Łącznik SentinelOne (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych SentinelOne umożliwia pozyskiwanie typowych obiektów serwera SentinelOne, takich jak zagrożenia, agenci, aplikacje, działania, zasady, grupy i inne zdarzenia do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST. Zapoznaj się z dokumentacją interfejsu API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview aby uzyskać więcej informacji. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Ustawienia aplikacji SentinelOneAPIToken
SentinelOneUrl
Identyfikator obszaru roboczego
Klucz obszaru roboczego
logAnalyticsUri (opcjonalnie)
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-SentinelOneAPI-functionapp
Tabele usługi Log Analytics SentinelOne_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Zdarzenia SentinelOne — wszystkie działania.

SentinelOne

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację SentinelOne (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest token SentinelOneAPIToken . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w systemie https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązania połączenia z interfejsem API SentinelOne w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias SentinelOne i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

KROK 1. Kroki konfiguracji interfejsu API SentinelOne

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Zaloguj się do konsoli zarządzania SentinelOne przy użyciu Administracja poświadczeń użytkownika.
  2. W konsoli zarządzania kliknij Ustawienia.
  3. W widoku USTAWIENIA kliknij pozycję UŻYTKOWNICY
  4. Kliknij pozycję New User (Nowy użytkownik).
  5. Wprowadź informacje dla nowego użytkownika konsoli.
  6. W obszarze Rola wybierz pozycję Administracja.
  7. Kliknij pozycję ZAPISZ
  8. Zapisz poświadczenia nowego użytkownika do użycia w łączniku danych.

UWAGA: Administracja dostęp można delegować przy użyciu ról niestandardowych. Zapoznaj się z dokumentacją usługi SentinelOne, aby dowiedzieć się więcej o niestandardowej kontroli dostępu opartej na rolach.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych SentinelOne należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika danych SentinelOne Audit przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie AzureWdrażanie na platformie Azure dla instytucji rządowych

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź wartość SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) i wdróż. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Usługi SentinelOne za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. SOneXXXXX).

    e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  2. Na karcie Ustawienia aplikacji wybierz pozycję ** Nowe ustawienie aplikacji**.

  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.