Coletar registros do EDR da SentinelOne

Compatível com:

Este documento explica como exportar registros do SentinelOne para o Google Cloud Storage usando o SentinelOne Cloud Funnel. Como o SentinelOne não oferece uma integração integrada para exportar registros diretamente para o Google Cloud Storage, o Cloud Funnel atua como um serviço intermediário para enviar registros ao Cloud Storage.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à plataforma Google Cloud
  • Acesso privilegiado ao SentinelOne

Configurar permissões para que o Cloud Funnel acesse o Cloud Storage

  1. Faça login no console doGoogle Cloud .
  2. Acesse IAM e administrador.
  3. Na página IAM, adicione um novo papel do IAM para a conta de serviço do Funil de nuvem:
    • Atribua permissões de Criador de objetos do Storage.
    • Opcional: atribua o papel Leitor de objetos do Storage se precisar que o Cloud Funnel leia objetos do bucket.
  4. Conceda essas permissões à conta de serviço do Cloud Funnel.

Crie um bucket do Cloud Storage

  1. Faça login no console doGoogle Cloud .
  2. Acesse Storage > Navegador.
  3. Clique em Criar bucket.
  4. Forneça as seguintes configurações:
    • Nome do bucket: escolha um nome exclusivo para o bucket (por exemplo, sentinelone-logs).
    • Local de armazenamento: selecione a região em que o bucket vai ficar (por exemplo, US-West1).
    • Classe de armazenamento: escolha uma classe de armazenamento Padrão.
  5. Clique em Criar.

Configurar o Cloud Funnel no SentinelOne

  1. No console do SentinelOne, acesse Configurações.
  2. Encontre a opção Funil de nuvem (em Integrações).
  3. Se ela ainda não estiver ativada, clique em Ativar o funil de nuvem.
  4. Depois de ativado, você vai precisar configurar as opções de Destino.
    • Seleção de destino: escolha Google Cloud Storage como o destino para exportar registros.
    • Google Cloud Storage: forneça as credenciais do Google Cloud Storage.
    • Frequência de exportação de registros: defina a frequência para exportar registros (por exemplo, por hora ou por dia).

Como configurar a exportação de registros de funil do Cloud

  1. Na seção Configuração do funil do Cloud do console do SentinelOne, defina o seguinte:
    • Frequência de exportação de registros: escolha com que frequência os registros devem ser exportados (por exemplo, a cada hora ou a cada dia).
    • Formato do registro: escolha o formato JSON.
    • Nome do bucket: insira o nome do bucket do Google Cloud Storage que você criou anteriormente (por exemplo, sentinelone-logs).
    • Opcional: Prefixo do caminho do registro: especifique um prefixo para organizar os registros no bucket (por exemplo, sentinelone-logs/).
  2. Depois de configurar as opções, clique em Salvar para aplicar as mudanças.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Sentinel EDR.
  5. Selecione Google Cloud Storage como o Tipo de origem.
  6. Selecione Sentinel EDR como o Tipo de registro.
  7. Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
  8. Clique em Próxima.

  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket de armazenamento: URL do bucket do Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.

  10. Clique em Próxima.

  11. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: o URI de origem do bucket do Google Cloud Storage.
  • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
  • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
event.contentHash.sha256 target.process.file.sha256 O hash SHA-256 do arquivo do processo de destino, extraído do campo event.contentHash.sha256 no registro bruto.
event.decodedContent target.labels O conteúdo decodificado de um script, extraído do campo event.decodedContent no registro bruto. Ele é adicionado como um rótulo com a chave Decoded Content ao objeto de destino.
event.destinationAddress.address target.ip O endereço IP do destino, extraído do campo event.destinationAddress.address no registro bruto.
event.destinationAddress.port target.port A porta do destino, extraída do campo event.destinationAddress.port no registro bruto.
event.method network.http.method O método HTTP do evento, extraído do campo event.method no log bruto.
event.newValueData target.registry.registry_value_data Os novos dados de valor do valor do registro, extraídos do campo event.newValueData no registro bruto.
event.process.commandLine target.process.command_line A linha de comando do processo, extraída do campo event.process.commandLine no registro bruto.
event.process.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo, extraído do campo event.process.executable.hashes.md5 no registro bruto.
event.process.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo, extraído do campo event.process.executable.hashes.sha1 no registro bruto.
event.process.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo, extraído do campo event.process.executable.hashes.sha256 no registro bruto.
event.process.executable.path target.process.file.full_path O caminho completo do executável do processo, extraído do campo event.process.executable.path no registro bruto.
event.process.executable.sizeBytes target.process.file.size O tamanho do executável do processo, extraído do campo event.process.executable.sizeBytes no registro bruto.
event.process.fullPid.pid target.process.pid O PID do processo, extraído do campo event.process.fullPid.pid no registro bruto.
event.query network.dns.questions.name A consulta DNS, extraída do campo event.query no registro bruto.
event.regKey.path target.registry.registry_key O caminho da chave do registro, extraído do campo event.regKey.path no registro bruto.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name O nome do valor do registro, extraído do campo event.regValue.key.value no registro bruto.
event.regValue.path target.registry.registry_key O caminho do valor do registro, extraído do campo event.regValue.path no registro bruto.
event.results network.dns.answers.data As respostas de DNS, extraídas do campo event.results no registro bruto. Os dados são divididos em respostas individuais usando o separador ";".
event.source.commandLine principal.process.command_line A linha de comando do processo de origem, extraída do campo event.source.commandLine no registro bruto.
event.source.executable.hashes.md5 principal.process.file.md5 O hash MD5 do executável do processo de origem, extraído do campo event.source.executable.hashes.md5 no registro bruto.
event.source.executable.hashes.sha1 principal.process.file.sha1 O hash SHA-1 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha1 no registro bruto.
event.source.executable.hashes.sha256 principal.process.file.sha256 O hash SHA-256 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha256 no registro bruto.
event.source.executable.path principal.process.file.full_path O caminho completo do executável do processo de origem, extraído do campo event.source.executable.path no registro bruto.
event.source.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo de origem, extraída do campo event.source.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Source Signature Signed Identity aos rótulos de atributo do recurso principal.
event.source.executable.sizeBytes principal.process.file.size O tamanho do executável do processo de origem, extraído do campo event.source.executable.sizeBytes no registro bruto.
event.source.fullPid.pid principal.process.pid O PID do processo de origem, extraído do campo event.source.fullPid.pid no registro bruto.
event.source.parent.commandLine principal.process.parent_process.command_line A linha de comando do processo pai de origem, extraída do campo event.source.parent.commandLine no registro bruto.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 O hash MD5 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.md5 no registro bruto.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 O hash SHA-1 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.sha1 no registro bruto.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 O hash SHA-256 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.sha256 no registro bruto.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo pai de origem, extraída do campo event.source.parent.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Source Parent Signature Signed Identity aos rótulos de atributo do recurso principal.
event.source.parent.fullPid.pid principal.process.parent_process.pid O PID do processo pai de origem, extraído do campo event.source.parent.fullPid.pid no registro bruto.
event.source.user.name principal.user.userid O nome de usuário do processo de origem, extraído do campo event.source.user.name no registro bruto.
event.source.user.sid principal.user.windows_sid O SID do Windows do usuário do processo de origem, extraído do campo event.source.user.sid no registro bruto.
event.sourceAddress.address principal.ip O endereço IP da origem, extraído do campo event.sourceAddress.address no registro bruto.
event.sourceAddress.port principal.port A porta da origem, extraída do campo event.sourceAddress.port no registro bruto.
event.target.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo de destino, extraído do campo event.target.executable.hashes.md5 no registro bruto.
event.target.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha1 no registro bruto.
event.target.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha256 no registro bruto.
event.target.executable.path target.process.file.full_path O caminho completo do executável do processo de destino, extraído do campo event.target.executable.path no registro bruto.
event.target.executable.signature.signed.identity target.resource.attribute.labels A identidade assinada do executável do processo de destino, extraída do campo event.target.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Target Signature Signed Identity aos rótulos de atributo do recurso de destino.
event.target.executable.sizeBytes target.process.file.size O tamanho do executável do processo de destino, extraído do campo event.target.executable.sizeBytes no registro bruto.
event.target.fullPid.pid target.process.pid O PID do processo de destino, extraído do campo event.target.fullPid.pid no registro bruto.
event.targetFile.path target.file.full_path O caminho completo do arquivo de destino, extraído do campo event.targetFile.path no registro bruto.
event.targetFile.signature.signed.identity target.resource.attribute.labels A identidade assinada do arquivo de destino, extraída do campo event.targetFile.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Target File Signature Signed Identity aos rótulos de atributo do recurso de destino.
event.trueContext.key.value Não mapeado para a UDM.
event.type metadata.description O tipo do evento, extraído do campo event.type no registro bruto.
event.url target.url O URL do evento, extraído do campo event.url no registro bruto.
meta.agentVersion metadata.product_version, metadata.product_version A versão do agente, extraída do campo meta.agentVersion no registro bruto.
meta.computerName principal.hostname, target.hostname O nome do host do computador, extraído do campo meta.computerName no log bruto.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform A família do sistema operacional do computador, extraída do campo meta.osFamily no registro bruto. Ele é mapeado para LINUX em linux e WINDOWS em windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version A revisão do sistema operacional do computador, extraída do campo meta.osRevision no registro bruto.
meta.traceId metadata.product_log_id O ID de rastreamento do evento, extraído do campo meta.traceId no registro bruto.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id O UUID do computador, extraído do campo meta.uuid no registro bruto.
metadata_event_type metadata.event_type O tipo do evento, definido pela lógica do analisador com base no campo event.type.
metadata_product_name metadata.product_name O nome do produto, definido como Singularity XDR pela lógica do analisador.
metadata_vendor_name metadata.vendor_name O nome do fornecedor, definido como SentinelOne pela lógica do analisador.
network_application_protocol network.application_protocol O protocolo de aplicativo da conexão de rede, definido como DNS para eventos de DNS pela lógica do analisador.
network_dns_questions.name network.dns.questions.name O nome da consulta DNS, extraído do campo event.query no registro bruto.
network_direction network.direction A direção da conexão de rede, definida como OUTBOUND para conexões de saída e INBOUND para conexões de entrada pela lógica do analisador.
network_http_method network.http.method O método HTTP do evento, extraído do campo event.method no log bruto.
principal.process.command_line target.process.command_line A linha de comando do processo principal, extraída do campo principal.process.command_line e mapeada para a linha de comando do processo de destino.
principal.process.file.full_path target.process.file.full_path O caminho completo do arquivo do processo principal, extraído do campo principal.process.file.full_path e mapeado para o caminho completo do arquivo do processo de destino.
principal.process.file.md5 target.process.file.md5 O hash MD5 do arquivo do processo principal, extraído do campo principal.process.file.md5 e mapeado para o MD5 do arquivo do processo de destino.
principal.process.file.sha1 target.process.file.sha1 O hash SHA-1 do arquivo do processo principal, extraído do campo principal.process.file.sha1 e mapeado para o SHA-1 do arquivo do processo de destino.
principal.process.file.sha256 target.process.file.sha256 O hash SHA-256 do arquivo do processo principal, extraído do campo principal.process.file.sha256 e mapeado para o SHA-256 do arquivo do processo de destino.
principal.process.file.size target.process.file.size O tamanho do arquivo do processo principal, extraído do campo principal.process.file.size e mapeado para o tamanho do arquivo do processo de destino.
principal.process.pid target.process.pid O PID do processo principal, extraído do campo principal.process.pid e mapeado para o PID do processo de destino.
principal.user.userid target.user.userid O ID do usuário do principal, extraído do campo principal.user.userid e mapeado para o ID do usuário de destino.
principal.user.windows_sid target.user.windows_sid O SID do Windows do principal, extraído do campo principal.user.windows_sid e mapeado para o SID do Windows do usuário de destino.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.