開放式網路安全結構描述架構事件類別

此整合支援 OCSF 結構描述版本 v1.5.0 和映射至檔案系統活動 (1001)、程序活動 (1007)、HTTP 活動 (4002) 和 DNS 活動 (4003) 的 SentinelOne 奇異性端點事件。

檔案系統活動包含下列事件：

• MALICIOUSFILE

• FILECREATION

• 檔案刪除

• 檔案修改

• FILERENAME

• FILESCAN

程序活動包含下列事件：

• PROCESSCREATION

• PROCESSTERMINATION

• DUPLICATETHREAD

• 遠端

• PROCESSMODIFICATION

• DUPLICATEPROCESS

• OPENPROCESS

• PROCESSINJECTION

• PROCESSMODIFIER

• PROCESSEXIT

• OPENPRIVILEGEDPROCESSFROMKERNEL

顯示較多顯示較少

HTTP 活動包含下列事件：

• HTTP

DNS 活動包含下列事件：

• DNS