Quellkonfiguration für SentinelOne - Amazon CloudWatch
Integration mit SentinelOne Singularity EndpointAnweisungen zur Einrichtung von Amazon S3 und Amazon SQSKonfiguration der CloudWatch PipelineUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für SentinelOne

Integration mit SentinelOne Singularity Endpoint

SentinelOne Singularity Endpoint ist eine KI-gestützte Endpunktsicherheitsplattform, die Echtzeitschutz vor Malware, Ransomware und Zero-Day-Angriffen bietet. Sie nutzt Verhaltensanalysen und maschinelles Lernen, um Bedrohungen selbstständig zu erkennen und zu stoppen. Die Plattform unterstützt automatisierte Reaktion, Rollback und Bedrohungsbehebung. Sie bietet zentrale Transparenz und Kontrolle über alle Endgeräte hinweg. CloudWatch Pipelines ermöglicht es Ihnen, diese Daten in CloudWatch Protokollen zu sammeln.

Anweisungen zur Einrichtung von Amazon S3 und Amazon SQS

Die Konfiguration von SentinelOne Singularity Endpoint für das Senden von Protokollen an einen Amazon S3 S3-Bucket umfasst mehrere Schritte, die sich hauptsächlich auf die Einrichtung des Amazon S3 S3-Buckets, der Amazon SQS SQS-Warteschlange, der IAM-Rollen und die anschließende Konfiguration der Amazon Telemetry Pipeline konzentrieren.

  • Erstellen Sie einen Amazon S3 S3-Bucket, der SentinelOne Singularity Endpoint-Protokolle speichert.

  • Konfigurieren Sie Singularity Cloud Funnel oder einen Syslog-Zwischenserver mit Amazon S3 S3-Bucket-Details, um Protokolle zu übertragen.

  • Konfigurieren Sie den Amazon S3 S3-Bucket so, dass er Ereignisbenachrichtigungen erstellt, insbesondere für „Object Create“ -Ereignisse. Diese Benachrichtigungen sollten an eine Amazon SQS SQS-Warteschlange gesendet werden.

  • Erstellen Sie eine Amazon SQS SQS-Warteschlange in derselben AWS Region wie Ihr Amazon S3 S3-Bucket. Diese Warteschlange erhält Benachrichtigungen, wenn dem Amazon S3 S3-Bucket neue Protokolldateien hinzugefügt werden.

Konfiguration der CloudWatch Pipeline

Um die Pipeline für das Lesen von Protokollen zu konfigurieren, wählen Sie SentinelOne Singularity Endpoint als Datenquelle. Nachdem Sie die erforderlichen Informationen eingegeben und die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und die SentinelOne Singularity Endpoint-Ereignisse, die Dateisystemaktivität (1001), Prozessaktivität (1007), HTTP-Aktivität (4002) und DNS-Aktivität (4003) zugeordnet sind.

Die Dateisystemaktivität umfasst die folgenden Ereignisse:

  • BÖSARTIGE DATEI

  • ERSTELLUNG VON DATEIEN

  • LÖSCHEN VON DATEIEN

  • ÄNDERUNG DER DATEI

  • DATEIUMBENENNUNG

  • DATEIEN SCANNEN

Die Prozessaktivität umfasst die folgenden Ereignisse:

  • PROZESSERSTELLUNG

  • BEENDIGUNG DES PROZESSES

  • THREAD DUPLIZIEREN

  • REMOTE-THREAD

  • ÄNDERUNG DES PROZESSES

  • PROZESS DUPLIZIEREN

  • PROZESS ÖFFNEN

  • PROZESSINJEKTION

  • PROZESSMODIFIKATOR

  • PROZESS BEENDEN

  • ÖFFNET EINEN PRIVILEGIERTEN PROZESS VOM KERNEL

Mehr anzeigenWeniger anzeigen

Die HTTP-Aktivität umfasst die folgenden Ereignisse:

  • HTTP

Die DNS-Aktivität umfasst die folgenden Ereignisse:

  • DNS