Configurazione del codice sorgente per SentinelOne - Amazon CloudWatch
Integrazione con SentinelOne Singularity EndpointIstruzioni per configurare Amazon S3 e Amazon SQSConfigurazione della pipeline CloudWatchClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per SentinelOne

Integrazione con SentinelOne Singularity Endpoint

SentinelOne Singularity Endpoint è una piattaforma di sicurezza degli endpoint basata sull'intelligenza artificiale che fornisce protezione in tempo reale contro malware, ransomware e attacchi zero-day. Utilizza l'analisi comportamentale e l'apprendimento automatico per rilevare e bloccare le minacce in modo autonomo. La piattaforma supporta la risposta automatica, il rollback e la correzione delle minacce. Offre visibilità e controllo centralizzati su tutti gli endpoint. CloudWatch pipelines consente di raccogliere questi dati in Logs. CloudWatch

Istruzioni per configurare Amazon S3 e Amazon SQS

La configurazione di SentinelOne Singularity Endpoint per l'invio di log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS, dei ruoli IAM e quindi sulla configurazione di Amazon Telemetry Pipeline.

  • Crea un bucket Amazon S3 che archivia i log di SentinelOne Singularity Endpoint.

  • Configura Singularity Cloud Funnel o il server Syslog intermedio con i dettagli del bucket Amazon S3 per inviare i log.

  • Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate a una coda Amazon SQS.

  • Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.

Configurazione della pipeline CloudWatch

Per configurare la pipeline per leggere i log, scegli SentinelOne Singularity Endpoint come origine dati. Dopo aver inserito le informazioni richieste e aver creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi SentinelOne Singularity Endpoint mappati a File System Activity (1001), Process Activity (1007), HTTP Activity (4002) e DNS Activity (4003).

File System Activity contiene i seguenti eventi:

  • FILE DANNOSO

  • CREAZIONE DI FILE

  • ELIMINAZIONE DI FILE

  • MODIFICA DEL FILE

  • RIDENOMINAZIONE DEL FILE

  • SCANSIONE DEI FILE

Process Activity contiene i seguenti eventi:

  • CREAZIONE DEL PROCESSO

  • TERMINAZIONE DEL PROCESSO

  • THREAD DUPLICATO

  • THREAD REMOTO

  • MODIFICA DEL PROCESSO

  • PROCESSO DUPLICATO

  • PROCESSO APERTO

  • PROCESSO DI INIEZIONE

  • MODIFICATORE DI PROCESSO

  • USCITA DAL PROCESSO

  • APRI UN PROCESSO PRIVILEGIATO DAL KERNEL

Mostra piùMostra meno

L'attività HTTP contiene i seguenti eventi:

  • HTTP

L'attività DNS contiene i seguenti eventi:

  • DNS