search
Knowledge BaseRelease NotesRequest Demo

SentinelOne 로그

SentinelOne Cloud Funnel 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 SentinelOne에서 다음 로그 유형의 수집을 지원합니다:

  • 활동 로그

    • SentinelOne 활동 로그는 다음과 같은 위협 관리 이벤트를 포함하여 네트워크에서 발생하는 다양한 이벤트를 캡처합니다. 사용자 지정 규칙 - 새 경고사용자가 애플리케이션을 위협으로 표시함에이전트 요청 제거사용자 2FA 수정됨.

    • Panther는 SentinelOne API의 /web/api/v2.1/activities 엔드포인트에서 활동 로그를 가져옵니다. 이 /activities 엔드포인트는 모든 유료 SentinelOne 요금제에서 사용할 수 있습니다.

    • 이러한 로그를 수집하려면 다음의 지침을 따르세요 SentinelOne API 활동 로그를 Panther에 온보딩하는 방법아래.

  • Deep Visibility 2.0 로그

hashtag
SentinelOne API 활동 로그를 Panther에 온보딩하는 방법

아래 지침은 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그를 온보딩하는 방법은 다음 섹션을 참조하세요: SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법.

hashtag
1단계: SentinelOne 서비스 사용자 및 API 토큰 생성

SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자로부터 API 토큰이 있는 경우 이 단계를 건너뛸 수 있습니다.

  1. SentinelOne 대시보드의 왼쪽 탐색 막대에서 클릭하세요 설정.

  2. 설정 페이지 상단에서 클릭하세요 사용자 탭.\

    In SentinelOne, the Settings icon is highlighted in the left sidebar menu and the "Users" tab is circled at the top.

  3. 사용자 페이지의 왼쪽에서 클릭하세요 서비스 사용자.

  4. 클릭합니다 작업 드롭다운을 연 다음 클릭하세요 새 서비스 사용자 생성.\

    On the Settings page, "Service Users" is highlighted on the left. The Actions dropdown menu is expanded, and the "Create New Service User" option is highlighted.

  5. 에 있는 새 서비스 사용자 생성 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 클릭하세요 다음.\

  6. "액세스 범위 선택" 페이지에서 다음을 구성하세요:

    • 액세스 수준: 계정

    • 계정 선택됨: 올바른 계정을 선택했는지 확인하고 역할이 뷰어\

  7. 를 클릭하세요 사용자 생성.

  8. API 토큰을 복사하여 안전한 위치에 보관하세요. 다음 로그 소스 온보딩 과정에서 Panther에 제공해야 합니다.\

hashtag
2단계: Panther에서 새 SentinelOne API 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.

  2. 를 클릭하세요 새로 만들기(Create New).

  3. “SentinelOne API”를 검색한 다음 해당 타일을 클릭하세요.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

  5. SentinelOne API 소스 구성:

    • 이름(Name): 예를 들어 소스에 설명적인 이름을 입력하세요, 예: SentinelOne API.

    • SentinelOne API 조직: SentinelOne 계정의 서브도메인을 입력하세요. 이 값을 찾으려면 SentinelOne 대시보드에 로그인한 후 URL에서 서브도메인을 복사하세요.

      • 예를 들어 대시보드 URL이 https://example-domain.sentinelone.net/dashboard인 경우, 귀하의 서브도메인은 example-domain.

    • API 토큰: 이 문서의 이전 단계에서 복사한 서비스 사용자 토큰을 입력하세요.\

      On the Configuration page of the SentinelOne API source setup flow, there are fields for Name, SentinelOne API organization, and API Token.

  6. 를 클릭하세요 설정. 성공 화면으로 이동됩니다:\

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 선택적으로 하나 이상의 항목을 활성화할 수 있습니다 탐지 팩arrow-up-right.

    • 와 같이 반환할 수 있습니다(스타일 취향에 따라). 이벤트가 처리되지 않을 때 경고 트리거 설정은 기본값으로 로 설정됩니다. 데이터가 일정 기간 후에 로그 소스에서 흐르지 않으면 경고를 받으므로 이 설정을 그대로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법

hashtag
전제 조건

  • 클라우드 스토리지 엔터티가 생성되었습니다.

    • AWS S3를 사용하는 경우 SentinelOne 문서에 따라 구성하세요. 문서는 다음에서 확인할 수 있습니다 [SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html.

hashtag
1단계: Panther에서 새 SentinelOne Cloud Funnel 2.0 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.

  2. 를 클릭하세요 새로 만들기(Create New).

  3. “SentinelOne Cloud Funnel 2.0”을 검색한 다음 해당 타일을 클릭하세요.

    • 슬라이드 아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워진 AWS S3 버킷 옵션으로 채워집니다.

  4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

  5. 데이터 전송으로 AWS S3 를 구성하는 Panther 문서를 따르세요.

hashtag
2단계: Cloud Funnel 스트리밍 활성화

  • 클라우드 스토리지 위치로 Cloud Funnel 스트리밍을 활성화하는 방법은 SentinelOne 문서를 따르세요. 문서는 다음에서 확인할 수 있습니다 [SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming.

hashtag
지원되는 로그 유형

hashtag
SentinelOne.Activity

SentinelOne API의 활동 이벤트입니다.

hashtag
SentinelOne.DeepVisibility2

SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다.

PreviousSalesforce 이벤트 모니터링NextSlack 로그

Last updated

Was this helpful?