收集 SentinelOne EDR 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 SentinelOne Cloud Funnel,將 SentinelOne 記錄檔匯出至 Google Cloud Storage。由於 SentinelOne 未提供內建整合功能,無法直接將記錄匯出至 Google Cloud Storage,因此 Cloud Funnel 會做為中介服務,將記錄推送至 Cloud Storage。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 平台的特殊存取權 Google Cloud
- SentinelOne 的特殊存取權
設定 Cloud Funnel 存取 Cloud Storage 的權限
- 登入Google Cloud 控制台。
- 前往「IAM 與管理」。
- 在「IAM」頁面中,為 Cloud Funnel 服務帳戶新增 IAM 角色:
- 指派「Storage 物件建立者」權限。
- 選用:如果需要 Cloud Funnel 從 bucket 讀取物件,請指派「Storage 物件檢視者」。
- 將這些權限授予 Cloud Funnel 服務帳戶。
建立 Cloud Storage bucket
- 登入Google Cloud 控制台。
- 依序前往「儲存空間」>「瀏覽器」。
- 點選「建立值區」。
- 提供下列設定:
- 值區名稱:為值區選擇專屬名稱 (例如 sentinelone-logs)。
- 儲存空間位置:選取要存放值區的區域 (例如 US-West1)。
- 儲存空間級別:選擇「Standard」儲存空間級別。
- 點選「建立」。
在 SentinelOne 中設定 Cloud Funnel
- 在 SentinelOne 控制台中,前往「設定」。
- 找到「Cloud Funnel」選項 (位於「整合」下方)。
- 如果尚未啟用,請按一下「啟用 Cloud Funnel」。
- 啟用後,系統會提示您設定「目的地」設定。
- 選取目的地:選擇「Google Cloud Storage」做為匯出記錄的目的地。
- Google Cloud Storage:提供 Google Cloud Storage 憑證。
- 記錄匯出頻率:設定匯出記錄的頻率 (例如每小時或每天)。
如何設定 Cloud Funnel 記錄匯出功能
- 在 SentinelOne Console 的「Cloud Funnel Configuration」(雲端漏斗設定) 區段中,設定下列項目:
- 記錄匯出頻率:選擇記錄的匯出頻率 (例如每小時或每天)。
- 記錄格式:選擇 JSON 格式。
- 「Bucket 名稱」:輸入您先前建立的 Google Cloud Storage bucket 名稱 (例如 sentinelone-logs)。
- 選用:記錄路徑前置字串:指定前置字串,在值區中整理記錄 (例如
sentinelone-logs/)。
- 設定完成後,按一下「儲存」即可套用變更。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「Sentinel EDR Logs」。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「Sentinel EDR」做為「記錄類型」。
- 按一下「Chronicle 服務帳戶」的「取得服務帳戶」。
- 點選「下一步」。
指定下列輸入參數的值:
- 儲存空間值區 URI:格式為
gs://my-bucket/<value>的 Cloud Storage 值區 URL。 - 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項:根據擷取偏好設定選取刪除選項。
資產命名空間:資產命名空間。
擷取標籤:套用至這個動態饋給事件的標籤。
- 儲存空間值區 URI:格式為
點選「下一步」。
在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 儲存空間 bucket URI:Google Cloud Storage bucket 來源 URI。
- URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
event.contentHash.sha256 |
target.process.file.sha256 |
目標程序檔案的 SHA-256 雜湊值,從原始記錄的 event.contentHash.sha256 欄位擷取。 |
event.decodedContent |
target.labels |
從原始記錄的 event.decodedContent 欄位擷取的指令碼解碼內容。系統會將其新增為標籤,並將鍵設為 Decoded Content,附加至目標物件。 |
event.destinationAddress.address |
target.ip |
從原始記錄的 event.destinationAddress.address 欄位擷取的目的地 IP 位址。 |
event.destinationAddress.port |
target.port |
從原始記錄的 event.destinationAddress.port 欄位擷取的目的地通訊埠。 |
event.method |
network.http.method |
事件的 HTTP 方法,從原始記錄的 event.method 欄位中擷取。 |
event.newValueData |
target.registry.registry_value_data |
從原始記錄的 event.newValueData 欄位擷取的登錄值新值資料。 |
event.process.commandLine |
target.process.command_line |
從原始記錄的 event.process.commandLine 欄位擷取的程序指令列。 |
event.process.executable.hashes.md5 |
target.process.file.md5 |
從原始記錄的 event.process.executable.hashes.md5 欄位擷取的程序可執行檔 MD5 雜湊。 |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
從原始記錄的 event.process.executable.hashes.sha1 欄位中擷取的程序可執行檔 SHA-1 雜湊。 |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
從原始記錄的 event.process.executable.hashes.sha256 欄位擷取的程序可執行檔 SHA-256 雜湊值。 |
event.process.executable.path |
target.process.file.full_path |
從原始記錄的 event.process.executable.path 欄位擷取的可執行檔完整路徑。 |
event.process.executable.sizeBytes |
target.process.file.size |
從原始記錄的 event.process.executable.sizeBytes 欄位擷取的程序可執行檔大小。 |
event.process.fullPid.pid |
target.process.pid |
從原始記錄的「event.process.fullPid.pid」欄位擷取的程序 PID。 |
event.query |
network.dns.questions.name |
從原始記錄的「event.query」欄位擷取的 DNS 查詢。 |
event.regKey.path |
target.registry.registry_key |
從原始記錄的「event.regKey.path」欄位擷取的登錄機碼路徑。 |
event.regValue.key.value |
target.registry.registry_name、target.registry.registry_value_name |
登錄值名稱,從原始記錄的 event.regValue.key.value 欄位擷取。 |
event.regValue.path |
target.registry.registry_key |
登錄值路徑,從原始記錄的 event.regValue.path 欄位中擷取。 |
event.results |
network.dns.answers.data |
從原始記錄的 event.results 欄位擷取的 DNS 答案。系統會使用「;」分隔符號,將資料分成個別答案。 |
event.source.commandLine |
principal.process.command_line |
來源程序的指令列,從原始記錄的 event.source.commandLine 欄位中擷取。 |
event.source.executable.hashes.md5 |
principal.process.file.md5 |
來源程序可執行檔的 MD5 雜湊,從原始記錄的 event.source.executable.hashes.md5 欄位擷取。 |
event.source.executable.hashes.sha1 |
principal.process.file.sha1 |
來源程序可執行檔的 SHA-1 雜湊值,從原始記錄的 event.source.executable.hashes.sha1 欄位中擷取。 |
event.source.executable.hashes.sha256 |
principal.process.file.sha256 |
從原始記錄的 event.source.executable.hashes.sha256 欄位擷取的來源程序可執行檔 SHA-256 雜湊值。 |
event.source.executable.path |
principal.process.file.full_path |
來源程序可執行檔的完整路徑,從原始記錄的 event.source.executable.path 欄位中擷取。 |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels |
來源程序可執行檔的簽署身分,從原始記錄的 event.source.executable.signature.signed.identity 欄位中擷取。系統會將其新增為標籤,並以 Source Signature Signed Identity 做為主體資源屬性標籤的鍵。 |
event.source.executable.sizeBytes |
principal.process.file.size |
來源程序可執行檔的大小,從原始記錄的 event.source.executable.sizeBytes 欄位擷取。 |
event.source.fullPid.pid |
principal.process.pid |
從原始記錄的 event.source.fullPid.pid 欄位擷取的來源程序 PID。 |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
來源父項程序的指令列,從原始記錄的 event.source.parent.commandLine 欄位擷取。 |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
來源父項程序可執行檔的 MD5 雜湊,從原始記錄的 event.source.parent.executable.hashes.md5 欄位擷取。 |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
從原始記錄的 event.source.parent.executable.hashes.sha1 欄位擷取的來源父項程序可執行檔 SHA-1 雜湊值。 |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
來源父項程序可執行檔的 SHA-256 雜湊值,從原始記錄的 event.source.parent.executable.hashes.sha256 欄位中擷取。 |
event.source.parent.executable.signature.signed.identity |
principal.resource.attribute.labels |
來源父項程序可執行檔的簽署身分,從原始記錄的 event.source.parent.executable.signature.signed.identity 欄位擷取。系統會將其新增為標籤,並以 Source Parent Signature Signed Identity 做為主體資源屬性標籤的鍵。 |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
從原始記錄的 event.source.parent.fullPid.pid 欄位擷取的來源父項程序 PID。 |
event.source.user.name |
principal.user.userid |
來源程序使用者的使用者名稱,從原始記錄的 event.source.user.name 欄位中擷取。 |
event.source.user.sid |
principal.user.windows_sid |
來源程序使用者的 Windows SID,從原始記錄的 event.source.user.sid 欄位中擷取。 |
event.sourceAddress.address |
principal.ip |
來源的 IP 位址,從原始記錄的 event.sourceAddress.address 欄位中擷取。 |
event.sourceAddress.port |
principal.port |
來源的通訊埠,從原始記錄的 event.sourceAddress.port 欄位擷取。 |
event.target.executable.hashes.md5 |
target.process.file.md5 |
目標程序可執行檔的 MD5 雜湊值,從原始記錄的 event.target.executable.hashes.md5 欄位中擷取。 |
event.target.executable.hashes.sha1 |
target.process.file.sha1 |
目標程序可執行檔的 SHA-1 雜湊,從原始記錄的 event.target.executable.hashes.sha1 欄位中擷取。 |
event.target.executable.hashes.sha256 |
target.process.file.sha256 |
目標程序可執行檔的 SHA-256 雜湊值,從原始記錄的 event.target.executable.hashes.sha256 欄位中擷取。 |
event.target.executable.path |
target.process.file.full_path |
目標程序可執行檔的完整路徑,從原始記錄的 event.target.executable.path 欄位中擷取。 |
event.target.executable.signature.signed.identity |
target.resource.attribute.labels |
目標程序可執行檔的簽署身分,從原始記錄的 event.target.executable.signature.signed.identity 欄位中擷取。系統會將其新增為標籤,並以 Target Signature Signed Identity 做為目標資源屬性標籤的鍵。 |
event.target.executable.sizeBytes |
target.process.file.size |
目標程序的可執行檔大小,從原始記錄的 event.target.executable.sizeBytes 欄位擷取。 |
event.target.fullPid.pid |
target.process.pid |
目標程序的 PID,從原始記錄的 event.target.fullPid.pid 欄位擷取。 |
event.targetFile.path |
target.file.full_path |
目標檔案的完整路徑,從原始記錄的 event.targetFile.path 欄位擷取。 |
event.targetFile.signature.signed.identity |
target.resource.attribute.labels |
目標檔案的簽署身分,從原始記錄的 event.targetFile.signature.signed.identity 欄位中擷取。系統會將其新增為標籤,並以 Target File Signature Signed Identity 做為目標資源屬性標籤的鍵。 |
event.trueContext.key.value |
未對應至 UDM。 | |
event.type |
metadata.description |
事件類型,從原始記錄的 event.type 欄位中擷取。 |
event.url |
target.url |
從原始記錄的 event.url 欄位擷取的事件網址。 |
meta.agentVersion |
metadata.product_version、metadata.product_version |
代理程式版本,從原始記錄的 meta.agentVersion 欄位擷取。 |
meta.computerName |
principal.hostname、target.hostname |
從原始記錄的「meta.computerName」欄位擷取的電腦主機名稱。 |
meta.osFamily |
principal.asset.platform_software.platform、target.asset.platform_software.platform |
電腦的作業系統系列,從原始記錄的 meta.osFamily 欄位擷取。並對應至 linux 的 LINUX 和 windows 的 WINDOWS。 |
meta.osRevision |
principal.asset.platform_software.platform_version、target.asset.platform_software.platform_version |
電腦的作業系統修訂版本,從原始記錄的 meta.osRevision 欄位擷取。 |
meta.traceId |
metadata.product_log_id |
事件的追蹤記錄 ID,從原始記錄的 meta.traceId 欄位中擷取。 |
meta.uuid |
principal.asset.product_object_id、target.asset.product_object_id |
從原始記錄的「meta.uuid」欄位擷取的電腦 UUID。 |
metadata_event_type |
metadata.event_type |
事件類型,由剖析器邏輯根據 event.type 欄位設定。 |
metadata_product_name |
metadata.product_name |
產品名稱,由剖析器邏輯設為 Singularity XDR。 |
metadata_vendor_name |
metadata.vendor_name |
供應商名稱,由剖析器邏輯設為 SentinelOne。 |
network_application_protocol |
network.application_protocol |
網路連線的應用程式通訊協定,由剖析器邏輯設為 DNS 事件的 DNS。 |
network_dns_questions.name |
network.dns.questions.name |
從原始記錄的「event.query」欄位擷取的 DNS 問題名稱。 |
network_direction |
network.direction |
網路連線的方向,由剖析器邏輯設為 OUTBOUND (輸出連線) 和 INBOUND (輸入連線)。 |
network_http_method |
network.http.method |
事件的 HTTP 方法,從原始記錄的 event.method 欄位中擷取。 |
principal.process.command_line |
target.process.command_line |
從 principal.process.command_line 欄位擷取並對應至目標程序指令列的主體程序指令列。 |
principal.process.file.full_path |
target.process.file.full_path |
從 principal.process.file.full_path 欄位擷取,並對應至目標程序檔案完整路徑的主程序檔案完整路徑。 |
principal.process.file.md5 |
target.process.file.md5 |
從 principal.process.file.md5 欄位擷取並對應至目標程序檔案 MD5 的主程序檔案 MD5 雜湊。 |
principal.process.file.sha1 |
target.process.file.sha1 |
從 principal.process.file.sha1 欄位擷取,並對應至目標程序檔案 SHA-1 的主程序檔案 SHA-1 雜湊值。 |
principal.process.file.sha256 |
target.process.file.sha256 |
從 principal.process.file.sha256 欄位擷取主程序檔案的 SHA-256 雜湊值,並對應至目標程序檔案 SHA-256。 |
principal.process.file.size |
target.process.file.size |
從 principal.process.file.size 欄位擷取並對應至目標程序檔案大小的主程序檔案大小。 |
principal.process.pid |
target.process.pid |
從 principal.process.pid 欄位擷取並對應至目標程序 PID 的主要程序 PID。 |
principal.user.userid |
target.user.userid |
從 principal.user.userid 欄位擷取主體的使用者 ID,並對應至目標使用者 ID。 |
principal.user.windows_sid |
target.user.windows_sid |
從 principal.user.windows_sid 欄位擷取主體的 Windows SID,並對應至目標使用者 Windows SID。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。