Raccogliere i log EDR di SentinelOne

Supportato in:

Questo documento spiega come esportare i log di SentinelOne in Google Cloud Storage utilizzando SentinelOne Cloud Funnel. Poiché SentinelOne non offre un'integrazione integrata per esportare direttamente i log in Google Cloud Storage, Cloud Funnel funge da servizio intermediario per inviare i log a Cloud Storage.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato alla piattaforma Google Cloud
  • Accesso con privilegi a SentinelOne

Configura le autorizzazioni per Cloud Funnel per accedere a Cloud Storage

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a IAM e amministrazione.
  3. Nella pagina IAM, aggiungi un nuovo ruolo IAM per l'account di servizio Cloud Funnel:
    • Assegna le autorizzazioni Storage Object Creator.
    • (Facoltativo) Assegna Visualizzatore oggetti Storage se vuoi che Cloud Funnel legga gli oggetti dal bucket.
  4. Concedi queste autorizzazioni al service account Cloud Funnel.

Crea un bucket Cloud Storage

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Storage > Browser.
  3. Fai clic su Crea bucket.
  4. Fornisci le seguenti configurazioni:
    • Nome bucket: scegli un nome univoco per il bucket (ad esempio sentinelone-logs).
    • Località di archiviazione: seleziona la regione in cui si troverà il bucket (ad esempio US-West1).
    • Classe di archiviazione: scegli una classe di archiviazione Standard.
  5. Fai clic su Crea.

Configura Cloud Funnel in SentinelOne

  1. Nella console SentinelOne, vai a Impostazioni.
  2. Individua l'opzione Canalizzazione cloud (in Integrazioni).
  3. Se non è già abilitata, fai clic su Abilita Cloud Funnel.
  4. Una volta attivata, ti viene chiesto di configurare le impostazioni della destinazione.
    • Selezione della destinazione: scegli Google Cloud Storage come destinazione per l'esportazione dei log.
    • Google Cloud Storage: fornisci le credenziali Google Cloud Storage.
    • Frequenza di esportazione dei log: imposta la frequenza di esportazione dei log (ad esempio, oraria o giornaliera).

Come configurare l'esportazione dei log di Cloud Funnel

  1. Nella sezione Configurazione del funnel cloud della console SentinelOne, imposta quanto segue:
    • Frequenza di esportazione dei log: scegli la frequenza con cui devono essere esportati i log (ad es. ogni ora o ogni giorno).
    • Formato log: scegli il formato JSON.
    • Nome bucket: inserisci il nome del bucket Google Cloud Storage che hai creato in precedenza (ad esempio, sentinelone-logs).
    • (Facoltativo) Prefisso percorso log: specifica un prefisso per organizzare i log all'interno del bucket (ad esempio, sentinelone-logs/).
  2. Una volta configurate le impostazioni, fai clic su Salva per applicare le modifiche.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed EDR di SentinelOne

  1. Fai clic sul pacchetto SentinelOne.
  2. Individua il feed SentinelOne EDR.
  3. Specifica i valori per i seguenti campi:
    • Tipo di origine: Google Cloud Storage V2.
    • URI bucket di archiviazione: l'URI di origine del bucket Google Cloud Storage.
    • Opzione di eliminazione dell'origine: indica se eliminare file o directory dopo il trasferimento. Seleziona l'opzione Elimina i file trasferiti in Opzione di eliminazione dell'origine.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • Service account Chronicle: copia il service account. Ti servirà per aggiungere autorizzazioni nel bucket per consentire a Google SecOps di leggere o eliminare i dati nel bucket.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
  1. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
event.contentHash.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo di destinazione, estratto dal campo event.contentHash.sha256 nel log non elaborato.
event.decodedContent target.labels I contenuti decodificati di uno script, estratti dal campo event.decodedContent nel log non elaborato. Viene aggiunto come etichetta con la chiave Decoded Content all'oggetto di destinazione.
event.destinationAddress.address target.ip L'indirizzo IP della destinazione, estratto dal campo event.destinationAddress.address nel log non elaborato.
event.destinationAddress.port target.port La porta della destinazione, estratta dal campo event.destinationAddress.port nel log non elaborato.
event.method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
event.newValueData target.registry.registry_value_data I nuovi dati di valore del valore del registro, estratti dal campo event.newValueData nel log non elaborato.
event.process.commandLine target.process.command_line La riga di comando del processo, estratta dal campo event.process.commandLine nel log non elaborato.
event.process.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.md5 nel log non elaborato.
event.process.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha1 nel log non elaborato.
event.process.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha256 nel log non elaborato.
event.process.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo, estratto dal campo event.process.executable.path nel log non elaborato.
event.process.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo, estratte dal campo event.process.executable.sizeBytes nel log non elaborato.
event.process.fullPid.pid target.process.pid Il PID del processo, estratto dal campo event.process.fullPid.pid nel log non elaborato.
event.query network.dns.questions.name La query DNS, estratta dal campo event.query nel log non elaborato.
event.regKey.path target.registry.registry_key Il percorso della chiave del Registro di sistema, estratto dal campo event.regKey.path nel log non elaborato.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Il nome del valore del registro, estratto dal campo event.regValue.key.value nel log non elaborato.
event.regValue.path target.registry.registry_key Il percorso del valore del registro, estratto dal campo event.regValue.path nel log non elaborato.
event.results network.dns.answers.data Le risposte DNS, estratte dal campo event.results nel log non elaborato. I dati vengono suddivisi in risposte individuali utilizzando il separatore ";".
event.source.commandLine principal.process.command_line La riga di comando del processo di origine, estratta dal campo event.source.commandLine nel log non elaborato.
event.source.executable.hashes.md5 principal.process.file.md5 L'hash MD5 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.md5 nel log non elaborato.
event.source.executable.hashes.sha1 principal.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha1 nel log non elaborato.
event.source.executable.hashes.sha256 principal.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha256 nel log non elaborato.
event.source.executable.path principal.process.file.full_path Il percorso completo dell'eseguibile del processo di origine, estratto dal campo event.source.executable.path nel log non elaborato.
event.source.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo di origine, estratta dal campo event.source.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.executable.sizeBytes principal.process.file.size Le dimensioni dell'eseguibile del processo di origine, estratte dal campo event.source.executable.sizeBytes nel log non elaborato.
event.source.fullPid.pid principal.process.pid Il PID del processo di origine, estratto dal campo event.source.fullPid.pid nel log non elaborato.
event.source.parent.commandLine principal.process.parent_process.command_line La riga di comando del processo principale di origine, estratta dal campo event.source.parent.commandLine nel log non elaborato.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 L'hash MD5 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.md5 nel log non elaborato.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 L'hash SHA-1 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha1 nel log non elaborato.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 L'hash SHA-256 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha256 nel log non elaborato.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo principale di origine, estratta dal campo event.source.parent.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Parent Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.parent.fullPid.pid principal.process.parent_process.pid Il PID del processo padre di origine, estratto dal campo event.source.parent.fullPid.pid nel log non elaborato.
event.source.user.name principal.user.userid Il nome utente dell'utente del processo di origine, estratto dal campo event.source.user.name nel log non elaborato.
event.source.user.sid principal.user.windows_sid Il SID di Windows dell'utente del processo di origine, estratto dal campo event.source.user.sid nel log non elaborato.
event.sourceAddress.address principal.ip L'indirizzo IP dell'origine, estratto dal campo event.sourceAddress.address nel log non elaborato.
event.sourceAddress.port principal.port La porta dell'origine, estratta dal campo event.sourceAddress.port nel log non elaborato.
event.target.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.md5 nel log non elaborato.
event.target.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.sha1 nel log non elaborato.
event.target.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.hashes.sha256 nel log non elaborato.
event.target.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo di destinazione, estratto dal campo event.target.executable.path nel log non elaborato.
event.target.executable.signature.signed.identity target.resource.attribute.labels L'identità firmata dell'eseguibile del processo di destinazione, estratta dal campo event.target.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.target.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo di destinazione, estratte dal campo event.target.executable.sizeBytes nel log non elaborato.
event.target.fullPid.pid target.process.pid Il PID del processo di destinazione, estratto dal campo event.target.fullPid.pid nel log non elaborato.
event.targetFile.path target.file.full_path Il percorso completo del file di destinazione, estratto dal campo event.targetFile.path nel log non elaborato.
event.targetFile.signature.signed.identity target.resource.attribute.labels L'identità firmata del file di destinazione, estratta dal campo event.targetFile.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target File Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.trueContext.key.value Non mappato a UDM.
event.type metadata.description Il tipo di evento, estratto dal campo event.type nel log non elaborato.
event.url target.url L'URL dell'evento, estratto dal campo event.url nel log non elaborato.
meta.agentVersion metadata.product_version, metadata.product_version La versione dell'agente, estratta dal campo meta.agentVersion nel log non elaborato.
meta.computerName principal.hostname, target.hostname Il nome host del computer, estratto dal campo meta.computerName nel log non elaborato.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform La famiglia di sistemi operativi del computer, estratta dal campo meta.osFamily nel log non elaborato. È mappato a LINUX per linux e a WINDOWS per windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version La revisione del sistema operativo del computer, estratta dal campo meta.osRevision nel log non elaborato.
meta.traceId metadata.product_log_id L'ID traccia dell'evento, estratto dal campo meta.traceId nel log non elaborato.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id L'UUID del computer, estratto dal campo meta.uuid nel log non elaborato.
metadata_event_type metadata.event_type Il tipo di evento, impostato dalla logica del parser in base al campo event.type.
metadata_product_name metadata.product_name Il nome del prodotto, impostato su Singularity XDR dalla logica del parser.
metadata_vendor_name metadata.vendor_name Il nome del fornitore, impostato su SentinelOne dalla logica del parser.
network_application_protocol network.application_protocol Il protocollo di applicazione della connessione di rete, impostato su DNS per gli eventi DNS dalla logica del parser.
network_dns_questions.name network.dns.questions.name Il nome della query DNS, estratto dal campo event.query nel log non elaborato.
network_direction network.direction La direzione della connessione di rete, impostata su OUTBOUND per le connessioni in uscita e su INBOUND per le connessioni in entrata dalla logica del parser.
network_http_method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
principal.process.command_line target.process.command_line La riga di comando del processo principale, estratta dal campo principal.process.command_line e mappata alla riga di comando del processo di destinazione.
principal.process.file.full_path target.process.file.full_path Il percorso completo del file del processo principale, estratto dal campo principal.process.file.full_path e mappato al percorso completo del file del processo di destinazione.
principal.process.file.md5 target.process.file.md5 L'hash MD5 del file del processo principale, estratto dal campo principal.process.file.md5 e mappato all'MD5 del file del processo di destinazione.
principal.process.file.sha1 target.process.file.sha1 L'hash SHA-1 del file del processo principale, estratto dal campo principal.process.file.sha1 e mappato all'hash SHA-1 del file del processo di destinazione.
principal.process.file.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo principale, estratto dal campo principal.process.file.sha256 e mappato all'hash SHA-256 del file del processo di destinazione.
principal.process.file.size target.process.file.size Le dimensioni del file del processo principale, estratte dal campo principal.process.file.size e mappate alle dimensioni del file del processo di destinazione.
principal.process.pid target.process.pid Il PID del processo principale, estratto dal campo principal.process.pid e mappato al PID del processo di destinazione.
principal.user.userid target.user.userid L'ID utente del principal, estratto dal campo principal.user.userid e mappato all'ID utente di destinazione.
principal.user.windows_sid target.user.windows_sid Il SID di Windows dell'entità, estratto dal campo principal.user.windows_sid e mappato al SID di Windows dell'utente di destinazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.