SentinelOne 로그

개요

Panther는 SentinelOne에서 다음 로그 유형을 수집하는 것을 지원합니다:

• 활동 로그

  • SentinelOne 활동 로그는 네트워크에서 발생하는 다양한 이벤트를 캡처하며, 다음과 같은 위협 관리 이벤트를 포함합니다 사용자 지정 규칙 - 새 알러트 Run Panther AI 사용자가 애플리케이션을 위협으로 표시뿐만 아니라 다음과 같은 관리 작업도 포함합니다 에이전트 제거 요청 Run Panther AI 사용자 2FA 수정.

  • Panther는 다음 항목에서 활동 로그를 가져옵니다 /web/api/v2.1/activities 엔드포인트는 SentinelOne API에 있습니다. 이 /activities 엔드포인트는 모든 유료 SentinelOne 플랜에서 사용할 수 있습니다.

  • 이 로그를 수집하려면 다음의 안내를 따르세요 SentinelOne API 활동 로그를 Panther에 온보딩하는 방법, 아래에서.

• Deep Visibility 2.0 로그

  • Deep Visibility 로그는 SentinelOne EDR 및 XDR 원격 측정 데이터를 캡처합니다.

  • SentinelOne Cloud Funnel 은 클라우드 저장 위치로 로그를 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 저장 위치에서 Deep Visibility 로그를 가져옵니다.

  • 이 로그를 수집하려면 다음의 안내를 따르세요 SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법, 아래에서.

SentinelOne API 활동 로그를 Panther에 온보딩하는 방법

아래 안내는 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그 온보딩 방법은 다음 섹션을 참조하세요: SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법.

1단계: SentinelOne 서비스 사용자 및 API 토큰 생성

SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자의 API 토큰이 있다면 이 단계를 건너뛸 수 있습니다.

1. SentinelOne 대시보드의 왼쪽 탐색 모음에서 설정.

2. 설정 페이지 상단에서 Users 탭을 클릭합니다.\

   
3. Users 페이지의 왼쪽에서 Service Users.

4. 다음을 클릭하세요. Actions 드롭다운을 클릭한 다음 Create New Service User.\

   
5. 에서 Create New Service User 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 Next.\

   
6. "Select Scope of Access" 페이지에서 다음을 구성합니다:

   • Access Level: 계정

   • 선택된 계정: 올바른 계정이 선택되었는지 확인하고 역할이 다음으로 설정되어 있는지 확인하세요 Viewer\

     
7. 을 클릭합니다 Create User.

8. API 토큰을 복사하여 안전한 위치에 저장하세요. 로그 소스 온보딩 프로세스의 다음 단계에서 Panther에 제공해야 합니다.\

   

2단계: Panther에 새 SentinelOne API 소스 생성

1. Panther Console의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.

2. 을 클릭합니다 새로 만들기.

3. “SentinelOne API”를 검색한 다음 해당 타일을 클릭합니다.

4. 슬라이드아웃 패널에서 Start Setup.

   
5. SentinelOne API 소스를 구성합니다:

   • Name: 소스에 대한 설명적인 이름을 입력합니다. 예: SentinelOne API.

   • SentinelOne API Organization: SentinelOne 계정의 서브도메인을 입력합니다. 이 값을 찾으려면 SentinelOne 대시보드에 로그인하여 URL에서 서브도메인을 복사하세요.

     • 예를 들어 대시보드 URL이 다음과 같다면 https://example-domain.sentinelone.net/dashboard서브도메인은 다음과 같습니다 example-domain.

   • API Token: 이 문서의 이전 단계에서 복사한 서비스 사용자의 토큰을 입력하세요.\

     
6. 을 클릭합니다 Setup. 성공 화면으로 이동합니다:\

   

   • 선택적으로 하나 이상의 디택션 팩.

   • the 이벤트가 처리되지 않을 때 알러트 트리거 설정의 기본값은 YES입니다. 일정 시간 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되므로 이 설정을 활성화된 상태로 유지할 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

     

SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법

사전 요구 사항

• 클라우드 저장소 엔터티를 생성했습니다.

  • AWS S3를 사용하는 경우, 다음 위치의 SentinelOne 문서에 따라 구성하세요 [SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html.

1단계: Panther에 새 SentinelOne Cloud Funnel 2.0 소스 생성

1. Panther Console의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.

2. 을 클릭합니다 새로 만들기.

3. “SentinelOne Cloud Funnel 2.0”를 검색한 다음 해당 타일을 클릭합니다.

   • 슬라이드아웃 패널에서 전송 메커니즘 오른쪽 상단 모서리의 드롭다운은 다음으로 미리 채워집니다 AWS S3 버킷 옵션.

4. 슬라이드아웃 패널에서 Start Setup.

5. 다음을 구성하는 방법에 대한 Panther의 문서를 따르세요 AWS S3 를 데이터 전송 수단으로 사용합니다.

2단계: Cloud Funnel 스트리밍 활성화

• 클라우드 저장 위치로 Cloud Funnel 스트리밍을 활성화하는 방법에 대한 SentinelOne 문서를 따르세요. 해당 문서는 다음 위치에 있습니다 [SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming.

지원되는 로그 유형

SentinelOne.Activity

SentinelOne API의 활동 이벤트입니다.

SentinelOne.DeepVisibility2

SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다.