Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log SentinelOne EDR

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengekspor log SentinelOne ke Google Cloud Storage menggunakan SentinelOne Cloud Funnel. Karena SentinelOne tidak menawarkan integrasi bawaan untuk mengekspor log secara langsung ke Google Cloud Storage, Cloud Funnel bertindak sebagai layanan perantara untuk mengirimkan log ke Cloud Storage.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke platform Google Cloud
Akses istimewa ke SentinelOne

Mengonfigurasi Izin untuk Cloud Funnel agar Dapat Mengakses Cloud Storage

Login ke Google Cloud console.
Buka IAM & Admin.
Di halaman IAM, tambahkan peran IAM baru untuk akun layanan Cloud Funnel:
- Tetapkan izin Storage Object Creator.
- Opsional: tetapkan Storage Object Viewer jika Anda ingin Cloud Funnel membaca objek dari bucket.
Berikan izin ini ke akun layanan Cloud Funnel.

Membuat Bucket Cloud Storage

Login ke Google Cloud console.
Buka Storage > Browser.
Klik Create bucket.
Berikan konfigurasi berikut:
- Nama Bucket: Pilih nama unik untuk bucket Anda (misalnya, sentinelone-logs).
- Lokasi Penyimpanan: Pilih region tempat bucket akan berada (misalnya, US-West1).
- Kelas Penyimpanan: Pilih kelas penyimpanan Standard.
Klik Buat.

Mengonfigurasi Cloud Funnel di SentinelOne

Di Konsol SentinelOne, buka Settings.
Cari opsi Cloud Funnel (di bagian Integrasi).
Jika belum diaktifkan, klik Aktifkan Cloud Funnel.
Setelah diaktifkan, Anda akan diminta untuk mengonfigurasi setelan Tujuan.
- Pemilihan Tujuan: Pilih Google Cloud Storage sebagai tujuan untuk mengekspor log.
- Google Cloud Storage: Berikan kredensial Google Cloud Storage.
- Frekuensi Ekspor Log: tetapkan frekuensi untuk mengekspor log (misalnya, per jam atau harian).

Cara mengonfigurasi Ekspor Log Funnel Cloud

Di bagian Cloud Funnel Configuration di Konsol SentinelOne, tetapkan hal berikut:
- Frekuensi Ekspor Log: Pilih seberapa sering log harus diekspor (misalnya, setiap jam atau setiap hari).
- Format Log: Pilih format JSON.
- Nama Bucket: Masukkan nama bucket Google Cloud Storage yang Anda buat sebelumnya (misalnya, sentinelone-logs).
- Opsional: Awalan Jalur Log: Tentukan awalan untuk mengatur log dalam bucket (misalnya, sentinelone-logs/).
Setelah setelan dikonfigurasi, klik Simpan untuk menerapkan perubahan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed > Tambahkan Baru
Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed EDR SentinelOne

Klik paket SentinelOne.
Temukan feed SentinelOne EDR.
Tentukan nilai untuk kolom berikut:
- Jenis sumber: Google Cloud Storage V2.
- URI bucket penyimpanan: URI sumber bucket Google Cloud Storage.
- Opsi penghapusan sumber: Apakah akan menghapus file atau direktori setelah ditransfer. Pilih opsi Hapus file yang ditransfer di Opsi penghapusan sumber.
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- Akun Layanan Chronicle: Salin Akun Layanan. Anda akan memerlukannya untuk menambahkan izin di bucket bagi Akun Layanan ini agar Google SecOps dapat membaca atau menghapus data di bucket.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`event.contentHash.sha256`	`target.process.file.sha256`	Hash SHA-256 file proses target, diekstrak dari kolom `event.contentHash.sha256` dalam log mentah.
`event.decodedContent`	`target.labels`	Konten skrip yang didekode, diekstrak dari kolom `event.decodedContent` dalam log mentah. Label ini ditambahkan sebagai label dengan kunci `Decoded Content` ke objek target.
`event.destinationAddress.address`	`target.ip`	Alamat IP tujuan, diekstrak dari kolom `event.destinationAddress.address` dalam log mentah.
`event.destinationAddress.port`	`target.port`	Port tujuan, diekstrak dari kolom `event.destinationAddress.port` di log mentah.
`event.method`	`network.http.method`	Metode HTTP peristiwa, diekstrak dari kolom `event.method` dalam log mentah.
`event.newValueData`	`target.registry.registry_value_data`	Data nilai baru dari nilai registry, diekstrak dari kolom `event.newValueData` dalam log mentah.
`event.process.commandLine`	`target.process.command_line`	Command line proses, diekstrak dari kolom `event.process.commandLine` dalam log mentah.
`event.process.executable.hashes.md5`	`target.process.file.md5`	Hash MD5 dari file yang dapat dieksekusi proses, diekstrak dari kolom `event.process.executable.hashes.md5` dalam log mentah.
`event.process.executable.hashes.sha1`	`target.process.file.sha1`	Hash SHA-1 dari file yang dapat dieksekusi proses, diekstrak dari kolom `event.process.executable.hashes.sha1` di log mentah.
`event.process.executable.hashes.sha256`	`target.process.file.sha256`	Hash SHA-256 yang dapat dieksekusi proses, diekstrak dari kolom `event.process.executable.hashes.sha256` dalam log mentah.
`event.process.executable.path`	`target.process.file.full_path`	Jalur lengkap file yang dapat dieksekusi proses, diekstrak dari kolom `event.process.executable.path` dalam log mentah.
`event.process.executable.sizeBytes`	`target.process.file.size`	Ukuran file yang dapat dieksekusi proses, diekstrak dari kolom `event.process.executable.sizeBytes` dalam log mentah.
`event.process.fullPid.pid`	`target.process.pid`	PID proses, diekstrak dari kolom `event.process.fullPid.pid` di log mentah.
`event.query`	`network.dns.questions.name`	Kueri DNS, diekstrak dari kolom `event.query` di log mentah.
`event.regKey.path`	`target.registry.registry_key`	Jalur kunci registry, diekstrak dari kolom `event.regKey.path` dalam log mentah.
`event.regValue.key.value`	`target.registry.registry_name`, `target.registry.registry_value_name`	Nama nilai registry, diekstrak dari kolom `event.regValue.key.value` dalam log mentah.
`event.regValue.path`	`target.registry.registry_key`	Jalur nilai registri, diekstrak dari kolom `event.regValue.path` di log mentah.
`event.results`	`network.dns.answers.data`	Jawaban DNS, diekstrak dari kolom `event.results` dalam log mentah. Data dibagi menjadi jawaban individual menggunakan pemisah "`;`".
`event.source.commandLine`	`principal.process.command_line`	Command line proses sumber, diekstrak dari kolom `event.source.commandLine` dalam log mentah.
`event.source.executable.hashes.md5`	`principal.process.file.md5`	Hash MD5 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom `event.source.executable.hashes.md5` dalam log mentah.
`event.source.executable.hashes.sha1`	`principal.process.file.sha1`	Hash SHA-1 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom `event.source.executable.hashes.sha1` dalam log mentah.
`event.source.executable.hashes.sha256`	`principal.process.file.sha256`	Hash SHA-256 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom `event.source.executable.hashes.sha256` dalam log mentah.
`event.source.executable.path`	`principal.process.file.full_path`	Jalur lengkap file yang dapat dieksekusi dari proses sumber, diekstrak dari kolom `event.source.executable.path` dalam log mentah.
`event.source.executable.signature.signed.identity`	`principal.resource.attribute.labels`	Identitas bertanda tangan dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom `event.source.executable.signature.signed.identity` di log mentah. Label ini ditambahkan sebagai label dengan kunci `Source Signature Signed Identity` ke label atribut resource utama.
`event.source.executable.sizeBytes`	`principal.process.file.size`	Ukuran file yang dapat dieksekusi dari proses sumber, diekstrak dari kolom `event.source.executable.sizeBytes` di log mentah.
`event.source.fullPid.pid`	`principal.process.pid`	PID proses sumber, diekstrak dari kolom `event.source.fullPid.pid` di log mentah.
`event.source.parent.commandLine`	`principal.process.parent_process.command_line`	Command line proses induk sumber, diekstrak dari kolom `event.source.parent.commandLine` dalam log mentah.
`event.source.parent.executable.hashes.md5`	`principal.process.parent_process.file.md5`	Hash MD5 dari file yang dapat dieksekusi proses induk sumber, diekstrak dari kolom `event.source.parent.executable.hashes.md5` dalam log mentah.
`event.source.parent.executable.hashes.sha1`	`principal.process.parent_process.file.sha1`	Hash SHA-1 dari file yang dapat dieksekusi proses induk sumber, diekstrak dari kolom `event.source.parent.executable.hashes.sha1` dalam log mentah.
`event.source.parent.executable.hashes.sha256`	`principal.process.parent_process.file.sha256`	Hash SHA-256 dari file yang dapat dieksekusi proses induk sumber, yang diekstrak dari kolom `event.source.parent.executable.hashes.sha256` dalam log mentah.
`event.source.parent.executable.signature.signed.identity`	`principal.resource.attribute.labels`	Identitas bertanda tangan dari executable proses induk sumber, diekstrak dari kolom `event.source.parent.executable.signature.signed.identity` dalam log mentah. Label ini ditambahkan sebagai label dengan kunci `Source Parent Signature Signed Identity` ke label atribut resource utama.
`event.source.parent.fullPid.pid`	`principal.process.parent_process.pid`	PID proses induk sumber, diekstrak dari kolom `event.source.parent.fullPid.pid` di log mentah.
`event.source.user.name`	`principal.user.userid`	Nama pengguna dari pengguna proses sumber, diekstrak dari kolom `event.source.user.name` dalam log mentah.
`event.source.user.sid`	`principal.user.windows_sid`	SID Windows pengguna proses sumber, diekstrak dari kolom `event.source.user.sid` dalam log mentah.
`event.sourceAddress.address`	`principal.ip`	Alamat IP sumber, diekstrak dari kolom `event.sourceAddress.address` dalam log mentah.
`event.sourceAddress.port`	`principal.port`	Port sumber, diekstrak dari kolom `event.sourceAddress.port` di log mentah.
`event.target.executable.hashes.md5`	`target.process.file.md5`	Hash MD5 dari file yang dapat dieksekusi proses target, diekstrak dari kolom `event.target.executable.hashes.md5` dalam log mentah.
`event.target.executable.hashes.sha1`	`target.process.file.sha1`	Hash SHA-1 dari file yang dapat dieksekusi proses target, diekstrak dari kolom `event.target.executable.hashes.sha1` dalam log mentah.
`event.target.executable.hashes.sha256`	`target.process.file.sha256`	Hash SHA-256 dari file yang dapat dieksekusi proses target, yang diekstrak dari kolom `event.target.executable.hashes.sha256` dalam log mentah.
`event.target.executable.path`	`target.process.file.full_path`	Jalur lengkap file yang dapat dieksekusi dari proses target, diekstrak dari kolom `event.target.executable.path` dalam log mentah.
`event.target.executable.signature.signed.identity`	`target.resource.attribute.labels`	Identitas bertanda tangan dari file yang dapat dieksekusi proses target, diekstrak dari kolom `event.target.executable.signature.signed.identity` dalam log mentah. Atribut ini ditambahkan sebagai label dengan kunci `Target Signature Signed Identity` ke label atribut target resource.
`event.target.executable.sizeBytes`	`target.process.file.size`	Ukuran file yang dapat dieksekusi dari proses target, diekstrak dari kolom `event.target.executable.sizeBytes` dalam log mentah.
`event.target.fullPid.pid`	`target.process.pid`	PID proses target, diekstrak dari kolom `event.target.fullPid.pid` di log mentah.
`event.targetFile.path`	`target.file.full_path`	Jalur lengkap file target, diekstrak dari kolom `event.targetFile.path` dalam log mentah.
`event.targetFile.signature.signed.identity`	`target.resource.attribute.labels`	Identitas bertanda tangan dari file target, diekstrak dari kolom `event.targetFile.signature.signed.identity` di log mentah. Atribut ini ditambahkan sebagai label dengan kunci `Target File Signature Signed Identity` ke label atribut target resource.
`event.trueContext.key.value`		Tidak dipetakan ke UDM.
`event.type`	`metadata.description`	Jenis peristiwa, diekstrak dari kolom `event.type` dalam log mentah.
`event.url`	`target.url`	URL acara, diekstrak dari kolom `event.url` dalam log mentah.
`meta.agentVersion`	`metadata.product_version`, `metadata.product_version`	Versi agen, diekstrak dari kolom `meta.agentVersion` dalam log mentah.
`meta.computerName`	`principal.hostname`, `target.hostname`	Nama host komputer, diekstrak dari kolom `meta.computerName` dalam log mentah.
`meta.osFamily`	`principal.asset.platform_software.platform`, `target.asset.platform_software.platform`	Kelompok sistem operasi komputer, diekstrak dari kolom `meta.osFamily` di log mentah. Dipetakan ke `LINUX` untuk `linux` dan `WINDOWS` untuk `windows`.
`meta.osRevision`	`principal.asset.platform_software.platform_version`, `target.asset.platform_software.platform_version`	Revisi sistem operasi komputer, diekstrak dari kolom `meta.osRevision` dalam log mentah.
`meta.traceId`	`metadata.product_log_id`	ID aktivitas peristiwa, diekstrak dari kolom `meta.traceId` di log mentah.
`meta.uuid`	`principal.asset.product_object_id`, `target.asset.product_object_id`	UUID komputer, diekstrak dari kolom `meta.uuid` dalam log mentah.
`metadata_event_type`	`metadata.event_type`	Jenis peristiwa, ditetapkan oleh logika parser berdasarkan kolom `event.type`.
`metadata_product_name`	`metadata.product_name`	Nama produk, ditetapkan ke `Singularity XDR` oleh logika parser.
`metadata_vendor_name`	`metadata.vendor_name`	Nama vendor, ditetapkan ke `SentinelOne` oleh logika parser.
`network_application_protocol`	`network.application_protocol`	Protokol aplikasi koneksi jaringan, ditetapkan ke `DNS` untuk peristiwa DNS oleh logika parser.
`network_dns_questions.name`	`network.dns.questions.name`	Nama pertanyaan DNS, diekstrak dari kolom `event.query` dalam log mentah.
`network_direction`	`network.direction`	Arah koneksi jaringan, ditetapkan ke `OUTBOUND` untuk koneksi keluar dan `INBOUND` untuk koneksi masuk oleh logika parser.
`network_http_method`	`network.http.method`	Metode HTTP peristiwa, diekstrak dari kolom `event.method` dalam log mentah.
`principal.process.command_line`	`target.process.command_line`	Command line proses utama, diekstrak dari kolom `principal.process.command_line` dan dipetakan ke command line proses target.
`principal.process.file.full_path`	`target.process.file.full_path`	Jalur lengkap file proses utama, diekstrak dari kolom `principal.process.file.full_path` dan dipetakan ke jalur lengkap file proses target.
`principal.process.file.md5`	`target.process.file.md5`	Hash MD5 file proses utama, diekstrak dari kolom `principal.process.file.md5` dan dipetakan ke MD5 file proses target.
`principal.process.file.sha1`	`target.process.file.sha1`	Hash SHA-1 file proses utama, diekstrak dari kolom `principal.process.file.sha1` dan dipetakan ke SHA-1 file proses target.
`principal.process.file.sha256`	`target.process.file.sha256`	Hash SHA-256 file proses utama, diekstrak dari kolom `principal.process.file.sha256` dan dipetakan ke SHA-256 file proses target.
`principal.process.file.size`	`target.process.file.size`	Ukuran file proses utama, diekstrak dari kolom `principal.process.file.size` dan dipetakan ke ukuran file proses target.
`principal.process.pid`	`target.process.pid`	PID proses utama, diekstrak dari kolom `principal.process.pid` dan dipetakan ke PID proses target.
`principal.user.userid`	`target.user.userid`	ID pengguna prinsipal, diekstrak dari kolom `principal.user.userid` dan dipetakan ke ID pengguna target.
`principal.user.windows_sid`	`target.user.windows_sid`	SID Windows prinsipal, diekstrak dari kolom `principal.user.windows_sid` dan dipetakan ke SID Windows pengguna target.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.