SentinelOne EDR-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SentinelOne-Logs mit SentinelOne Cloud Funnel in Google Cloud Storage exportieren. Da SentinelOne keine integrierte Funktion zum direkten Exportieren von Logs in Google Cloud Storage bietet, fungiert Cloud Funnel als Vermittlungsdienst, um Logs in Cloud Storage zu übertragen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf die Google Cloud -Plattform
  • Privilegierter Zugriff auf SentinelOne

Berechtigungen für Cloud Funnel für den Zugriff auf Cloud Storage konfigurieren

  1. Melden Sie sich in der Google Cloud -Konsole an.
  2. Rufen Sie IAM & Verwaltung auf.
  3. Fügen Sie auf der Seite IAM eine neue IAM-Rolle für das Cloud Funnel-Dienstkonto hinzu:
    • Weisen Sie die Berechtigungen Storage-Objekt-Ersteller zu.
    • Optional: Weisen Sie die Rolle Storage-Objekt-Betrachter zu, wenn Cloud Funnel Objekte aus dem Bucket lesen muss.
  4. Erteilen Sie diese Berechtigungen für das Cloud Funnel-Dienstkonto.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.
  2. Rufen Sie Storage > Browser auf.
  3. Klicken Sie auf Bucket erstellen.
  4. Geben Sie die folgenden Konfigurationen an:
    • Bucket-Name: Wählen Sie einen eindeutigen Namen für Ihren Bucket aus (z. B. sentinelone-logs).
    • Speicherort: Wählen Sie die Region aus, in der sich der Bucket befinden soll, z. B. US-West1.
    • Speicherklasse: Wählen Sie eine Standard-Speicherklasse aus.
  5. Klicken Sie auf Erstellen.

Cloud Funnel in SentinelOne konfigurieren

  1. Rufen Sie in der SentinelOne Console die Einstellungen auf.
  2. Suchen Sie die Option Cloud Funnel (unter Integrationen).
  3. Wenn sie noch nicht aktiviert ist, klicken Sie auf Cloud Funnel aktivieren.
  4. Nach der Aktivierung werden Sie aufgefordert, die Einstellungen für das Ziel zu konfigurieren.
    • Ziel auswählen: Wählen Sie Google Cloud Storage als Ziel für den Export von Logs aus.
    • Google Cloud Storage: Geben Sie die Google Cloud Storage-Anmeldedaten an.
    • Häufigkeit des Logexports: Legen Sie die Häufigkeit für den Export von Logs fest, z. B. stündlich oder täglich.

Cloud Funnel-Logexport konfigurieren

  1. Legen Sie im Abschnitt Cloud Funnel Configuration (Cloud-Funnel-Konfiguration) der SentinelOne Console Folgendes fest:
    • Häufigkeit des Log-Exports: Wählen Sie aus, wie oft Logs exportiert werden sollen (z. B. stündlich oder täglich).
    • Logformat: Wählen Sie das JSON-Format aus.
    • Bucket-Name: Geben Sie den Namen des Google Cloud Storage-Buckets ein, den Sie zuvor erstellt haben (z. B. sentinelone-logs).
    • Optional: Präfix für Logpfad: Geben Sie ein Präfix an, um Logs im Bucket zu organisieren (z. B. sentinelone-logs/).
  2. Klicken Sie nach der Konfiguration der Einstellungen auf Speichern, um die Änderungen zu übernehmen.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Sentinel EDR Logs (Sentinel EDR-Protokolle).
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie Sentinel EDR als Protokolltyp aus.
  7. Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
    • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Der Quell-URI des Google Cloud Storage-Bucket.
  • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
event.contentHash.sha256 target.process.file.sha256 Der SHA-256-Hash der Datei des Zielprozesses, der aus dem Feld event.contentHash.sha256 im Rohlog extrahiert wurde.
event.decodedContent target.labels Der decodierte Inhalt eines Skripts, der aus dem Feld event.decodedContent im Rohlog extrahiert wurde. Es wird dem Zielobjekt als Label mit dem Schlüssel Decoded Content hinzugefügt.
event.destinationAddress.address target.ip Die IP-Adresse des Ziels, die aus dem Feld event.destinationAddress.address im Rohlog extrahiert wurde.
event.destinationAddress.port target.port Der Port des Ziels, der aus dem Feld event.destinationAddress.port im Rohlog extrahiert wurde.
event.method network.http.method Die HTTP-Methode des Ereignisses, die aus dem Feld event.method im Rohlog extrahiert wurde.
event.newValueData target.registry.registry_value_data Die neuen Wertdaten des Registrierungswerts, die aus dem Feld event.newValueData im Rohlog extrahiert wurden.
event.process.commandLine target.process.command_line Die Befehlszeile des Prozesses, die aus dem Feld event.process.commandLine im Rohlog extrahiert wurde.
event.process.executable.hashes.md5 target.process.file.md5 Der MD5-Hash der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.hashes.md5 im Rohlog extrahiert wurde.
event.process.executable.hashes.sha1 target.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Prozesses, extrahiert aus dem Feld event.process.executable.hashes.sha1 im Rohlog.
event.process.executable.hashes.sha256 target.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Prozesses, extrahiert aus dem Feld event.process.executable.hashes.sha256 im Rohlog.
event.process.executable.path target.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.path im Rohlog extrahiert wurde.
event.process.executable.sizeBytes target.process.file.size Die Größe der ausführbaren Datei des Prozesses, die aus dem Feld event.process.executable.sizeBytes im Rohlog extrahiert wurde.
event.process.fullPid.pid target.process.pid Die PID des Prozesses, die aus dem Feld event.process.fullPid.pid im Rohlog extrahiert wurde.
event.query network.dns.questions.name Die DNS-Abfrage, die aus dem Feld event.query im Rohlog extrahiert wurde.
event.regKey.path target.registry.registry_key Der Pfad des Registrierungsschlüssels, der aus dem Feld event.regKey.path im Rohlog extrahiert wurde.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Der Name des Registrierungswerts, der aus dem Feld event.regValue.key.value im Rohlog extrahiert wurde.
event.regValue.path target.registry.registry_key Der Pfad des Registrierungswerts, der aus dem Feld event.regValue.path im Rohlog extrahiert wird.
event.results network.dns.answers.data Die DNS-Antworten, die aus dem Feld event.results im Rohlog extrahiert wurden. Die Daten werden mit dem Trennzeichen „;“ in einzelne Antworten aufgeteilt.
event.source.commandLine principal.process.command_line Die Befehlszeile des Quellprozesses, die aus dem Feld event.source.commandLine im Rohlog extrahiert wurde.
event.source.executable.hashes.md5 principal.process.file.md5 Der MD5-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.hashes.md5 im Rohlog extrahiert wurde.
event.source.executable.hashes.sha1 principal.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.hashes.sha1 im Rohlog extrahiert wurde.
event.source.executable.hashes.sha256 principal.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.hashes.sha256 im Rohlog extrahiert wurde.
event.source.executable.path principal.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.path im Rohlog extrahiert wurde.
event.source.executable.signature.signed.identity principal.resource.attribute.labels Die signierte Identität der ausführbaren Datei des Quellprozesses, die aus dem Feld event.source.executable.signature.signed.identity im Rohlog extrahiert wurde. Es wird als Label mit dem Schlüssel Source Signature Signed Identity zu den Attributlabels der Hauptressource hinzugefügt.
event.source.executable.sizeBytes principal.process.file.size Die Größe der ausführbaren Datei des Quellprozesses, die aus dem Feld event.source.executable.sizeBytes im Rohlog extrahiert wurde.
event.source.fullPid.pid principal.process.pid Die PID des Quellprozesses, die aus dem Feld event.source.fullPid.pid im Rohlog extrahiert wurde.
event.source.parent.commandLine principal.process.parent_process.command_line Die Befehlszeile des übergeordneten Quellprozesses, die aus dem Feld event.source.parent.commandLine im Rohlog extrahiert wurde.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 Der MD5-Hash der ausführbaren Datei des übergeordneten Quellprozesses, der aus dem Feld event.source.parent.executable.hashes.md5 im Rohlog extrahiert wurde.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des übergeordneten Quellprozesses, der aus dem Feld event.source.parent.executable.hashes.sha1 im Rohlog extrahiert wurde.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.parent.executable.hashes.sha256 im Rohlog extrahiert wurde.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels Die signierte Identität der ausführbaren Datei des übergeordneten Quellprozesses, die aus dem Feld event.source.parent.executable.signature.signed.identity im Rohlog extrahiert wurde. Es wird als Label mit dem Schlüssel Source Parent Signature Signed Identity zu den Attributlabels der Hauptressource hinzugefügt.
event.source.parent.fullPid.pid principal.process.parent_process.pid Die PID des übergeordneten Quellprozesses, die aus dem Feld event.source.parent.fullPid.pid im Rohlog extrahiert wird.
event.source.user.name principal.user.userid Der Nutzername des Nutzers des Quellprozesses, der aus dem Feld event.source.user.name im Rohlog extrahiert wurde.
event.source.user.sid principal.user.windows_sid Die Windows-SID des Nutzers des Quellprozesses, die aus dem Feld event.source.user.sid im Rohlog extrahiert wurde.
event.sourceAddress.address principal.ip Die IP-Adresse der Quelle, die aus dem Feld event.sourceAddress.address im Rohlog extrahiert wurde.
event.sourceAddress.port principal.port Der Port der Quelle, der aus dem Feld event.sourceAddress.port im Rohlog extrahiert wurde.
event.target.executable.hashes.md5 target.process.file.md5 Der MD5-Hash der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.hashes.md5 im Rohlog extrahiert wurde.
event.target.executable.hashes.sha1 target.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.hashes.sha1 im Rohlog extrahiert wurde.
event.target.executable.hashes.sha256 target.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.hashes.sha256 im Rohlog extrahiert wurde.
event.target.executable.path target.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.path im Rohlog extrahiert wurde.
event.target.executable.signature.signed.identity target.resource.attribute.labels Die signierte Identität der ausführbaren Datei des Zielprozesses, die aus dem Feld event.target.executable.signature.signed.identity im Rohlog extrahiert wurde. Es wird als Label mit dem Schlüssel Target Signature Signed Identity zu den Attributlabels der Zielressource hinzugefügt.
event.target.executable.sizeBytes target.process.file.size Die Größe der ausführbaren Datei des Zielprozesses, die aus dem Feld event.target.executable.sizeBytes im Rohlog extrahiert wurde.
event.target.fullPid.pid target.process.pid Die PID des Zielprozesses, die aus dem Feld event.target.fullPid.pid im Rohlog extrahiert wird.
event.targetFile.path target.file.full_path Der vollständige Pfad der Zieldatei, extrahiert aus dem Feld event.targetFile.path im Rohlog.
event.targetFile.signature.signed.identity target.resource.attribute.labels Die signierte Identität der Zieldatei, die aus dem Feld event.targetFile.signature.signed.identity im Rohlog extrahiert wurde. Es wird als Label mit dem Schlüssel Target File Signature Signed Identity zu den Attributlabels der Zielressource hinzugefügt.
event.trueContext.key.value Nicht dem UDM zugeordnet.
event.type metadata.description Der Typ des Ereignisses, der aus dem Feld event.type im Rohlog extrahiert wurde.
event.url target.url Die URL des Ereignisses, die aus dem Feld event.url im Rohlog extrahiert wurde.
meta.agentVersion metadata.product_version, metadata.product_version Die Version des Agents, die aus dem Feld meta.agentVersion im Rohlog extrahiert wurde.
meta.computerName principal.hostname, target.hostname Der Hostname des Computers, der aus dem Feld meta.computerName im Rohlog extrahiert wurde.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Die Betriebssystemfamilie des Computers, die aus dem Feld meta.osFamily im Rohlog extrahiert wird. Sie ist LINUX für linux und WINDOWS für windows zugeordnet.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Die Betriebssystemversion des Computers, die aus dem Feld meta.osRevision im Rohlog extrahiert wurde.
meta.traceId metadata.product_log_id Die Trace-ID des Ereignisses, die aus dem Feld meta.traceId im Rohlog extrahiert wurde.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id Die UUID des Computers, die aus dem Feld meta.uuid im Rohlog extrahiert wurde.
metadata_event_type metadata.event_type Der Typ des Ereignisses, der von der Parserlogik basierend auf dem Feld event.type festgelegt wird.
metadata_product_name metadata.product_name Der Name des Produkts, der von der Parserlogik auf Singularity XDR festgelegt wird.
metadata_vendor_name metadata.vendor_name Der Name des Anbieters, der von der Parserlogik auf SentinelOne festgelegt wird.
network_application_protocol network.application_protocol Das Anwendungsprotokoll der Netzwerkverbindung, das von der Parserlogik für DNS-Ereignisse auf DNS festgelegt wird.
network_dns_questions.name network.dns.questions.name Der Name der DNS-Anfrage, die aus dem Feld event.query im Rohlog extrahiert wurde.
network_direction network.direction Die Richtung der Netzwerkverbindung, die von der Parserlogik auf OUTBOUND für ausgehende Verbindungen und auf INBOUND für eingehende Verbindungen festgelegt wird.
network_http_method network.http.method Die HTTP-Methode des Ereignisses, die aus dem Feld event.method im Rohlog extrahiert wurde.
principal.process.command_line target.process.command_line Die Befehlszeile des Hauptprozesses, die aus dem Feld principal.process.command_line extrahiert und der Befehlszeile des Zielprozesses zugeordnet wird.
principal.process.file.full_path target.process.file.full_path Der vollständige Pfad der Datei des Hauptprozesses, der aus dem Feld principal.process.file.full_path extrahiert und dem vollständigen Pfad der Zieldatei des Prozesses zugeordnet wird.
principal.process.file.md5 target.process.file.md5 Der MD5-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.md5 extrahiert und dem MD5-Hash der Zieldatei des Prozesses zugeordnet wird.
principal.process.file.sha1 target.process.file.sha1 Der SHA-1-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.sha1 extrahiert und dem SHA-1 der Zieldatei des Prozesses zugeordnet wird.
principal.process.file.sha256 target.process.file.sha256 Der SHA-256-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.sha256 extrahiert und dem SHA-256 der Zieldatei des Prozesses zugeordnet wird.
principal.process.file.size target.process.file.size Die Größe der Datei des Hauptprozesses, die aus dem Feld principal.process.file.size extrahiert und der Dateigröße des Zielprozesses zugeordnet wird.
principal.process.pid target.process.pid Die PID des Hauptprozesses, die aus dem Feld principal.process.pid extrahiert und der PID des Zielprozesses zugeordnet wird.
principal.user.userid target.user.userid Die Nutzer-ID des Prinzipal, die aus dem Feld principal.user.userid extrahiert und der Zielnutzer-ID zugeordnet wird.
principal.user.windows_sid target.user.windows_sid Die Windows-SID des Prinzipal, die aus dem Feld principal.user.windows_sid extrahiert und der Windows-SID des Zielnutzers zugeordnet wurde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten