SentinelOne 알림 로그 수집

이 문서에서는 Google Security Operations 피드를 설정하여 SentinelOne Alert 로그를 수집하는 방법과 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

일반적인 배포는 SentinelOne Alert 및 Google SecOps에 로그를 전송하도록 구성된 Google SecOps 피드로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

• SentinelOne: 로그를 수집하는 제품입니다.

• Google SecOps 피드: SentinelOne에서 로그를 가져오고 로그를 Google SecOps에 작성하는 Google SecOps 피드입니다.

• Google SecOps: Google SecOps는 SentinelOne의 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 SENTINELONE_ALERT 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• SentinelOne의 활성 Singularity Complete 구독 자세한 내용은 플랫폼 패키지를 참고하세요.
• GET Alerts 및 GET Threats API v2.1
• 전역 또는 계정 수준의 관리자 역할 관리자 역할을 얻으려면 관리자에게 문의하세요.
• SentinelOne 에이전트를 설치할 수 있는 관리자 권한 관리자 권한을 얻으려면 관리자에게 문의하세요.

SentinelOne 설정 방법:

API 토큰을 생성하려면 다음 단계를 따르세요. 1. SentinelOne 관리 콘솔에서 설정으로 이동한 다음 사용자를 클릭합니다. 1. API 토큰을 생성할 관리자 사용자를 클릭합니다. 1. 작업 > API 토큰 작업 > API 토큰 생성을 클릭합니다. Google SecOps 플랫폼에서 인증 HTTP 헤더를 채우려면 이 API 토큰이 필요합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

• SIEM 설정 > 피드 > 새 피드 추가
• 콘텐츠 허브 > 콘텐츠 팩 > 시작하기

SentinelOne 알림 피드를 설정하는 방법

1. SentinelOne 팩을 클릭합니다.
2. SentinelOne Alerts 로그 유형을 찾습니다.
3. 다음 필드의 값을 지정합니다.
   • 소스 유형: 서드 파티 API (권장)
   • 인증 HTTP 헤더: SentinelOne 플랫폼에서 생성한 API 토큰을 입력합니다.
   • API 호스트 이름: SentinelOne 플랫폼 호스트 이름
   • 초기 시작 시간: 알림 가져오기를 시작할 시간
   • 알림 API 구독 여부: 고객이 알림 AOI를 구독했는지 여부

   고급 옵션

• 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
• 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
• 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

1. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

지원되는 SentinelOne Alert 로그 유형

SentinelOne Alert 파서는 알림 및 위협 로그 유형을 지원합니다.

지원되는 SentinelOne 알림 로그 형식

SentinelOne Alert 파서는 JSON 형식과 CEF 형식의 로그를 모두 지원합니다.

지원되는 SentinelOne 알림 샘플 로그

• JSON

    {
      "accountId": "1235512064263015539",
      "accountName": "dummy",
      "agentComputerName": "dummy",
      "agentDomain": "WORKGROUP",
      "agentId": "1245680559492378683",
      "agentInfected": false,
      "agentIp": "198.51.100.0",
      "agentIsActive": false,
      "agentIsDecommissioned": true,
      "agentMachineType": "server",
      "agentNetworkStatus": "disconnecting",
      "agentOsType": "windows",
      "agentVersion": "21.6.2.272",
      "annotation": "Automatically resolved by SentinelOne Console",
      "automaticallyResolved": true,
      "browserType": null,
      "certId": "",
      "classification": "Malware",
      "classificationSource": "Static",
      "classifierName": "MANUAL",
      "cloudVerdict": null,
      "collectionId": "1251555311751427932",
      "commandId": "1251555264615838432",
      "createdAt": "2022-09-03T19:36:59.540349Z",
      "createdDate": "2021-09-23T19:36:57.867000Z",
      "description": "malware detected - not mitigated yet (cmd.exe (interactive session))",
      "engines": [
        "manual"
      ],
      "external_ticket_id": null,
      "fileContentHash": "c3d10d8d9fce936e5ca32f930f20c8e703619f71",
      "fileCreatedDate": null,
      "fileDisplayName": "Unknown file",
      "fileExtensionType": "None",
      "fileIsDotNet": null,
      "fileIsExecutable": false,
      "fileIsSystem": false,
      "fileMaliciousContent": null,
      "fileObjectId": "3EFA3EFA3EFA3EFA",
      "filePath": "/home/gitlab-runner/webshell_hits/old.hits-go-here/fedcd896ef45bf145d7e880edd4e5390.dll",
      "fileSha256": null,
      "fileVerificationType": "NotSigned",
      "fromCloud": false,
      "fromScan": false,
      "id": "1251555311717873499",
      "indicators": [
        {
          "categoryName": "test Hiding/Stealthiness",
          "description": "This binary may have Anti-sandboxing capabilities to evade detection in sandbox tools",
          "id": 126
        },
        {
          "categoryName": "Hiding/Stealthiness",
          "description": "sample desc There are signs of a backdoor in the PE header",
          "id": 127
        },
        {
          "categoryName": "Test category name Hiding/Stealthiness",
          "description": "This binary might try to schedule a task or modify a scheduled task",
          "id": 129
        }
      ],
      "initiatedBy": "dvCommand",
      "initiatedByDescription": "Deep Visibility Command",
      "initiatingUserId": "1245152494739966182",
      "isCertValid": false,
      "isInteractiveSession": true,
      "isPartialStory": false,
      "maliciousGroupId": "DEA2CA314B3AB7E4",
      "maliciousProcessArguments": "",
      "markedAsBenign": true,
      "mitigationMode": "protect",
      "mitigationReport": {
        "kill": {
          "status": "success"
        },
        "network_quarantine": {
          "status": null
        },
        "quarantine": {
          "status": "success"
        },
        "remediate": {
          "status": null
        },
        "rollback": {
          "status": null
        },
        "unquarantine": {
          "status": null
        }
      },
      "mitigationStatus": "mitigated",
      "publisher": "",
      "rank": null,
      "resolved": true,
      "siteId": "1235512064330124404",
      "siteName": "Default site",
      "threatAgentVersion": "21.6.2.272",
      "threatName": "cmd.exe (interactive session)",
      "updatedAt": "2021-10-23T20:34:15.668440Z",
      "username": "dummy\\\\Administrator",
      "whiteningOptions": []
    }
  
  

• CEF

    <86>Nov  5 11:53:06 abcdefg sshd[1475549]: reprocess config line 158: Deprecated option RhostsRSAAuthentication
  

필드 매핑 참조

이 섹션에서는 Google SecOps 파서가 SentinelOne Alert 필드를 Google SecOps 통합 데이터 모델(UDM) 필드에 매핑하는 방법을 설명합니다.

필드 매핑 참조: 이벤트 식별자에서 이벤트 유형으로

다음 표에는 SENTINELONE_ALERT 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.

필드 매핑 참조: SENTINELONE_ALERT

다음 표에는 SENTINELONE_ALERT 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

다음 단계

• Google Security Operations에 데이터 수집

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.