SentinelOne 로그
SentinelOne Cloud Funnel 로그를 Panther 콘솔에 연결하기
개요
Panther는 SentinelOne에서 다음 로그 유형의 수집을 지원합니다:
활동 로그
SentinelOne 활동 로그는 다음과 같은 위협 관리 이벤트를 포함하여 네트워크에서 발생하는 다양한 이벤트를 캡처합니다.
사용자 지정 규칙 - 새 경고및사용자가 애플리케이션을 위협으로 표시함및에이전트 요청 제거및사용자 2FA 수정됨.Panther는 SentinelOne API의
/web/api/v2.1/activities엔드포인트에서 활동 로그를 가져옵니다. 이/activities엔드포인트는 모든 유료 SentinelOne 요금제에서 사용할 수 있습니다.이러한 로그를 수집하려면 다음의 지침을 따르세요 SentinelOne API 활동 로그를 Panther에 온보딩하는 방법아래.
Deep Visibility 2.0 로그
Deep Visibility 로그는 SentinelOne EDR 및 XDR 텔레메트리 데이터를 캡처합니다.
SentinelOne Cloud Funnel 은 로그를 클라우드 스토리지 위치로 전달하는 향상된 XDR 데이터 스트리밍 서비스입니다. Panther는 이 클라우드 스토리지 위치에서 Deep Visibility 로그를 가져옵니다.
이러한 로그를 수집하려면 다음의 지침을 따르세요 SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법아래.
SentinelOne API 활동 로그를 Panther에 온보딩하는 방법
아래 지침은 SentinelOne API 활동 로그에 적용됩니다. SentinelOne Cloud Funnel 로그를 온보딩하는 방법은 다음 섹션을 참조하세요: SentinelOne Deep Visibility 로그를 Panther에 온보딩하는 방법.
1단계: SentinelOne 서비스 사용자 및 API 토큰 생성
SentinelOne 계정에서 Viewer 역할이 있는 서비스 사용자의 API 토큰이 필요합니다. 이미 서비스 사용자로부터 API 토큰이 있는 경우 이 단계를 건너뛸 수 있습니다.
SentinelOne 대시보드의 왼쪽 탐색 막대에서 클릭하세요 설정.
설정 페이지 상단에서 클릭하세요 사용자 탭.\

사용자 페이지의 왼쪽에서 클릭하세요 서비스 사용자.
클릭합니다 작업 드롭다운을 연 다음 클릭하세요 새 서비스 사용자 생성.\

에 있는 새 서비스 사용자 생성 페이지에서 이름과 설명을 입력하고 만료 날짜를 선택한 다음 클릭하세요 다음.\

"액세스 범위 선택" 페이지에서 다음을 구성하세요:
액세스 수준:
계정계정 선택됨: 올바른 계정을 선택했는지 확인하고 역할이
뷰어\
를 클릭하세요 사용자 생성.
API 토큰을 복사하여 안전한 위치에 보관하세요. 다음 로그 소스 온보딩 과정에서 Panther에 제공해야 합니다.\

2단계: Panther에서 새 SentinelOne API 소스 생성
Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.
를 클릭하세요 새로 만들기(Create New).
“SentinelOne API”를 검색한 다음 해당 타일을 클릭하세요.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.

SentinelOne API 소스 구성:
이름(Name): 예를 들어 소스에 설명적인 이름을 입력하세요, 예:
SentinelOne API.SentinelOne API 조직: SentinelOne 계정의 서브도메인을 입력하세요. 이 값을 찾으려면 SentinelOne 대시보드에 로그인한 후 URL에서 서브도메인을 복사하세요.
예를 들어 대시보드 URL이
https://example-domain.sentinelone.net/dashboard인 경우, 귀하의 서브도메인은example-domain.
API 토큰: 이 문서의 이전 단계에서 복사한 서비스 사용자 토큰을 입력하세요.\

를 클릭하세요 설정. 성공 화면으로 이동됩니다:\

선택적으로 하나 이상의 항목을 활성화할 수 있습니다 탐지 팩.
와 같이 반환할 수 있습니다(스타일 취향에 따라). 이벤트가 처리되지 않을 때 경고 트리거 설정은 기본값으로 예로 설정됩니다. 데이터가 일정 기간 후에 로그 소스에서 흐르지 않으면 경고를 받으므로 이 설정을 그대로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

SentinelOne Cloud Funnel Deep Visibility 로그를 Panther에 온보딩하는 방법
전제 조건
클라우드 스토리지 엔터티가 생성되었습니다.
AWS S3를 사용하는 경우 SentinelOne 문서에 따라 구성하세요. 문서는 다음에서 확인할 수 있습니다
[SentinelOne Domain]/docs/en/how-to-configure-your-amazon-s3-bucket.html.
1단계: Panther에서 새 SentinelOne Cloud Funnel 2.0 소스 생성
Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.
를 클릭하세요 새로 만들기(Create New).
“SentinelOne Cloud Funnel 2.0”을 검색한 다음 해당 타일을 클릭하세요.
슬라이드 아웃 패널에서 전송 메커니즘 오른쪽 상단의 드롭다운은 미리 채워진 AWS S3 버킷 옵션으로 채워집니다.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
데이터 전송으로 AWS S3 를 구성하는 Panther 문서를 따르세요.
2단계: Cloud Funnel 스트리밍 활성화
클라우드 스토리지 위치로 Cloud Funnel 스트리밍을 활성화하는 방법은 SentinelOne 문서를 따르세요. 문서는 다음에서 확인할 수 있습니다
[SentinelOne Domain]/docs/en/how-to-enable-cloud-funnel-streaming.html#how-to-enable-cloud-funnel-streaming.
지원되는 로그 유형
SentinelOne.Activity
SentinelOne API의 활동 이벤트입니다.
SentinelOne.DeepVisibility2
SentinelOne 서비스의 Deep Visibility 2.0 이벤트입니다.
Last updated
Was this helpful?

