Recolha registos do EDR do SentinelOne

Compatível com:

Este documento explica como exportar registos do SentinelOne para o Google Cloud Storage através do SentinelOne Cloud Funnel. Uma vez que o SentinelOne não oferece uma integração incorporada para exportar diretamente registos para o Google Cloud Storage, o Cloud Funnel atua como um serviço intermediário para enviar registos para o Cloud Storage.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à plataforma Google Cloud
  • Acesso privilegiado ao SentinelOne

Configure autorizações para o Cloud Funnel aceder ao Cloud Storage

  1. Inicie sessão na Google Cloud consola.
  2. Aceda a IAM e administrador.
  3. Na página IAM, adicione uma nova função de IAM para a conta de serviço do Cloud Funnel:
    • Atribua autorizações de criador de objetos do Storage.
    • Opcional: atribua a função Visualizador de objetos de armazenamento se precisar que o Cloud Funnel leia objetos do contentor.
  4. Conceda estas autorizações à conta de serviço do Cloud Funnel.

Crie um contentor do Cloud Storage

  1. Inicie sessão na Google Cloud consola.
  2. Aceda a Armazenamento > Navegador.
  3. Clique em Criar contentor.
  4. Forneça as seguintes configurações:
    • Nome do contentor: escolha um nome exclusivo para o seu contentor (por exemplo, sentinelone-logs).
    • Localização de armazenamento: selecione a região onde o contentor vai residir (por exemplo, US-West1).
    • Classe de armazenamento: escolha uma classe de armazenamento Padrão.
  5. Clique em Criar.

Configure o funil na nuvem no SentinelOne

  1. Na consola do SentinelOne, aceda a Definições.
  2. Localize a opção Cloud Funnel (em Integrações).
  3. Se ainda não estiver ativado, clique em Ativar funil na nuvem.
  4. Depois de ativada, é-lhe pedido que configure as definições de Destino.
    • Seleção do destino: escolha Google Cloud Storage como destino para exportar registos.
    • Google Cloud Storage: faculte as credenciais do Google Cloud Storage.
    • Frequência de exportação de registos: defina a frequência de exportação de registos (por exemplo, de hora a hora ou diariamente).

Como configurar a exportação de registos do funil na nuvem

  1. Na secção Configuração do funil na nuvem da consola do SentinelOne, defina o seguinte:
    • Frequência de exportação de registos: escolha a frequência com que os registos devem ser exportados (por exemplo, a cada hora ou todos os dias).
    • Formato de registo: escolha o formato JSON.
    • Nome do contentor: introduza o nome do contentor do Google Cloud Storage que criou anteriormente (por exemplo, sentinelone-logs).
    • Opcional: Prefixo do caminho do registo: especifique um prefixo para organizar os registos no contentor (por exemplo, sentinelone-logs/).
  2. Depois de configurar as definições, clique em Guardar para aplicar as alterações.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de EDR do SentinelOne

  1. Clique no pacote SentinelOne.
  2. No tipo de registo SentinelOne EDR, especifique os valores dos seguintes campos:
    • Tipo de origem: Google Cloud Storage V2 .
    • URI do contentor de armazenamento: o URI de origem do contentor do Google Cloud Storage.
    • Opção de eliminação da origem: se pretende eliminar ficheiros ou diretórios após a transferência. Selecione a opção Eliminar ficheiros transferidos em Opção de eliminação da origem.
    • Idade máxima do ficheiro: inclua ficheiros modificados no número de dias mais recente. A predefinição é 180 dias.
    • Conta de serviço do Chronicle: copie a conta de serviço. Precisa desta conta para adicionar autorizações no contentor para que o Google SecOps possa ler ou eliminar dados no contentor.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Espaço de nomes do recurso: espaço de nomes associado ao feed.
  • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
  1. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
event.contentHash.sha256 target.process.file.sha256 O hash SHA-256 do ficheiro do processo de destino, extraído do campo event.contentHash.sha256 no registo não processado.
event.decodedContent target.labels O conteúdo descodificado de um script, extraído do campo event.decodedContent no registo não processado. É adicionado como uma etiqueta com a chave Decoded Content ao objeto de destino.
event.destinationAddress.address target.ip O endereço IP do destino, extraído do campo event.destinationAddress.address no registo não processado.
event.destinationAddress.port target.port A porta do destino, extraída do campo event.destinationAddress.port no registo não processado.
event.method network.http.method O método HTTP do evento, extraído do campo event.method no registo não processado.
event.newValueData target.registry.registry_value_data Os novos dados de valor do valor de registo, extraídos do campo event.newValueData no registo não processado.
event.process.commandLine target.process.command_line A linha de comandos do processo, extraída do campo event.process.commandLine no registo não processado.
event.process.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo, extraído do campo event.process.executable.hashes.md5 no registo não processado.
event.process.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo, extraído do campo event.process.executable.hashes.sha1 no registo não processado.
event.process.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo, extraído do campo event.process.executable.hashes.sha256 no registo não processado.
event.process.executable.path target.process.file.full_path O caminho completo do executável do processo, extraído do campo event.process.executable.path no registo não processado.
event.process.executable.sizeBytes target.process.file.size O tamanho do executável do processo, extraído do campo event.process.executable.sizeBytes no registo não processado.
event.process.fullPid.pid target.process.pid O PID do processo, extraído do campo event.process.fullPid.pid no registo não processado.
event.query network.dns.questions.name A consulta DNS, extraída do campo event.query no registo não processado.
event.regKey.path target.registry.registry_key O caminho da chave de base de dados de registo, extraído do campo event.regKey.path no registo não processado.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name O nome do valor de registo, extraído do campo event.regValue.key.value no registo não processado.
event.regValue.path target.registry.registry_key O caminho do valor do registo, extraído do campo event.regValue.path no registo não processado.
event.results network.dns.answers.data As respostas de DNS, extraídas do campo event.results no registo não processado. Os dados são divididos em respostas individuais através do separador ";".
event.source.commandLine principal.process.command_line A linha de comandos do processo de origem, extraída do campo event.source.commandLine no registo não processado.
event.source.executable.hashes.md5 principal.process.file.md5 O hash MD5 do executável do processo de origem, extraído do campo event.source.executable.hashes.md5 no registo não processado.
event.source.executable.hashes.sha1 principal.process.file.sha1 O hash SHA-1 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha1 no registo não processado.
event.source.executable.hashes.sha256 principal.process.file.sha256 O hash SHA-256 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha256 no registo não processado.
event.source.executable.path principal.process.file.full_path O caminho completo do executável do processo de origem, extraído do campo event.source.executable.path no registo não processado.
event.source.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo de origem, extraída do campo event.source.executable.signature.signed.identity no registo não processado. É adicionada como uma etiqueta com a chave Source Signature Signed Identity às etiquetas de atributos de recursos principais.
event.source.executable.sizeBytes principal.process.file.size O tamanho do executável do processo de origem, extraído do campo event.source.executable.sizeBytes no registo não processado.
event.source.fullPid.pid principal.process.pid O PID do processo de origem, extraído do campo event.source.fullPid.pid no registo não processado.
event.source.parent.commandLine principal.process.parent_process.command_line A linha de comandos do processo principal de origem, extraída do campo event.source.parent.commandLine no registo não processado.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 O hash MD5 do executável do processo principal de origem, extraído do campo event.source.parent.executable.hashes.md5 no registo não processado.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 O hash SHA-1 do executável do processo principal de origem, extraído do campo event.source.parent.executable.hashes.sha1 no registo não processado.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 O hash SHA-256 do executável do processo principal de origem, extraído do campo event.source.parent.executable.hashes.sha256 no registo não processado.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo principal de origem, extraída do campo event.source.parent.executable.signature.signed.identity no registo não processado. É adicionada como uma etiqueta com a chave Source Parent Signature Signed Identity às etiquetas de atributos de recursos principais.
event.source.parent.fullPid.pid principal.process.parent_process.pid O PID do processo principal de origem, extraído do campo event.source.parent.fullPid.pid no registo não processado.
event.source.user.name principal.user.userid O nome de utilizador do utilizador do processo de origem, extraído do campo event.source.user.name no registo não processado.
event.source.user.sid principal.user.windows_sid O SID do Windows do utilizador do processo de origem, extraído do campo event.source.user.sid no registo não processado.
event.sourceAddress.address principal.ip O endereço IP da origem, extraído do campo event.sourceAddress.address no registo não processado.
event.sourceAddress.port principal.port A porta da origem, extraída do campo event.sourceAddress.port no registo não processado.
event.target.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo de destino, extraído do campo event.target.executable.hashes.md5 no registo não processado.
event.target.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha1 no registo não processado.
event.target.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha256 no registo não processado.
event.target.executable.path target.process.file.full_path O caminho completo do executável do processo de destino, extraído do campo event.target.executable.path no registo não processado.
event.target.executable.signature.signed.identity target.resource.attribute.labels A identidade assinada do executável do processo de destino, extraída do campo event.target.executable.signature.signed.identity no registo não processado. É adicionado como uma etiqueta com a chave Target Signature Signed Identity às etiquetas de atributos de recursos de destino.
event.target.executable.sizeBytes target.process.file.size O tamanho do executável do processo de destino, extraído do campo event.target.executable.sizeBytes no registo não processado.
event.target.fullPid.pid target.process.pid O PID do processo de destino, extraído do campo event.target.fullPid.pid no registo não processado.
event.targetFile.path target.file.full_path O caminho completo do ficheiro de destino, extraído do campo event.targetFile.path no registo não processado.
event.targetFile.signature.signed.identity target.resource.attribute.labels A identidade assinada do ficheiro de destino, extraída do campo event.targetFile.signature.signed.identity no registo não processado. É adicionado como uma etiqueta com a chave Target File Signature Signed Identity às etiquetas de atributos de recursos de destino.
event.trueContext.key.value Não mapeado para o UDM.
event.type metadata.description O tipo do evento, extraído do campo event.type no registo não processado.
event.url target.url O URL do evento, extraído do campo event.url no registo não processado.
meta.agentVersion metadata.product_version, metadata.product_version A versão do agente, extraída do campo meta.agentVersion no registo não processado.
meta.computerName principal.hostname, target.hostname O nome do anfitrião do computador, extraído do campo meta.computerName no registo não processado.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform A família do sistema operativo do computador, extraída do campo meta.osFamily no registo não processado. Está mapeado para LINUX para linux e WINDOWS para windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version A revisão do sistema operativo do computador, extraída do campo meta.osRevision no registo não processado.
meta.traceId metadata.product_log_id O ID de rastreio do evento, extraído do campo meta.traceId no registo não processado.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id O UUID do computador, extraído do campo meta.uuid no registo não processado.
metadata_event_type metadata.event_type O tipo de evento, definido pela lógica do analisador com base no campo event.type.
metadata_product_name metadata.product_name O nome do produto, definido como Singularity XDR pela lógica do analisador.
metadata_vendor_name metadata.vendor_name O nome do fornecedor, definido como SentinelOne pela lógica do analisador.
network_application_protocol network.application_protocol O protocolo de aplicação da ligação de rede, definido como DNS para eventos DNS pela lógica do analisador.
network_dns_questions.name network.dns.questions.name O nome da pergunta DNS, extraído do campo event.query no registo não processado.
network_direction network.direction A direção da ligação de rede, definida como OUTBOUND para ligações de saída e INBOUND para ligações de entrada pela lógica do analisador.
network_http_method network.http.method O método HTTP do evento, extraído do campo event.method no registo não processado.
principal.process.command_line target.process.command_line A linha de comandos do processo principal, extraída do campo principal.process.command_line e mapeada para a linha de comandos do processo de destino.
principal.process.file.full_path target.process.file.full_path O caminho completo do ficheiro do processo principal, extraído do campo principal.process.file.full_path e mapeado para o caminho completo do ficheiro do processo de destino.
principal.process.file.md5 target.process.file.md5 O hash MD5 do ficheiro do processo principal, extraído do campo principal.process.file.md5 e mapeado para o MD5 do ficheiro do processo de destino.
principal.process.file.sha1 target.process.file.sha1 O hash SHA-1 do ficheiro do processo principal, extraído do campo principal.process.file.sha1 e mapeado para o SHA-1 do ficheiro do processo de destino.
principal.process.file.sha256 target.process.file.sha256 O hash SHA-256 do ficheiro do processo principal, extraído do campo principal.process.file.sha256 e mapeado para o SHA-256 do ficheiro do processo de destino.
principal.process.file.size target.process.file.size O tamanho do ficheiro do processo principal, extraído do campo principal.process.file.size e mapeado para o tamanho do ficheiro do processo de destino.
principal.process.pid target.process.pid O PID do processo principal, extraído do campo principal.process.pid e mapeado para o PID do processo de destino.
principal.user.userid target.user.userid O ID do utilizador do principal, extraído do campo principal.user.userid e mapeado para o ID do utilizador de destino.
principal.user.windows_sid target.user.windows_sid O SID do Windows do principal, extraído do campo principal.user.windows_sid e mapeado para o SID do Windows do utilizador de destino.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.