SentinelOne 로그

개요

Panther는 SentinelOne에서 다음 로그 유형을 수집하는 것을 지원합니다:

• 활동 로그

  • SentinelOne 활동 로그는 다음과 같은 위협 관리 이벤트를 포함하여 네트워크에서 발생하는 다양한 이벤트를 캡처합니다: 사용자 정의 룰 - 새 알러트 와 사용자가 애플리케이션을 위협으로 표시함뿐만 아니라 다음과 같은 관리 작업도 포함합니다: 에이전트 요청 제거 와 사용자 2FA 수정.

  • Panther는 SentinelOne API의 /web/api/v2.1/activities 엔드포인트에서 활동 로그를 가져옵니다. 이 /activities 엔드포인트는 모든 유료 SentinelOne 요금제에서 사용할 수 있습니다.

  • 이러한 로그를 수집하려면 다음 지침을 따르세요 SentinelOne API 활동 로그를 Panther에 온보딩하는 방법를(을) 아래에서 확인하십시오.

• Deep Visibility 2.0 로그

  • Deep Visibility 로그는 SentinelOne EDR 및 XDR 텔레메트리 데이터를 캡처합니다.

  • SentinelOne Cloud Funnel 은(는) 로그를 클라우드 스토리지 위치로 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 스토리지 위치에서 Deep Visibility 로그를 가져옵니다.

  • 이러한 로그를 수집하려면 다음 지침을 따르세요 SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법를(을) 아래에서 확인하십시오.

SentinelOne API 활동 로그를 Panther에 온보딩하는 방법

아래 지침은 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그를 온보딩하는 방법은 다음 섹션을 참조하세요: SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법.

1단계: SentinelOne 서비스 사용자 및 API 토큰 생성

SentinelOne 계정에서 Viewer 역할을 가진 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자의 API 토큰이 있는 경우 이 단계를 건너뛸 수 있습니다.

1. SentinelOne 대시보드의 왼쪽 탐색 표시줄에서 클릭하세요 설정.

2. 설정 페이지 상단에서, 클릭하세요 사용자 탭.\

   
3. 사용자 페이지의 왼쪽에서 클릭하세요 서비스 사용자.

4. 을 클릭하세요 Actions 드롭다운을 연 다음 클릭하세요 새 서비스 사용자 생성.

   
5. 페이지에서 새 서비스 사용자 생성 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 클릭하세요 다음.\

   
6. "접근 범위 선택" 페이지에서 다음을 구성하세요:

   • 접근 수준: Account

   • 선택된 계정: 올바른 계정을 선택했는지 및 역할이 설정되어 있는지 확인하세요 Viewer\

     
7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 사용자 생성.

8. API 토큰을 복사하여 안전한 위치에 저장하세요. 이후 로그 소스 온보딩 과정에서 Panther에 제공해야 합니다.\

   

2단계: Panther에서 새 SentinelOne API 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. “SentinelOne API”를 검색한 다음 해당 타일을 클릭하세요.

4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

   
5. SentinelOne API 소스를 구성하세요:

   • 이름: 소스에 대한 설명적인 이름을 입력하세요. 예: SentinelOne API.

   • SentinelOne API 조직: SentinelOne 계정의 서브도메인을 입력하세요. 이 값을 찾으려면 SentinelOne 대시보드에 로그인하고 URL에서 서브도메인을 복사하세요.

     • 예를 들어, 대시보드 URL이 다음과 같다면 https://example-domain.sentinelone.net/dashboard, 서브도메인은 example-domain.

   • API 토큰: 이 문서의 이전 단계에서 복사한 서비스 사용자 토큰을 입력하세요.\

     
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정. 성공 화면으로 이동됩니다:\

   

   • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의.

   • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

     

SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법

전제 조건

• 클라우드 스토리지 엔터티를 생성했습니다.

  • AWS S3를 사용하는 경우 SentinelOne 문서에 따라 구성하세요. 문서는 다음에서 확인할 수 있습니다: [SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html.

1단계: Panther에서 새 SentinelOne Cloud Funnel 2.0 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. “SentinelOne Cloud Funnel 2.0”을 검색한 다음 해당 타일을 클릭하세요.

   • 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 자동으로 AWS S3 버킷 옵션.

4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

5. 으로(로) 미리 채워집니다. Panther의 문서를 따라 AWS S3 를 데이터 전송 수단으로 구성하세요.

2단계: Cloud Funnel 스트리밍 활성화

• 클라우드 스토리지 위치로의 Cloud Funnel 스트리밍을 활성화하는 방법은 SentinelOne 문서를 따르세요. 문서는 다음에서 확인할 수 있습니다: [SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming.

지원되는 로그 유형

SentinelOne.Activity

SentinelOne API의 활동 이벤트입니다.

SentinelOne.DeepVisibility2

SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다.