Share via

SentinelOne-connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

De SentinelOne-gegevensconnector biedt de mogelijkheid om algemene SentinelOne-serverobjecten op te nemen, zoals Bedreigingen, Agents, Toepassingen, Activiteiten, Beleid, Groepen en meer gebeurtenissen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview meer informatie. De connector biedt mogelijkheden om gebeurtenissen te verkrijgen die helpen bij het onderzoeken van mogelijke beveiligingsrisico's, het gebruik van samenwerking analyseren, configuratieproblemen diagnosticeren en meer.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Toepassingsinstellingen SentinelOneAPIToken
SentinelOneUrl
WorkspaceID
WorkspaceKey
logAnalyticsUri (optioneel)
Code van Azure-functie-app https://aka.ms/sentinel-SentinelOneAPI-functionapp
Log Analytics-tabellen SentinelOne_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Microsoft Corporation

Voorbeelden van query's

SentinelOne-gebeurtenissen - Alle activiteiten.

SentinelOne

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met SentinelOne (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:

  • Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
  • REST API-referenties/machtigingen: SentinelOneAPIToken is vereist. Zie de documentatie voor meer informatie over API op de https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de SentinelOne-API om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

Notitie

Deze gegevensconnector is afhankelijk van een parser die is gebaseerd op een Kusto-functie om te werken zoals verwacht. Deze wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias SentinelOne en laadt u de functiecode of klikt u hier. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.

STAP 1: configuratiestappen voor de SentinelOne-API

Volg de instructies om de referenties te verkrijgen.

  1. Meld u aan bij de SentinelOne-beheerconsole met Beheer gebruikersreferenties.
  2. Klik in de beheerconsole op Instellingen.
  3. Klik in de weergave INSTELLINGEN op GEBRUIKERS
  4. Klik op New User.
  5. Voer de gegevens in voor de nieuwe consolegebruiker.
  6. Selecteer Beheer in Rol.
  7. Klik op OPSLAAN
  8. Sla de referenties van de nieuwe gebruiker op voor gebruik in de gegevensconnector.

OPMERKING:- Beheer toegang kan worden gedelegeerd met behulp van aangepaste rollen. Raadpleeg de SentinelOne-documentatie voor meer informatie over aangepaste RBAC.

STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de SentinelOne-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (u kunt de volgende gegevens kopiëren).

Optie 1: ARM-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de SentinelOne Audit-gegevensconnector met behulp van een ARM-tempate.

  1. Klik op de knop Implementeren in Azure hieronder.

    Implementeren in AzureImplementeren in Azure Gov

  2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

OPMERKING: Binnen dezelfde resourcegroep kunt u geen Windows- en Linux-apps in dezelfde regio combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) in en implementeer. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Functions

Gebruik de volgende stapsgewijze instructies om de gegevensconnector SentinelOne-rapporten handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).

1. Een functie-app implementeren

OPMERKING: U moet VS-code voorbereiden voor azure-functieontwikkeling.

  1. Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.

  2. Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.

  3. Selecteer de map op het hoogste niveau uit uitgepakte bestanden.

  4. Kies het Azure-pictogram in de activiteitenbalk en kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app . Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk en kiest u vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure als u al bent aangemeld, gaat u naar de volgende stap.

  5. Geef de volgende informatie op bij de prompts:

    a. Map selecteren: Kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.

    b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.

    c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)

    d. Voer een globaal unieke naam in voor de functie-app: typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om er zeker van te zijn dat deze uniek is in Azure Functions. (bijvoorbeeld SOneXXXXX).

    e. Selecteer een runtime: Kies Python 3.8.

    f. Selecteer een locatie voor nieuwe resources. Kies voor betere prestaties en lagere kosten dezelfde regio waar Microsoft Sentinel zich bevindt.

  6. De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.

  7. Ga naar Azure Portal voor de configuratie van de functie-app.

2. De functie-app configureren

  1. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.

  2. Selecteer op het tabblad Toepassingsinstellingen ** Nieuwe toepassingsinstelling**.

  3. Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)

  • Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us
  1. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.