Connector „SentinelOne (über Azure Functions)“ für Microsoft Sentinel

  • Artikel

Der SentinelOne-Datenconnector bietet die Möglichkeit, häufige SentinelOne-Serverobjekte wie Bedrohungen, Agents, Anwendungen, Aktivitäten, Richtlinien, Gruppen und weitere Ereignisse über die REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu untersuchen, die Nutzung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Anwendungseinstellungen SentinelOneAPIToken
SentinelOneUrl
WorkspaceID
WorkspaceKey
logAnalyticsUri (optional)
Azure-Funktions-App-Code https://aka.ms/sentinel-SentinelOneAPI-functionapp
Log Analytics-Tabellen SentinelOne_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

SentinelOne-Ereignisse: Alle Aktivitäten

SentinelOne

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in „SentinelOne (über eine Azure Funktion)“ sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen/Berechtigungen für die REST-API: SentinelOneAPIToken ist erforderlich. Weitere Informationen finden Sie in der Dokumentation zur API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit der SentinelOne-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics-/Microsoft Sentinel-Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „SentinelOne“, und laden Sie den Funktionscode oder klicken Sie hier. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.

SCHRITT 1: Konfigurationsschritte für die SentinelOne-API

Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen.

  1. Melden Sie sich mit Anmeldeinformationen eines Administratorbenutzers an der SentinelOne-Verwaltungskonsole an.
  2. Klicken Sie in der Verwaltungskonsole auf Einstellungen.
  3. Klicken Sie in der Ansicht EINSTELLUNGEN auf BENUTZER.
  4. Klicken Sie auf Neuer Benutzer.
  5. Geben Sie die Informationen zum neuen Konsolenbenutzer ein.
  6. Wählen Sie als Rolle Admin aus.
  7. Klicken Sie auf SPEICHERN
  8. Speichern Sie die Anmeldeinformationen des neuen Benutzers für die Verwendung im Datenconnector.

HINWEIS: Der Administratorzugriff kann mithilfe benutzerdefinierter Rollen delegiert werden. Weitere Informationen zur benutzerdefinierten rollenbasierten Zugriffssteuerung (RBAC) finden Sie in der Dokumentation zu SentinelOne.

SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des SentinelOne-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs zur Hand haben (die entsprechenden Informationen können wie folgt kopiert werden).

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des SentinelOne Audit-Datenconnectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellenDeploy to Azure Gov

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie keine Windows- und Linux-Apps in der gleichen Region mischen. Wählen Sie eine vorhandene Ressourcengruppe ohne enthaltene Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie die Werte für SentinelOneAPIToken und SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) ein, und führen Sie die Bereitstellung aus. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den SentinelOne Reports-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. SOneXXXXX).

    e. Runtime auswählen: Wählen Sie Python 3.8 aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.

  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option **Neue Anwendungseinstellung** aus.

  3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (optional).

  • Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
  1. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.