SentinelOne のアラートログを収集する

このドキュメントでは、Google Security Operations フィードを設定して SentinelOne アラートログを収集する方法と、ログフィールドが Google SecOps 統合データモデル（UDM）フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、SentinelOne Alert と、Google SecOps にログを送信するように構成された Google SecOps フィードで構成されます。デプロイの内容はお客様によってさまざまであり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

• SentinelOne: ログの収集元となるプロダクト。

• Google SecOps フィード: SentinelOne からログを取得して Google SecOps に書き込む Google SecOps フィード。

• Google SecOps: Google SecOps は、SentinelOne のログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SENTINELONE_ALERT が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認してください。

• SentinelOne の有効な Singularity Complete サブスクリプション。詳細については、プラットフォーム パッケージを参照してください。
• GET Alerts API と GET Threats API の v2.1
• グローバル レベルまたはアカウント レベルの管理者ロール。管理者のロールを取得するには、管理者ユーザーにお問い合わせください。
• SentinelOne エージェントをインストールするための管理者権限。管理者権限を取得するには、管理者ユーザーにお問い合わせください。

SentinelOne を設定する方法:

API トークンを生成する手順は次のとおりです。 1. SentinelOne 管理コンソールで [Settings] に移動し、[Users] をクリックします。1. API トークンを生成する管理者ユーザーをクリックします。1. [Actions] > [API token operations] > [Generate API token] をクリックします。この API トークンは、Google SecOps プラットフォームの [Authentication HTTP headers] に入力するために必要です。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

• [SIEM 設定] > [フィード] > [新しいフィードを追加]
• Content Hub > Content Packs > Get Started

SentinelOne アラート フィードを設定する方法

1. [SentinelOne] パックをクリックします。
2. [SentinelOne Alerts] ログタイプを見つけます。
3. 次のフィールドに値を指定します。
   • ソースタイプ: サードパーティ API（推奨）
   • Authentication HTTP headers: SentinelOne プラットフォームで生成した API トークンを入力します。
   • API ホスト名: SentinelOne プラットフォームのホスト名
   • 最初の開始時間: アラートの取得を開始する時間
   • Is alert API subscribed（アラート API が登録されているかどうか）: アラート AOI がお客様によって登録されているかどうか

   詳細オプション

• フィード名: フィードを識別する事前入力された値。
• アセットの名前空間: フィードに関連付けられた名前空間。
• Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

1. [フィードを作成] をクリックします。

このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成する方法については、プロダクト別にフィードを構成するをご覧ください。

サポートされている SentinelOne のアラートログ タイプ

SentinelOne アラート パーサーは、アラートと脅威のログタイプをサポートしています。

サポートされている SentinelOne のアラートログ形式

SentinelOne アラート パーサーは、JSON 形式と CEF 形式の両方のログをサポートしています。

サポートされている SentinelOne アラートのサンプルログ

• JSON

    {
      "accountId": "1235512064263015539",
      "accountName": "dummy",
      "agentComputerName": "dummy",
      "agentDomain": "WORKGROUP",
      "agentId": "1245680559492378683",
      "agentInfected": false,
      "agentIp": "198.51.100.0",
      "agentIsActive": false,
      "agentIsDecommissioned": true,
      "agentMachineType": "server",
      "agentNetworkStatus": "disconnecting",
      "agentOsType": "windows",
      "agentVersion": "21.6.2.272",
      "annotation": "Automatically resolved by SentinelOne Console",
      "automaticallyResolved": true,
      "browserType": null,
      "certId": "",
      "classification": "Malware",
      "classificationSource": "Static",
      "classifierName": "MANUAL",
      "cloudVerdict": null,
      "collectionId": "1251555311751427932",
      "commandId": "1251555264615838432",
      "createdAt": "2022-09-03T19:36:59.540349Z",
      "createdDate": "2021-09-23T19:36:57.867000Z",
      "description": "malware detected - not mitigated yet (cmd.exe (interactive session))",
      "engines": [
        "manual"
      ],
      "external_ticket_id": null,
      "fileContentHash": "c3d10d8d9fce936e5ca32f930f20c8e703619f71",
      "fileCreatedDate": null,
      "fileDisplayName": "Unknown file",
      "fileExtensionType": "None",
      "fileIsDotNet": null,
      "fileIsExecutable": false,
      "fileIsSystem": false,
      "fileMaliciousContent": null,
      "fileObjectId": "3EFA3EFA3EFA3EFA",
      "filePath": "/home/gitlab-runner/webshell_hits/old.hits-go-here/fedcd896ef45bf145d7e880edd4e5390.dll",
      "fileSha256": null,
      "fileVerificationType": "NotSigned",
      "fromCloud": false,
      "fromScan": false,
      "id": "1251555311717873499",
      "indicators": [
        {
          "categoryName": "test Hiding/Stealthiness",
          "description": "This binary may have Anti-sandboxing capabilities to evade detection in sandbox tools",
          "id": 126
        },
        {
          "categoryName": "Hiding/Stealthiness",
          "description": "sample desc There are signs of a backdoor in the PE header",
          "id": 127
        },
        {
          "categoryName": "Test category name Hiding/Stealthiness",
          "description": "This binary might try to schedule a task or modify a scheduled task",
          "id": 129
        }
      ],
      "initiatedBy": "dvCommand",
      "initiatedByDescription": "Deep Visibility Command",
      "initiatingUserId": "1245152494739966182",
      "isCertValid": false,
      "isInteractiveSession": true,
      "isPartialStory": false,
      "maliciousGroupId": "DEA2CA314B3AB7E4",
      "maliciousProcessArguments": "",
      "markedAsBenign": true,
      "mitigationMode": "protect",
      "mitigationReport": {
        "kill": {
          "status": "success"
        },
        "network_quarantine": {
          "status": null
        },
        "quarantine": {
          "status": "success"
        },
        "remediate": {
          "status": null
        },
        "rollback": {
          "status": null
        },
        "unquarantine": {
          "status": null
        }
      },
      "mitigationStatus": "mitigated",
      "publisher": "",
      "rank": null,
      "resolved": true,
      "siteId": "1235512064330124404",
      "siteName": "Default site",
      "threatAgentVersion": "21.6.2.272",
      "threatName": "cmd.exe (interactive session)",
      "updatedAt": "2021-10-23T20:34:15.668440Z",
      "username": "dummy\\\\Administrator",
      "whiteningOptions": []
    }
  
  

• CEF

    <86>Nov  5 11:53:06 abcdefg sshd[1475549]: reprocess config line 158: Deprecated option RhostsRSAAuthentication
  

フィールド マッピング リファレンス

このセクションでは、Google SecOps パーサーが SentinelOne アラート フィールドを Google SecOps Unified Data Model（UDM）フィールドにマッピングする方法について説明します。

フィールド マッピング リファレンス: イベント識別子からイベントタイプへ

次の表に、SENTINELONE_ALERT ログタイプと対応する UDM のイベントの種類を示します。

フィールド マッピング リファレンス: SENTINELONE_ALERT

次の表に、SENTINELONE_ALERT ログタイプのログ フィールドと、対応する UDM フィールドを示します。

次のステップ

• Google Security Operations へのデータの取り込み

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。