Recopila registros del EDR de SentinelOne

Compatible con:

En este documento, se explica cómo exportar registros de SentinelOne a Google Cloud Storage con SentinelOne Cloud Funnel. Dado que SentinelOne no ofrece una integración integrada para exportar registros directamente a Google Cloud Storage, Cloud Funnel actúa como un servicio intermediario para enviar registros a Cloud Storage.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a la plataforma de Google Cloud
  • Acceso con privilegios a SentinelOne

Configura permisos para que Cloud Funnel acceda a Cloud Storage

  1. Accede a la consola deGoogle Cloud .
  2. Ve a IAM y administración.
  3. En la página IAM, agrega un rol de IAM nuevo para la cuenta de servicio de Cloud Funnel:
    • Asigna permisos de Creador de objetos de almacenamiento.
    • Opcional: Asigna el rol de Visualizador de objetos de Storage si necesitas que Cloud Funnel lea objetos del bucket.
  4. Otorga estos permisos a la cuenta de servicio de Cloud Funnel.

Crea un bucket de Cloud Storage

  1. Accede a la consola deGoogle Cloud .
  2. Ve a Storage > Browser.
  3. Haz clic en Crear bucket.
  4. Proporciona los siguientes parámetros de configuración:
    • Nombre del bucket: Elige un nombre único para tu bucket (por ejemplo, sentinelone-logs).
    • Ubicación de almacenamiento: Selecciona la región en la que residirá el bucket (por ejemplo, US-West1).
    • Clase de almacenamiento: Elige una clase de almacenamiento Estándar.
  5. Haz clic en Crear.

Configura Cloud Funnel en SentinelOne

  1. En la consola de SentinelOne, ve a Settings.
  2. Ubica la opción Cloud Funnel (en Integraciones).
  3. Si aún no está habilitada, haz clic en Habilitar Cloud Funnel.
  4. Una vez habilitada, se te solicitará que configures los parámetros de configuración de Destino.
    • Selección de destino: Elige Google Cloud Storage como destino para exportar los registros.
    • Google Cloud Storage: Proporciona las credenciales de Google Cloud Storage.
    • Frecuencia de exportación de registros: Establece la frecuencia para exportar registros (por ejemplo, por hora o por día).

Cómo configurar la exportación de registros de embudos de Cloud

  1. En la sección Cloud Funnel Configuration de la consola de SentinelOne, configura lo siguiente:
    • Frecuencia de exportación de registros: Elige la frecuencia con la que se deben exportar los registros (por ejemplo, cada hora o cada día).
    • Formato de registro: Elige el formato JSON.
    • Nombre del bucket: Ingresa el nombre del bucket de Google Cloud Storage que creaste antes (por ejemplo, sentinelone-logs).
    • Opcional: Prefijo de ruta de acceso del registro: Especifica un prefijo para organizar los registros dentro del bucket (por ejemplo, sentinelone-logs/).
  2. Una vez que se configuren los parámetros, haz clic en Guardar para aplicar los cambios.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds desde Configuración del SIEM > Feeds

Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.

Para configurar un solo feed, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Sentinel EDR.
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona Sentinel EDR como el Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio como la Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: URL del bucket de Cloud Storage en formato gs://my-bucket/<value>
    • URI Is A: Selecciona Directory which includes subdirectories.

    • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  10. Haz clic en Siguiente.

  11. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: Es el URI de origen del bucket de Google Cloud Storage.
  • El URI es un: Selecciona el TIPO de URI según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
  • Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
event.contentHash.sha256 target.process.file.sha256 Es el hash SHA-256 del archivo del proceso de destino, extraído del campo event.contentHash.sha256 en el registro sin procesar.
event.decodedContent target.labels Es el contenido decodificado de una secuencia de comandos, extraído del campo event.decodedContent en el registro sin procesar. Se agrega como una etiqueta con la clave Decoded Content al objeto de destino.
event.destinationAddress.address target.ip Es la dirección IP del destino, extraída del campo event.destinationAddress.address en el registro sin procesar.
event.destinationAddress.port target.port Es el puerto del destino, extraído del campo event.destinationAddress.port en el registro sin procesar.
event.method network.http.method Es el método HTTP del evento, extraído del campo event.method en el registro sin procesar.
event.newValueData target.registry.registry_value_data Son los datos del valor del registro nuevo, extraídos del campo event.newValueData en el registro sin procesar.
event.process.commandLine target.process.command_line Es la línea de comandos del proceso, extraída del campo event.process.commandLine en el registro sin procesar.
event.process.executable.hashes.md5 target.process.file.md5 Es el hash MD5 del archivo ejecutable del proceso, que se extrae del campo event.process.executable.hashes.md5 en el registro sin procesar.
event.process.executable.hashes.sha1 target.process.file.sha1 Es el hash SHA-1 del ejecutable del proceso, que se extrae del campo event.process.executable.hashes.sha1 en el registro sin procesar.
event.process.executable.hashes.sha256 target.process.file.sha256 Es el hash SHA-256 del ejecutable del proceso, que se extrae del campo event.process.executable.hashes.sha256 en el registro sin procesar.
event.process.executable.path target.process.file.full_path Ruta de acceso completa del ejecutable del proceso, extraída del campo event.process.executable.path en el registro sin procesar.
event.process.executable.sizeBytes target.process.file.size Tamaño del ejecutable del proceso, extraído del campo event.process.executable.sizeBytes en el registro sin procesar.
event.process.fullPid.pid target.process.pid Es el PID del proceso, que se extrae del campo event.process.fullPid.pid en el registro sin procesar.
event.query network.dns.questions.name Es la consulta de DNS, extraída del campo event.query en el registro sin procesar.
event.regKey.path target.registry.registry_key Es la ruta de la clave de registro, extraída del campo event.regKey.path en el registro sin procesar.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Es el nombre del valor de registro, extraído del campo event.regValue.key.value en el registro sin procesar.
event.regValue.path target.registry.registry_key Es la ruta de acceso del valor del registro, extraída del campo event.regValue.path en el registro sin procesar.
event.results network.dns.answers.data Son las respuestas de DNS, extraídas del campo event.results en el registro sin procesar. Los datos se dividen en respuestas individuales con el separador ";".
event.source.commandLine principal.process.command_line Línea de comandos del proceso de origen, extraída del campo event.source.commandLine en el registro sin procesar.
event.source.executable.hashes.md5 principal.process.file.md5 Es el hash MD5 del archivo ejecutable del proceso de origen, que se extrae del campo event.source.executable.hashes.md5 en el registro sin procesar.
event.source.executable.hashes.sha1 principal.process.file.sha1 Es el hash SHA-1 del archivo ejecutable del proceso de origen, que se extrae del campo event.source.executable.hashes.sha1 en el registro sin procesar.
event.source.executable.hashes.sha256 principal.process.file.sha256 Es el hash SHA-256 del archivo ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.sha256 en el registro sin procesar.
event.source.executable.path principal.process.file.full_path Es la ruta de acceso completa del ejecutable del proceso de origen, que se extrae del campo event.source.executable.path en el registro sin procesar.
event.source.executable.signature.signed.identity principal.resource.attribute.labels Es la identidad firmada del ejecutable del proceso de origen, que se extrae del campo event.source.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Source Signature Signed Identity a las etiquetas de atributos de recursos principales.
event.source.executable.sizeBytes principal.process.file.size Tamaño del ejecutable del proceso de origen, extraído del campo event.source.executable.sizeBytes en el registro sin procesar.
event.source.fullPid.pid principal.process.pid Es el PID del proceso de origen, que se extrae del campo event.source.fullPid.pid en el registro sin procesar.
event.source.parent.commandLine principal.process.parent_process.command_line Línea de comandos del proceso principal de la fuente, extraída del campo event.source.parent.commandLine en el registro sin procesar.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 Es el hash MD5 del archivo ejecutable del proceso principal de la fuente, que se extrae del campo event.source.parent.executable.hashes.md5 en el registro sin procesar.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 Es el hash SHA-1 del archivo ejecutable del proceso principal de la fuente, que se extrae del campo event.source.parent.executable.hashes.sha1 en el registro sin procesar.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 Es el hash SHA-256 del ejecutable del proceso principal de la fuente, extraído del campo event.source.parent.executable.hashes.sha256 en el registro sin procesar.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels Identidad firmada del ejecutable del proceso principal de la fuente, extraída del campo event.source.parent.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Source Parent Signature Signed Identity a las etiquetas de atributos de recursos principales.
event.source.parent.fullPid.pid principal.process.parent_process.pid Es el PID del proceso principal de origen, que se extrae del campo event.source.parent.fullPid.pid en el registro sin procesar.
event.source.user.name principal.user.userid Es el nombre de usuario del proceso de origen, extraído del campo event.source.user.name en el registro sin procesar.
event.source.user.sid principal.user.windows_sid Es el SID de Windows del usuario del proceso de origen, que se extrae del campo event.source.user.sid en el registro sin procesar.
event.sourceAddress.address principal.ip Es la dirección IP de la fuente, extraída del campo event.sourceAddress.address en el registro sin procesar.
event.sourceAddress.port principal.port Es el puerto de la fuente, extraído del campo event.sourceAddress.port en el registro sin procesar.
event.target.executable.hashes.md5 target.process.file.md5 Es el hash MD5 del archivo ejecutable del proceso objetivo, que se extrae del campo event.target.executable.hashes.md5 en el registro sin procesar.
event.target.executable.hashes.sha1 target.process.file.sha1 Es el hash SHA-1 del ejecutable del proceso objetivo, extraído del campo event.target.executable.hashes.sha1 en el registro sin procesar.
event.target.executable.hashes.sha256 target.process.file.sha256 Es el hash SHA-256 del archivo ejecutable del proceso objetivo, extraído del campo event.target.executable.hashes.sha256 en el registro sin procesar.
event.target.executable.path target.process.file.full_path Es la ruta de acceso completa del ejecutable del proceso de destino, que se extrae del campo event.target.executable.path en el registro sin procesar.
event.target.executable.signature.signed.identity target.resource.attribute.labels Es la identidad firmada del ejecutable del proceso de destino, extraída del campo event.target.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Target Signature Signed Identity a las etiquetas de atributos del recurso de destino.
event.target.executable.sizeBytes target.process.file.size Tamaño del ejecutable del proceso objetivo, extraído del campo event.target.executable.sizeBytes en el registro sin procesar.
event.target.fullPid.pid target.process.pid Es el PID del proceso de destino, que se extrae del campo event.target.fullPid.pid en el registro sin procesar.
event.targetFile.path target.file.full_path Es la ruta de acceso completa del archivo de destino, extraída del campo event.targetFile.path en el registro sin procesar.
event.targetFile.signature.signed.identity target.resource.attribute.labels Es la identidad firmada del archivo de destino, que se extrae del campo event.targetFile.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Target File Signature Signed Identity a las etiquetas de atributos del recurso de destino.
event.trueContext.key.value No se asigna al UDM.
event.type metadata.description Es el tipo de evento, extraído del campo event.type en el registro sin procesar.
event.url target.url Es la URL del evento, extraída del campo event.url en el registro sin procesar.
meta.agentVersion metadata.product_version, metadata.product_version Es la versión del agente, extraída del campo meta.agentVersion en el registro sin procesar.
meta.computerName principal.hostname, target.hostname Es el nombre de host de la computadora, que se extrae del campo meta.computerName en el registro sin procesar.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Es la familia del sistema operativo de la computadora, que se extrae del campo meta.osFamily en el registro sin procesar. Se asigna a LINUX para linux y a WINDOWS para windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Revisión del sistema operativo de la computadora, extraída del campo meta.osRevision en el registro sin procesar.
meta.traceId metadata.product_log_id Es el ID de seguimiento del evento, que se extrae del campo meta.traceId en el registro sin procesar.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id Es el UUID de la computadora, que se extrae del campo meta.uuid en el registro sin procesar.
metadata_event_type metadata.event_type Es el tipo de evento, que la lógica del analizador establece según el campo event.type.
metadata_product_name metadata.product_name Es el nombre del producto, establecido en Singularity XDR por la lógica del analizador.
metadata_vendor_name metadata.vendor_name Es el nombre del proveedor, establecido en SentinelOne por la lógica del analizador.
network_application_protocol network.application_protocol Protocolo de aplicación de la conexión de red, establecido en DNS para los eventos de DNS por la lógica del analizador.
network_dns_questions.name network.dns.questions.name Es el nombre de la pregunta de DNS, que se extrae del campo event.query en el registro sin procesar.
network_direction network.direction Es la dirección de la conexión de red, establecida en OUTBOUND para las conexiones salientes y en INBOUND para las conexiones entrantes por la lógica del analizador.
network_http_method network.http.method Es el método HTTP del evento, extraído del campo event.method en el registro sin procesar.
principal.process.command_line target.process.command_line Línea de comandos del proceso principal, extraída del campo principal.process.command_line y asignada a la línea de comandos del proceso de destino.
principal.process.file.full_path target.process.file.full_path Es la ruta de acceso completa del archivo del proceso principal, extraída del campo principal.process.file.full_path y asignada a la ruta de acceso completa del archivo del proceso de destino.
principal.process.file.md5 target.process.file.md5 Es el hash MD5 del archivo del proceso principal, que se extrae del campo principal.process.file.md5 y se asigna al MD5 del archivo del proceso de destino.
principal.process.file.sha1 target.process.file.sha1 Es el hash SHA-1 del archivo del proceso principal, que se extrae del campo principal.process.file.sha1 y se asigna al hash SHA-1 del archivo del proceso de destino.
principal.process.file.sha256 target.process.file.sha256 Es el hash SHA-256 del archivo del proceso principal, que se extrae del campo principal.process.file.sha256 y se asigna al hash SHA-256 del archivo del proceso de destino.
principal.process.file.size target.process.file.size Tamaño del archivo del proceso principal, extraído del campo principal.process.file.size y asignado al tamaño del archivo del proceso de destino.
principal.process.pid target.process.pid Es el PID del proceso principal, que se extrae del campo principal.process.pid y se asigna al PID del proceso de destino.
principal.user.userid target.user.userid Es el ID de usuario de la principal, que se extrae del campo principal.user.userid y se asigna al ID de usuario objetivo.
principal.user.windows_sid target.user.windows_sid Es el SID de Windows de la entidad principal, que se extrae del campo principal.user.windows_sid y se asigna al SID de Windows del usuario objetivo.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.