Recoger registros de SentinelOne EDR

Disponible en:

En este documento se explica cómo exportar registros de SentinelOne a Google Cloud Storage mediante SentinelOne Cloud Funnel. Como SentinelOne no ofrece una integración integrada para exportar registros directamente a Google Cloud Storage, Cloud Funnel actúa como servicio intermediario para enviar registros a Cloud Storage.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a la plataforma Google Cloud
  • Acceso privilegiado a SentinelOne

Configurar permisos para que Cloud Funnel acceda a Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a IAM y administración.
  3. En la página IAM, añade un nuevo rol de gestión de identidades y accesos para la cuenta de servicio de Cloud Funnel:
    • Asigne los permisos Creador de objetos de Storage.
    • Opcional: asigna el rol Visor de objetos de Storage si necesitas que Cloud Funnel lea objetos del segmento.
  4. Concede estos permisos a la cuenta de servicio de embudos de conversión de Cloud.

Crear un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Almacenamiento > Navegador.
  3. Haz clic en Crear segmento.
  4. Proporcione las siguientes configuraciones:
    • Nombre del segmento: elige un nombre único para tu segmento (por ejemplo, sentinelone-logs).
    • Ubicación de almacenamiento: selecciona la región en la que se ubicará el segmento (por ejemplo, US-West1).
    • Clase de almacenamiento: elige una clase de almacenamiento Estándar.
  5. Haz clic en Crear.

Configurar Cloud Funnel en SentinelOne

  1. En la consola de SentinelOne, ve a Settings (Configuración).
  2. Busca la opción Cloud Funnel (en Integraciones).
  3. Si aún no está habilitada, haz clic en Habilitar embudo de conversión en la nube.
  4. Una vez habilitada, se te pedirá que configures los ajustes de Destino.
    • Selección del destino: elija Google Cloud Storage como destino para exportar los registros.
    • Google Cloud Storage: proporcione las credenciales de Google Cloud Storage.
    • Frecuencia de exportación de registros: define la frecuencia con la que se exportarán los registros (por ejemplo, cada hora o cada día).

Cómo configurar la exportación de registros de embudo de conversión de Cloud

  1. En la sección Configuración del embudo de Cloud de la consola de SentinelOne, defina lo siguiente:
    • Frecuencia de exportación de registros: elija la frecuencia con la que se deben exportar los registros (por ejemplo, cada hora o cada día).
    • Formato de registro: elige el formato JSON.
    • Nombre del segmento: escribe el nombre del segmento de Google Cloud Storage que has creado anteriormente (por ejemplo, sentinelone-logs).
    • Opcional: Prefijo de ruta de registro: especifica un prefijo para organizar los registros en el segmento (por ejemplo, sentinelone-logs/).
  2. Una vez que haya configurado los ajustes, haga clic en Guardar para aplicar los cambios.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de EDR de SentinelOne

  1. Haz clic en el paquete SentinelOne.
  2. Busca el feed SentinelOne EDR.
  3. Especifique los valores de los siguientes campos:
    • Tipo de fuente: Google Cloud Storage V2.
    • URI del segmento de almacenamiento: el URI de origen del segmento de Google Cloud Storage.
    • Opción de eliminación de la fuente: si quieres eliminar los archivos o directorios después de transferirlos. Selecciona la opción Eliminar archivos transferidos en Opción de eliminación de la fuente.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • Cuenta de servicio de Chronicle: copia la cuenta de servicio. La necesitarás para añadir permisos en el segmento a esta cuenta de servicio y permitir que Google SecOps lea o elimine datos del segmento.

Opciones avanzadas

  • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
  • Espacio de nombres del recurso: espacio de nombres asociado al feed.
  • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
  1. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
event.contentHash.sha256 target.process.file.sha256 El hash SHA-256 del archivo del proceso de destino, extraído del campo event.contentHash.sha256 del registro sin procesar.
event.decodedContent target.labels El contenido descodificado de una secuencia de comandos, extraído del campo event.decodedContent del registro sin procesar. Se añade como una etiqueta con la clave Decoded Content al objeto de destino.
event.destinationAddress.address target.ip Dirección IP del destino, extraída del campo event.destinationAddress.address del registro sin procesar.
event.destinationAddress.port target.port Puerto del destino, extraído del campo event.destinationAddress.port del registro sin procesar.
event.method network.http.method Método HTTP del evento, extraído del campo event.method del registro sin procesar.
event.newValueData target.registry.registry_value_data Los nuevos datos de valor del valor del registro, extraídos del campo event.newValueData del registro sin procesar.
event.process.commandLine target.process.command_line La línea de comandos del proceso, extraída del campo event.process.commandLine del registro sin procesar.
event.process.executable.hashes.md5 target.process.file.md5 El hash MD5 del ejecutable del proceso, extraído del campo event.process.executable.hashes.md5 del registro sin procesar.
event.process.executable.hashes.sha1 target.process.file.sha1 El hash SHA-1 del ejecutable del proceso, extraído del campo event.process.executable.hashes.sha1 del registro sin procesar.
event.process.executable.hashes.sha256 target.process.file.sha256 El hash SHA-256 del ejecutable del proceso, extraído del campo event.process.executable.hashes.sha256 del registro sin procesar.
event.process.executable.path target.process.file.full_path Ruta completa del archivo ejecutable del proceso, extraída del campo event.process.executable.path del registro sin procesar.
event.process.executable.sizeBytes target.process.file.size Tamaño del archivo ejecutable del proceso, extraído del campo event.process.executable.sizeBytes del registro sin procesar.
event.process.fullPid.pid target.process.pid El PID del proceso, extraído del campo event.process.fullPid.pid del registro sin procesar.
event.query network.dns.questions.name La consulta de DNS, extraída del campo event.query del registro sin procesar.
event.regKey.path target.registry.registry_key Ruta de la clave de registro, extraída del campo event.regKey.path del registro sin procesar.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Nombre del valor del registro, extraído del campo event.regValue.key.value del registro sin procesar.
event.regValue.path target.registry.registry_key Ruta del valor del registro, extraída del campo event.regValue.path del registro sin procesar.
event.results network.dns.answers.data Las respuestas de DNS, extraídas del campo event.results del registro sin procesar. Los datos se dividen en respuestas individuales mediante el separador ";".
event.source.commandLine principal.process.command_line La línea de comandos del proceso de origen, extraída del campo event.source.commandLine del registro sin procesar.
event.source.executable.hashes.md5 principal.process.file.md5 El hash MD5 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.md5 del registro sin procesar.
event.source.executable.hashes.sha1 principal.process.file.sha1 El hash SHA-1 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.sha1 del registro sin procesar.
event.source.executable.hashes.sha256 principal.process.file.sha256 El hash SHA-256 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.sha256 del registro sin procesar.
event.source.executable.path principal.process.file.full_path Ruta completa del ejecutable del proceso de origen, extraída del campo event.source.executable.path del registro sin procesar.
event.source.executable.signature.signed.identity principal.resource.attribute.labels La identidad firmada del ejecutable del proceso de origen, extraída del campo event.source.executable.signature.signed.identity del registro sin procesar. Se añade como una etiqueta con la clave Source Signature Signed Identity a las etiquetas de atributo de recurso principal.
event.source.executable.sizeBytes principal.process.file.size Tamaño del archivo ejecutable del proceso de origen, extraído del campo event.source.executable.sizeBytes del registro sin procesar.
event.source.fullPid.pid principal.process.pid El PID del proceso de origen, extraído del campo event.source.fullPid.pid del registro sin procesar.
event.source.parent.commandLine principal.process.parent_process.command_line Línea de comandos del proceso superior de origen, extraída del campo event.source.parent.commandLine del registro sin procesar.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 El hash MD5 del ejecutable del proceso superior de origen, extraído del campo event.source.parent.executable.hashes.md5 del registro sin procesar.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 El hash SHA-1 del ejecutable del proceso superior de origen, extraído del campo event.source.parent.executable.hashes.sha1 del registro sin procesar.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 El hash SHA-256 del ejecutable del proceso principal de origen, extraído del campo event.source.parent.executable.hashes.sha256 del registro sin procesar.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels La identidad firmada del ejecutable del proceso principal de origen, extraída del campo event.source.parent.executable.signature.signed.identity del registro sin procesar. Se añade como una etiqueta con la clave Source Parent Signature Signed Identity a las etiquetas de atributo de recurso principal.
event.source.parent.fullPid.pid principal.process.parent_process.pid El PID del proceso superior de origen, extraído del campo event.source.parent.fullPid.pid del registro sin procesar.
event.source.user.name principal.user.userid Nombre de usuario del proceso de origen, extraído del campo event.source.user.name del registro sin procesar.
event.source.user.sid principal.user.windows_sid El SID de Windows del usuario del proceso de origen, extraído del campo event.source.user.sid del registro sin procesar.
event.sourceAddress.address principal.ip Dirección IP de la fuente, extraída del campo event.sourceAddress.address del registro sin procesar.
event.sourceAddress.port principal.port Puerto de la fuente, extraído del campo event.sourceAddress.port del registro sin procesar.
event.target.executable.hashes.md5 target.process.file.md5 El hash MD5 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.md5 del registro sin procesar.
event.target.executable.hashes.sha1 target.process.file.sha1 El hash SHA-1 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.sha1 del registro sin procesar.
event.target.executable.hashes.sha256 target.process.file.sha256 El hash SHA-256 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.sha256 del registro sin procesar.
event.target.executable.path target.process.file.full_path Ruta completa del ejecutable del proceso de destino, extraída del campo event.target.executable.path del registro sin procesar.
event.target.executable.signature.signed.identity target.resource.attribute.labels Identidad firmada del ejecutable del proceso de destino, extraída del campo event.target.executable.signature.signed.identity del registro sin procesar. Se añade como etiqueta con la clave Target Signature Signed Identity a las etiquetas de atributo del recurso de destino.
event.target.executable.sizeBytes target.process.file.size Tamaño del ejecutable del proceso de destino, extraído del campo event.target.executable.sizeBytes del registro sin procesar.
event.target.fullPid.pid target.process.pid El PID del proceso de destino, extraído del campo event.target.fullPid.pid del registro sin procesar.
event.targetFile.path target.file.full_path Ruta completa del archivo de destino, extraída del campo event.targetFile.path del registro sin procesar.
event.targetFile.signature.signed.identity target.resource.attribute.labels La identidad firmada del archivo de destino, extraída del campo event.targetFile.signature.signed.identity del registro sin procesar. Se añade como etiqueta con la clave Target File Signature Signed Identity a las etiquetas de atributo del recurso de destino.
event.trueContext.key.value No se ha asignado a UDM.
event.type metadata.description Tipo de evento, extraído del campo event.type del registro sin procesar.
event.url target.url La URL del evento, extraída del campo event.url del registro sin procesar.
meta.agentVersion metadata.product_version, metadata.product_version Versión del agente, extraída del campo meta.agentVersion del registro sin procesar.
meta.computerName principal.hostname, target.hostname Nombre de host del ordenador, extraído del campo meta.computerName del registro sin procesar.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform La familia del sistema operativo del ordenador, extraída del campo meta.osFamily del registro sin procesar. Se asigna a LINUX para linux y a WINDOWS para windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version La revisión del sistema operativo del ordenador, extraída del campo meta.osRevision del registro sin procesar.
meta.traceId metadata.product_log_id El ID de la traza del evento, extraído del campo meta.traceId del registro sin procesar.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id El UUID del ordenador, extraído del campo meta.uuid del registro sin procesar.
metadata_event_type metadata.event_type Tipo de evento, definido por la lógica del analizador en función del campo event.type.
metadata_product_name metadata.product_name Nombre del producto, definido como Singularity XDR por la lógica del analizador.
metadata_vendor_name metadata.vendor_name El nombre del proveedor, definido como SentinelOne por la lógica del analizador.
network_application_protocol network.application_protocol El protocolo de aplicación de la conexión de red, definido como DNS para los eventos de DNS por la lógica del analizador.
network_dns_questions.name network.dns.questions.name El nombre de la consulta de DNS, extraído del campo event.query del registro sin procesar.
network_direction network.direction La dirección de la conexión de red, definida como OUTBOUND para las conexiones salientes y INBOUND para las conexiones entrantes por la lógica del analizador.
network_http_method network.http.method Método HTTP del evento, extraído del campo event.method del registro sin procesar.
principal.process.command_line target.process.command_line La línea de comandos del proceso principal, extraída del campo principal.process.command_line y asignada a la línea de comandos del proceso de destino.
principal.process.file.full_path target.process.file.full_path Ruta completa del archivo del proceso principal, extraída del campo principal.process.file.full_path y asignada a la ruta completa del archivo del proceso de destino.
principal.process.file.md5 target.process.file.md5 El hash MD5 del archivo del proceso principal, extraído del campo principal.process.file.md5 y asignado al MD5 del archivo del proceso de destino.
principal.process.file.sha1 target.process.file.sha1 El hash SHA-1 del archivo del proceso principal, extraído del campo principal.process.file.sha1 y asignado al SHA-1 del archivo del proceso de destino.
principal.process.file.sha256 target.process.file.sha256 El hash SHA-256 del archivo del proceso principal, extraído del campo principal.process.file.sha256 y asignado al hash SHA-256 del archivo del proceso de destino.
principal.process.file.size target.process.file.size Tamaño del archivo del proceso principal, extraído del campo principal.process.file.size y asignado al tamaño del archivo del proceso de destino.
principal.process.pid target.process.pid El PID del proceso principal, extraído del campo principal.process.pid y asignado al PID del proceso de destino.
principal.user.userid target.user.userid El ID de usuario de la entidad de seguridad, extraído del campo principal.user.userid y asignado al ID de usuario de destino.
principal.user.windows_sid target.user.windows_sid El SID de Windows de la entidad de seguridad, extraído del campo principal.user.windows_sid y asignado al SID de Windows del usuario de destino.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.