このページは Cloud Translation API によって翻訳されました。

SentinelOne EDR のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、SentinelOne Cloud ファネルを使用して SentinelOne ログを Google Cloud Storage にエクスポートする方法について説明します。SentinelOne には、ログを Google Cloud Storage に直接エクスポートする組み込みの統合機能がないため、Cloud Funnel はログを Cloud Storage に push する仲介サービスとして機能します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Google Cloud プラットフォームへの特権アクセス
SentinelOne への特権アクセス

Cloud Funnel が Cloud Storage にアクセスするための権限を構成する

Google Cloud コンソールにログインします。
[IAM と管理] に移動します。
[IAM] ページで、Cloud Funnel サービスアカウントの新しい IAM ロールを追加します。
- ストレージオブジェクト作成者権限を割り当てます。
- 省略可: Cloud Funnel でバケットからオブジェクトを読み取る必要がある場合は、ストレージオブジェクト閲覧者を割り当てます。
これらの権限を Cloud Funnel サービスアカウントに付与します。

Cloud Storage バケットを作成する

Google Cloud コンソールにログインします。
[ストレージ>ブラウザ] に移動します。
[バケットを作成] をクリックします。
次の構成を指定します。
- バケット名: バケットの一意の名前を選択します（例: sentinelone-logs）。
- ストレージのロケーション: バケットが配置されるリージョンを選択します（例: US-West1）。
- ストレージクラス: Standard ストレージクラスを選択します。
[作成] をクリックします。

SentinelOne で Cloud ファネルを構成する

SentinelOne コンソールで、[Settings] に移動します。
[統合] の下にある [Cloud Funnel] オプションを見つけます。
まだ有効になっていない場合は、[Cloud Funnel を有効にする] をクリックします。
有効にすると、[宛先] 設定を構成するよう求められます。
- 宛先の選択: ログのエクスポート先として Google Cloud Storage を選択します。
- Google Cloud Storage: Google Cloud Storage の認証情報を指定します。
- ログのエクスポート頻度: ログをエクスポートする頻度（時間単位、日単位など）を設定します。

Cloud Funnel Log Export の構成方法

SentinelOne コンソールの [Cloud Funnel Configuration] セクションで、次のように設定します。
- ログのエクスポート頻度: ログをエクスポートする頻度（1 時間ごと、毎日など）を選択します。
- ログ形式: JSON 形式を選択します。
- バケット名: 以前に作成した Google Cloud Storage バケットの名前を入力します（例: sentinelone-logs）。
- 省略可: ログパスの接頭辞: バケット内のログを整理するための接頭辞を指定します（例: sentinelone-logs/）。
設定が完了したら、[保存] をクリックして変更を適用します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクトファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで、[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Sentinel EDR Logs）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [Sentinel EDR] を選択します。
Chronicle サービスアカウントとして [サービスアカウントを取得する] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI: gs://my-bucket/<value> 形式の Cloud Storage バケット URL。
- URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

ストレージバケット URI: Google Cloud Storage バケットのソース URI。
URI is a: ログストリームの構成（[単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ]）に応じて URI タイプを選択します。
Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
Asset Namespace: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`event.contentHash.sha256`	`target.process.file.sha256`	未加工のログの `event.contentHash.sha256` フィールドから抽出された、ターゲットプロセスのファイルの SHA-256 ハッシュ。
`event.decodedContent`	`target.labels`	未加工ログの `event.decodedContent` フィールドから抽出された、スクリプトのデコードされたコンテンツ。キー `Decoded Content` のラベルとしてターゲットオブジェクトに追加されます。
`event.destinationAddress.address`	`target.ip`	宛先の IP アドレス。未加工ログの `event.destinationAddress.address` フィールドから抽出されます。
`event.destinationAddress.port`	`target.port`	宛先のポート。未加工ログの `event.destinationAddress.port` フィールドから抽出されます。
`event.method`	`network.http.method`	イベントの HTTP メソッド。未加工ログの `event.method` フィールドから抽出されます。
`event.newValueData`	`target.registry.registry_value_data`	未加工ログの `event.newValueData` フィールドから抽出された、レジストリ値の新しい値データ。
`event.process.commandLine`	`target.process.command_line`	プロセスのコマンドライン。未加工ログの `event.process.commandLine` フィールドから抽出されます。
`event.process.executable.hashes.md5`	`target.process.file.md5`	プロセスの実行可能ファイルの MD5 ハッシュ。未加工ログの `event.process.executable.hashes.md5` フィールドから抽出されます。
`event.process.executable.hashes.sha1`	`target.process.file.sha1`	プロセスの実行可能ファイルの SHA-1 ハッシュ。未加工ログの `event.process.executable.hashes.sha1` フィールドから抽出されます。
`event.process.executable.hashes.sha256`	`target.process.file.sha256`	プロセスの実行可能ファイルの SHA-256 ハッシュ。未加工ログの `event.process.executable.hashes.sha256` フィールドから抽出されます。
`event.process.executable.path`	`target.process.file.full_path`	プロセスの実行可能ファイルのフルパス。未加工ログの `event.process.executable.path` フィールドから抽出されます。
`event.process.executable.sizeBytes`	`target.process.file.size`	未加工ログの `event.process.executable.sizeBytes` フィールドから抽出された、プロセスの実行可能ファイルのサイズ。
`event.process.fullPid.pid`	`target.process.pid`	未加工ログの `event.process.fullPid.pid` フィールドから抽出されたプロセスの PID。
`event.query`	`network.dns.questions.name`	DNS クエリ。未加工ログの `event.query` フィールドから抽出されます。
`event.regKey.path`	`target.registry.registry_key`	未加工ログの `event.regKey.path` フィールドから抽出されたレジストリキーのパス。
`event.regValue.key.value`	`target.registry.registry_name`、`target.registry.registry_value_name`	未加工ログの `event.regValue.key.value` フィールドから抽出されたレジストリ値の名前。
`event.regValue.path`	`target.registry.registry_key`	未加工ログの `event.regValue.path` フィールドから抽出されたレジストリ値のパス。
`event.results`	`network.dns.answers.data`	DNS 回答。未加工ログの `event.results` フィールドから抽出されます。データは、「`;`」区切り文字を使用して個々の回答に分割されます。
`event.source.commandLine`	`principal.process.command_line`	ソースプロセスのコマンドライン。未加工ログの `event.source.commandLine` フィールドから抽出されます。
`event.source.executable.hashes.md5`	`principal.process.file.md5`	ソースプロセスの実行可能ファイルの MD5 ハッシュ。未加工ログの `event.source.executable.hashes.md5` フィールドから抽出されます。
`event.source.executable.hashes.sha1`	`principal.process.file.sha1`	未加工ログの `event.source.executable.hashes.sha1` フィールドから抽出された、ソースプロセスの実行可能ファイルの SHA-1 ハッシュ。
`event.source.executable.hashes.sha256`	`principal.process.file.sha256`	未加工ログの `event.source.executable.hashes.sha256` フィールドから抽出された、ソースプロセスの実行可能ファイルの SHA-256 ハッシュ。
`event.source.executable.path`	`principal.process.file.full_path`	ソースプロセスの実行可能ファイルのフルパス。未加工ログの `event.source.executable.path` フィールドから抽出されます。
`event.source.executable.signature.signed.identity`	`principal.resource.attribute.labels`	未加工のログの `event.source.executable.signature.signed.identity` フィールドから抽出された、ソースプロセスの実行可能ファイルの署名付き ID。プリンシパルリソース属性ラベルにキー `Source Signature Signed Identity` のラベルとして追加されます。
`event.source.executable.sizeBytes`	`principal.process.file.size`	未加工ログの `event.source.executable.sizeBytes` フィールドから抽出された、ソースプロセスの実行可能ファイルのサイズ。
`event.source.fullPid.pid`	`principal.process.pid`	未加工ログの `event.source.fullPid.pid` フィールドから抽出された、ソースプロセスの PID。
`event.source.parent.commandLine`	`principal.process.parent_process.command_line`	未加工のログの `event.source.parent.commandLine` フィールドから抽出された、ソースの親プロセスのコマンドライン。
`event.source.parent.executable.hashes.md5`	`principal.process.parent_process.file.md5`	ソースの親プロセスの実行可能ファイルの MD5 ハッシュ。未加工ログの `event.source.parent.executable.hashes.md5` フィールドから抽出されます。
`event.source.parent.executable.hashes.sha1`	`principal.process.parent_process.file.sha1`	未加工ログの `event.source.parent.executable.hashes.sha1` フィールドから抽出された、ソースの親プロセスの実行可能ファイルの SHA-1 ハッシュ。
`event.source.parent.executable.hashes.sha256`	`principal.process.parent_process.file.sha256`	未加工ログの `event.source.parent.executable.hashes.sha256` フィールドから抽出された、ソースの親プロセスの実行可能ファイルの SHA-256 ハッシュ。
`event.source.parent.executable.signature.signed.identity`	`principal.resource.attribute.labels`	未加工のログの `event.source.parent.executable.signature.signed.identity` フィールドから抽出された、ソースの親プロセスの実行可能ファイルの署名付き ID。プリンシパルリソース属性ラベルにキー `Source Parent Signature Signed Identity` のラベルとして追加されます。
`event.source.parent.fullPid.pid`	`principal.process.parent_process.pid`	未加工ログの `event.source.parent.fullPid.pid` フィールドから抽出された、ソースの親プロセスの PID。
`event.source.user.name`	`principal.user.userid`	移行元プロセスのユーザーのユーザー名。未加工ログの `event.source.user.name` フィールドから抽出されます。
`event.source.user.sid`	`principal.user.windows_sid`	未加工ログの `event.source.user.sid` フィールドから抽出された、ソースプロセスのユーザーの Windows SID。
`event.sourceAddress.address`	`principal.ip`	未加工ログの `event.sourceAddress.address` フィールドから抽出された送信元の IP アドレス。
`event.sourceAddress.port`	`principal.port`	未加工ログの `event.sourceAddress.port` フィールドから抽出された送信元ポート。
`event.target.executable.hashes.md5`	`target.process.file.md5`	ターゲットプロセスの実行可能ファイルの MD5 ハッシュ。未加工ログの `event.target.executable.hashes.md5` フィールドから抽出されます。
`event.target.executable.hashes.sha1`	`target.process.file.sha1`	未加工ログの `event.target.executable.hashes.sha1` フィールドから抽出された、ターゲットプロセスの実行可能ファイルの SHA-1 ハッシュ。
`event.target.executable.hashes.sha256`	`target.process.file.sha256`	未加工ログの `event.target.executable.hashes.sha256` フィールドから抽出された、ターゲットプロセスの実行可能ファイルの SHA-256 ハッシュ。
`event.target.executable.path`	`target.process.file.full_path`	未加工ログの `event.target.executable.path` フィールドから抽出された、ターゲットプロセスの実行可能ファイルのフルパス。
`event.target.executable.signature.signed.identity`	`target.resource.attribute.labels`	ターゲットプロセスの実行可能ファイルの署名付き ID。未加工ログの `event.target.executable.signature.signed.identity` フィールドから抽出されます。キー `Target Signature Signed Identity` のラベルとして、ターゲットリソース属性ラベルに追加されます。
`event.target.executable.sizeBytes`	`target.process.file.size`	未加工ログの `event.target.executable.sizeBytes` フィールドから抽出された、ターゲットプロセスの実行可能ファイルのサイズ。
`event.target.fullPid.pid`	`target.process.pid`	ターゲットプロセスの PID。未加工ログの `event.target.fullPid.pid` フィールドから抽出されます。
`event.targetFile.path`	`target.file.full_path`	未加工ログの `event.targetFile.path` フィールドから抽出された、ターゲットファイルのフルパス。
`event.targetFile.signature.signed.identity`	`target.resource.attribute.labels`	ターゲットファイルの署名付き ID。未加工ログの `event.targetFile.signature.signed.identity` フィールドから抽出されます。キー `Target File Signature Signed Identity` のラベルとして、ターゲットリソース属性ラベルに追加されます。
`event.trueContext.key.value`		UDM にマッピングされていません。
`event.type`	`metadata.description`	イベントのタイプ。未加工ログの `event.type` フィールドから抽出されます。
`event.url`	`target.url`	イベントの URL。未加工ログの `event.url` フィールドから抽出されます。
`meta.agentVersion`	`metadata.product_version`、`metadata.product_version`	エージェントのバージョン。未加工ログの `meta.agentVersion` フィールドから抽出されます。
`meta.computerName`	`principal.hostname`、`target.hostname`	未加工ログの `meta.computerName` フィールドから抽出されたコンピュータのホスト名。
`meta.osFamily`	`principal.asset.platform_software.platform`、`target.asset.platform_software.platform`	未加工ログの `meta.osFamily` フィールドから抽出された、パソコンのオペレーティングシステムファミリー。`linux` の場合は `LINUX` に、`windows` の場合は `WINDOWS` にマッピングされます。
`meta.osRevision`	`principal.asset.platform_software.platform_version`、`target.asset.platform_software.platform_version`	パソコンのオペレーティングシステムのリビジョン。未加工のログの `meta.osRevision` フィールドから抽出されます。
`meta.traceId`	`metadata.product_log_id`	イベントのトレース ID。未加工のログの `meta.traceId` フィールドから抽出されます。
`meta.uuid`	`principal.asset.product_object_id`、`target.asset.product_object_id`	未加工ログの `meta.uuid` フィールドから抽出されたコンピュータの UUID。
`metadata_event_type`	`metadata.event_type`	イベントのタイプ。`event.type` フィールドに基づいてパーサーロジックによって設定されます。
`metadata_product_name`	`metadata.product_name`	商品の名前。パーサーのロジックによって `Singularity XDR` に設定されます。
`metadata_vendor_name`	`metadata.vendor_name`	ベンダーの名前。パーサーのロジックによって `SentinelOne` に設定されます。
`network_application_protocol`	`network.application_protocol`	ネットワーク接続のアプリケーションプロトコル。パーサーロジックによって DNS イベントの場合は `DNS` に設定されます。
`network_dns_questions.name`	`network.dns.questions.name`	未加工のログの `event.query` フィールドから抽出された DNS クエリの名前。
`network_direction`	`network.direction`	ネットワーク接続の方向。パーサーロジックによって、発信接続の場合は `OUTBOUND`、着信接続の場合は `INBOUND` に設定されます。
`network_http_method`	`network.http.method`	イベントの HTTP メソッド。未加工ログの `event.method` フィールドから抽出されます。
`principal.process.command_line`	`target.process.command_line`	プリンシパルプロセスのコマンドライン。`principal.process.command_line` フィールドから抽出され、ターゲットプロセスのコマンドラインにマッピングされます。
`principal.process.file.full_path`	`target.process.file.full_path`	プリンシパルプロセスのファイルのフルパス。`principal.process.file.full_path` フィールドから抽出され、ターゲットプロセスファイルのフルパスにマッピングされます。
`principal.process.file.md5`	`target.process.file.md5`	プリンシパルプロセスのファイルの MD5 ハッシュ。`principal.process.file.md5` フィールドから抽出され、ターゲットプロセスファイルの MD5 にマッピングされます。
`principal.process.file.sha1`	`target.process.file.sha1`	プリンシパルプロセスのファイルの SHA-1 ハッシュ。`principal.process.file.sha1` フィールドから抽出され、ターゲットプロセスファイルの SHA-1 にマッピングされます。
`principal.process.file.sha256`	`target.process.file.sha256`	プリンシパルプロセスのファイルの SHA-256 ハッシュ。`principal.process.file.sha256` フィールドから抽出され、ターゲットプロセスファイルの SHA-256 にマッピングされます。
`principal.process.file.size`	`target.process.file.size`	プリンシパルプロセスのファイルのサイズ。`principal.process.file.size` フィールドから抽出され、ターゲットプロセスのファイルサイズにマッピングされます。
`principal.process.pid`	`target.process.pid`	プリンシパルプロセスの PID。`principal.process.pid` フィールドから抽出され、ターゲットプロセスの PID にマッピングされます。
`principal.user.userid`	`target.user.userid`	プリンシパルのユーザー ID。`principal.user.userid` フィールドから抽出され、ターゲットユーザー ID にマッピングされます。
`principal.user.windows_sid`	`target.user.windows_sid`	プリンシパルの Windows SID。`principal.user.windows_sid` フィールドから抽出され、ターゲットユーザーの Windows SID にマッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。