Raccogliere i log EDR di SentinelOne

Supportato in:

Questo documento spiega come esportare i log di SentinelOne in Google Cloud Storage utilizzando SentinelOne Cloud Funnel. Poiché SentinelOne non offre un'integrazione integrata per esportare direttamente i log in Google Cloud Storage, Cloud Funnel funge da servizio intermediario per inviare i log a Cloud Storage.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato alla piattaforma Google Cloud
  • Accesso con privilegi a SentinelOne

Configura le autorizzazioni per Cloud Funnel per accedere a Cloud Storage

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a IAM e amministrazione.
  3. Nella pagina IAM, aggiungi un nuovo ruolo IAM per l'account di servizio Cloud Funnel:
    • Assegna le autorizzazioni Storage Object Creator.
    • (Facoltativo) Assegna Visualizzatore oggetti Storage se vuoi che Cloud Funnel legga gli oggetti dal bucket.
  4. Concedi queste autorizzazioni al service account Cloud Funnel.

Crea un bucket Cloud Storage

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Storage > Browser.
  3. Fai clic su Crea bucket.
  4. Fornisci le seguenti configurazioni:
    • Nome bucket: scegli un nome univoco per il bucket (ad esempio sentinelone-logs).
    • Località di archiviazione: seleziona la regione in cui si troverà il bucket (ad esempio US-West1).
    • Classe di archiviazione: scegli una classe di archiviazione Standard.
  5. Fai clic su Crea.

Configura Cloud Funnel in SentinelOne

  1. Nella console SentinelOne, vai a Impostazioni.
  2. Individua l'opzione Canalizzazione cloud (in Integrazioni).
  3. Se non è già abilitata, fai clic su Abilita Cloud Funnel.
  4. Una volta attivata, ti viene chiesto di configurare le impostazioni della destinazione.
    • Selezione della destinazione: scegli Google Cloud Storage come destinazione per l'esportazione dei log.
    • Google Cloud Storage: fornisci le credenziali Google Cloud Storage.
    • Frequenza di esportazione dei log: imposta la frequenza di esportazione dei log (ad esempio, oraria o giornaliera).

Come configurare l'esportazione dei log di Cloud Funnel

  1. Nella sezione Configurazione canalizzazione cloud della console SentinelOne, imposta quanto segue:
    • Frequenza di esportazione dei log: scegli la frequenza con cui devono essere esportati i log (ad es. ogni ora o ogni giorno).
    • Formato log: scegli il formato JSON.
    • Nome bucket: inserisci il nome del bucket Google Cloud Storage che hai creato in precedenza (ad esempio, sentinelone-logs).
    • (Facoltativo) Prefisso percorso log: specifica un prefisso per organizzare i log all'interno del bucket (ad esempio, sentinelone-logs/).
  2. Una volta configurate le impostazioni, fai clic su Salva per applicare le modifiche.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Sentinel EDR Logs.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona Sentinel EDR come Tipo di log.
  7. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: URL del bucket Cloud Storage nel formato gs://my-bucket/<value>.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: l'URI di origine del bucket Google Cloud Storage.
  • URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
event.contentHash.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo di destinazione, estratto dal campo event.contentHash.sha256 nel log non elaborato.
event.decodedContent target.labels I contenuti decodificati di uno script, estratti dal campo event.decodedContent nel log non elaborato. Viene aggiunto come etichetta con la chiave Decoded Content all'oggetto di destinazione.
event.destinationAddress.address target.ip L'indirizzo IP della destinazione, estratto dal campo event.destinationAddress.address nel log non elaborato.
event.destinationAddress.port target.port La porta della destinazione, estratta dal campo event.destinationAddress.port nel log non elaborato.
event.method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
event.newValueData target.registry.registry_value_data I nuovi dati di valore del valore del registro, estratti dal campo event.newValueData nel log non elaborato.
event.process.commandLine target.process.command_line La riga di comando del processo, estratta dal campo event.process.commandLine nel log non elaborato.
event.process.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.md5 nel log non elaborato.
event.process.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha1 nel log non elaborato.
event.process.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha256 nel log non elaborato.
event.process.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo, estratto dal campo event.process.executable.path nel log non elaborato.
event.process.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo, estratte dal campo event.process.executable.sizeBytes nel log non elaborato.
event.process.fullPid.pid target.process.pid Il PID del processo, estratto dal campo event.process.fullPid.pid nel log non elaborato.
event.query network.dns.questions.name La query DNS, estratta dal campo event.query nel log non elaborato.
event.regKey.path target.registry.registry_key Il percorso della chiave del Registro di sistema, estratto dal campo event.regKey.path nel log non elaborato.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Il nome del valore del registro, estratto dal campo event.regValue.key.value nel log non elaborato.
event.regValue.path target.registry.registry_key Il percorso del valore del registro, estratto dal campo event.regValue.path nel log non elaborato.
event.results network.dns.answers.data Le risposte DNS, estratte dal campo event.results nel log non elaborato. I dati vengono suddivisi in risposte individuali utilizzando il separatore ";".
event.source.commandLine principal.process.command_line La riga di comando del processo di origine, estratta dal campo event.source.commandLine nel log non elaborato.
event.source.executable.hashes.md5 principal.process.file.md5 L'hash MD5 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.md5 nel log non elaborato.
event.source.executable.hashes.sha1 principal.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha1 nel log non elaborato.
event.source.executable.hashes.sha256 principal.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha256 nel log non elaborato.
event.source.executable.path principal.process.file.full_path Il percorso completo dell'eseguibile del processo di origine, estratto dal campo event.source.executable.path nel log non elaborato.
event.source.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo di origine, estratta dal campo event.source.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.executable.sizeBytes principal.process.file.size Le dimensioni dell'eseguibile del processo di origine, estratte dal campo event.source.executable.sizeBytes nel log non elaborato.
event.source.fullPid.pid principal.process.pid Il PID del processo di origine, estratto dal campo event.source.fullPid.pid nel log non elaborato.
event.source.parent.commandLine principal.process.parent_process.command_line La riga di comando del processo principale di origine, estratta dal campo event.source.parent.commandLine nel log non elaborato.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 L'hash MD5 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.md5 nel log non elaborato.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 L'hash SHA-1 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha1 nel log non elaborato.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 L'hash SHA-256 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha256 nel log non elaborato.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo principale di origine, estratta dal campo event.source.parent.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Parent Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.parent.fullPid.pid principal.process.parent_process.pid Il PID del processo padre di origine, estratto dal campo event.source.parent.fullPid.pid nel log non elaborato.
event.source.user.name principal.user.userid Il nome utente del processo di origine, estratto dal campo event.source.user.name nel log non elaborato.
event.source.user.sid principal.user.windows_sid Il SID di Windows dell'utente del processo di origine, estratto dal campo event.source.user.sid nel log non elaborato.
event.sourceAddress.address principal.ip L'indirizzo IP dell'origine, estratto dal campo event.sourceAddress.address nel log non elaborato.
event.sourceAddress.port principal.port La porta dell'origine, estratta dal campo event.sourceAddress.port nel log non elaborato.
event.target.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.md5 nel log non elaborato.
event.target.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.sha1 nel log non elaborato.
event.target.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.sha256 nel log non elaborato.
event.target.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.path nel log non elaborato.
event.target.executable.signature.signed.identity target.resource.attribute.labels L'identità firmata dell'eseguibile del processo di destinazione, estratta dal campo event.target.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.target.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo di destinazione, estratte dal campo event.target.executable.sizeBytes nel log non elaborato.
event.target.fullPid.pid target.process.pid Il PID del processo di destinazione, estratto dal campo event.target.fullPid.pid nel log non elaborato.
event.targetFile.path target.file.full_path Il percorso completo del file di destinazione, estratto dal campo event.targetFile.path nel log non elaborato.
event.targetFile.signature.signed.identity target.resource.attribute.labels L'identità firmata del file di destinazione, estratta dal campo event.targetFile.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target File Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.trueContext.key.value Non mappato all'UDM.
event.type metadata.description Il tipo di evento, estratto dal campo event.type nel log non elaborato.
event.url target.url L'URL dell'evento, estratto dal campo event.url nel log non elaborato.
meta.agentVersion metadata.product_version, metadata.product_version La versione dell'agente, estratta dal campo meta.agentVersion nel log non elaborato.
meta.computerName principal.hostname, target.hostname Il nome host del computer, estratto dal campo meta.computerName nel log non elaborato.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform La famiglia di sistemi operativi del computer, estratta dal campo meta.osFamily nel log non elaborato. È mappato a LINUX per linux e a WINDOWS per windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version La revisione del sistema operativo del computer, estratta dal campo meta.osRevision nel log non elaborato.
meta.traceId metadata.product_log_id L'ID traccia dell'evento, estratto dal campo meta.traceId nel log non elaborato.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id L'UUID del computer, estratto dal campo meta.uuid nel log non elaborato.
metadata_event_type metadata.event_type Il tipo di evento, impostato dalla logica del parser in base al campo event.type.
metadata_product_name metadata.product_name Il nome del prodotto, impostato su Singularity XDR dalla logica del parser.
metadata_vendor_name metadata.vendor_name Il nome del fornitore, impostato su SentinelOne dalla logica del parser.
network_application_protocol network.application_protocol Il protocollo applicativo della connessione di rete, impostato su DNS per gli eventi DNS dalla logica del parser.
network_dns_questions.name network.dns.questions.name Il nome della query DNS, estratto dal campo event.query nel log non elaborato.
network_direction network.direction La direzione della connessione di rete, impostata su OUTBOUND per le connessioni in uscita e su INBOUND per le connessioni in entrata dalla logica del parser.
network_http_method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
principal.process.command_line target.process.command_line La riga di comando del processo principale, estratta dal campo principal.process.command_line e mappata alla riga di comando del processo di destinazione.
principal.process.file.full_path target.process.file.full_path Il percorso completo del file del processo principale, estratto dal campo principal.process.file.full_path e mappato al percorso completo del file del processo di destinazione.
principal.process.file.md5 target.process.file.md5 L'hash MD5 del file del processo principale, estratto dal campo principal.process.file.md5 e mappato all'MD5 del file del processo di destinazione.
principal.process.file.sha1 target.process.file.sha1 L'hash SHA-1 del file del processo principale, estratto dal campo principal.process.file.sha1 e mappato all'hash SHA-1 del file del processo di destinazione.
principal.process.file.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo principale, estratto dal campo principal.process.file.sha256 e mappato all'hash SHA-256 del file del processo di destinazione.
principal.process.file.size target.process.file.size Le dimensioni del file del processo principale, estratte dal campo principal.process.file.size e mappate alle dimensioni del file del processo di destinazione.
principal.process.pid target.process.pid Il PID del processo principale, estratto dal campo principal.process.pid e mappato al PID del processo di destinazione.
principal.user.userid target.user.userid L'ID utente del principal, estratto dal campo principal.user.userid e mappato all'ID utente di destinazione.
principal.user.windows_sid target.user.windows_sid Il SID di Windows dell'entità, estratto dal campo principal.user.windows_sid e mappato al SID di Windows dell'utente di destinazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.