SentinelOne의 소스 구성 - Amazon CloudWatch
SentinelOne Singularity Endpoint와 통합Amazon S3 및 Amazon SQS를 설정하기 위한 지침CloudWatch 파이프라인 구성지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

SentinelOne의 소스 구성

SentinelOne Singularity Endpoint와 통합

SentinelOne Singularity Endpoint는 맬웨어, 랜섬웨어, 제로데이 공격에 대한 실시간 보호 기능을 제공하는 AI 기반 엔드포인트 보안 플랫폼입니다. 이 플랫폼에서는 동작 분석 및 기계 학습을 사용하여 위협을 자율적으로 탐지하고 중지합니다. 또한 이 플랫폼에서는 자동 응답, 롤백, 위협 해결을 지원합니다. 그리고 모든 엔드포인트 전반에 걸쳐 중앙 집중식 가시성과 제어를 제공합니다. CloudWatch 파이프라인을 사용하면 CloudWatch Logs에서 이러한 데이터를 수집할 수 있습니다.

Amazon S3 및 Amazon SQS를 설정하기 위한 지침

Amazon S3 버킷으로 로그를 전송하도록 SentinelOne Singularity Endpoint를 구성하려면 Amazon S3 버킷, Amazon SQS 대기열, IAM 역할을 설정한 다음 Amazon Telemetry Pipeline을 구성하는 데 주로 중점을 둔 몇 가지 단계가 필요합니다.

  • SentinelOne Singularity Endpoint 로그를 저장하는 Amazon S3 버킷을 생성합니다.

  • Amazon S3 버킷 세부 정보로 Singularity Cloud Funnel 또는 중간 Syslog 서버를 구성하여 로그를 푸시합니다.

  • 특히 '객체 생성' 이벤트에 대한 이벤트 알림을 생성하도록 Amazon S3 버킷을 구성합니다. 이러한 알림은 Amazon SQS 대기열로 전송해야 합니다.

  • Amazon S3 버킷과 동일한 AWS 리전에서 Amazon SQS 대기열을 생성합니다. 새 로그 파일이 Amazon S3 버킷에 추가되면 이 대기열에 알림이 수신됩니다.

CloudWatch 파이프라인 구성

로그를 읽도록 파이프라인을 구성하려면 SentinelOne Singularity Endpoint를 데이터 소스로 선택합니다. 필수 정보를 입력한 후 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 파일 시스템 활동(1001), 프로세스 활동(1007), HTTP 활동(4002), DNS 활동(4003)에 매핑되는 SentinelOne Singularity Endpoint 이벤트를 지원합니다.

파일 시스템 활동에는 다음 이벤트가 포함됩니다.

  • MALICIOUSFILE

  • FILECREATION

  • FILEDELETION

  • FILEMODIFICATION

  • FILERENAME

  • FILESCAN

프로세스 활동에는 다음 이벤트가 포함됩니다.

  • PROCESSCREATION

  • PROCESSTERMINATION

  • DUPLICATETHREAD

  • REMOTETHREAD

  • PROCESSMODIFICATION

  • DUPLICATEPROCESS

  • OPENPROCESS

  • PROCESSINJECTION

  • PROCESSMODIFIER

  • PROCESSEXIT

  • OPENPRIVILEGEDPROCESSFROMKERNEL

더보기간략히 보기

HTTP 활동에는 다음 이벤트가 포함됩니다.

  • HTTP

DNS 활동에는 다음 이벤트가 포함됩니다.

  • DNS