SentinelOne のアラートログを収集する

このドキュメントでは、Google Security Operations フィードを設定して SentinelOne アラートログを収集する方法と、ログフィールドが Google SecOps 統合データモデル（UDM）フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

一般的なデプロイは、SentinelOne Alert と、Google SecOps にログを送信するように構成された Google SecOps フィードで構成されます。デプロイの内容はお客様によってさまざまであり、より複雑になる場合もあります。

デプロイには次のコンポーネントが含まれます。

• SentinelOne: ログの収集元となるプロダクト。

• Google SecOps フィード: SentinelOne からログを取得して Google SecOps に書き込む Google SecOps フィード。

• Google SecOps: Google SecOps は、SentinelOne のログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SENTINELONE_ALERT が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認してください。

• SentinelOne の有効な Singularity Complete サブスクリプション。詳細については、プラットフォーム パッケージを参照してください。
• GET Alerts API と GET Threats API の v2.1
• グローバル レベルまたはアカウント レベルの管理者ロール。管理者のロールを取得するには、管理者ユーザーにお問い合わせください。
• SentinelOne エージェントをインストールするための管理者権限。管理者権限を取得するには、管理者ユーザーにお問い合わせください。

SentinelOne を設定する方法:

API トークンを生成する手順は次のとおりです。 1. SentinelOne 管理コンソールで [Settings] に移動し、[Users] をクリックします。1. API トークンを生成する管理者ユーザーをクリックします。1. [Actions] > [API token operations] > [Generate API token] をクリックします。この API トークンは、Google SecOps プラットフォームの [Authentication HTTP headers] に入力するために必要です。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

• [SIEM 設定] > [フィード]
• [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

1. [SIEM 設定] > [フィード] に移動します。
2. [Add New Feed] をクリックします。
3. 次のページで、[単一フィードを設定] をクリックします。
4. [フィード名] フィールドに、フィードの名前を入力します（例: SentinelOne Alert Logs）。
5. [Source type] として [Third party API]、[Log type] として [Sentinelone alerts] を選択します。

6. [Next] をクリックし、SentinelOne インスタンスの [Authentication HTTP headers]、[API hostname]、[Initial start time]、[Is alert API subscribed]、[Asset namespace] に値を入力します。

   [Authentication HTTP headers] に入力するには、API トークンが必要です。SentinelOne から生成して、今後のフィード作成で再利用できます。API トークンを生成する手順は次のとおりです。

   1. SentinelOne 管理コンソールで [Settings] に移動し、[Users] をクリックします。
   2. API トークンを生成する管理者ユーザーをクリックします。
   3. [Actions] > [API token operations] > [Generate API token] をクリックします。
   4. [Authentication HTTP headers] に、生成された API トークンを Authorization: APIToken Token Value 形式で入力します。
   5. [Is alert API subscribed] チェックボックスをオンにして、SentinelOne アラート イベントを収集します。
   6. [次へ]、[送信] の順にクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

• Authentication HTTP headers: key:value 形式で SentinelOne Alerts and Threats & static-indicator API に対して認証するために使用されます。
• API ホスト名: SentinelOne API の完全修飾ドメイン名。
• 初期開始時間: アラートを取得する時間
• Is Alert API Subscribed: アラート API がお客様によって登録されているかどうか

• アクセスキー ID: S3 バケットから読み取る権限を持つユーザーのアクセスキー。

• シークレット アクセスキー: S3 バケットから読み取る権限を持つユーザーのシークレット キー。

詳細オプション

• フィード名: フィードを識別する事前入力された値。
• ソースタイプ: Google SecOps にログを収集するために使用される方法。
• Asset Namespace: フィードに関連付けられた名前空間。
• Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

サポートされている SentinelOne のアラートログ タイプ

SentinelOne アラート パーサーは、アラートと脅威のログタイプをサポートしています。

サポートされている SentinelOne のアラートログ形式

SentinelOne アラート パーサーは、JSON 形式と CEF 形式の両方のログをサポートしています。

サポートされている SentinelOne アラートのサンプルログ

• JSON

    {
      "accountId": "1235512064263015539",
      "accountName": "dummy",
      "agentComputerName": "dummy",
      "agentDomain": "WORKGROUP",
      "agentId": "1245680559492378683",
      "agentInfected": false,
      "agentIp": "198.51.100.0",
      "agentIsActive": false,
      "agentIsDecommissioned": true,
      "agentMachineType": "server",
      "agentNetworkStatus": "disconnecting",
      "agentOsType": "windows",
      "agentVersion": "21.6.2.272",
      "annotation": "Automatically resolved by SentinelOne Console",
      "automaticallyResolved": true,
      "browserType": null,
      "certId": "",
      "classification": "Malware",
      "classificationSource": "Static",
      "classifierName": "MANUAL",
      "cloudVerdict": null,
      "collectionId": "1251555311751427932",
      "commandId": "1251555264615838432",
      "createdAt": "2022-09-03T19:36:59.540349Z",
      "createdDate": "2021-09-23T19:36:57.867000Z",
      "description": "malware detected - not mitigated yet (cmd.exe (interactive session))",
      "engines": [
        "manual"
      ],
      "external_ticket_id": null,
      "fileContentHash": "c3d10d8d9fce936e5ca32f930f20c8e703619f71",
      "fileCreatedDate": null,
      "fileDisplayName": "Unknown file",
      "fileExtensionType": "None",
      "fileIsDotNet": null,
      "fileIsExecutable": false,
      "fileIsSystem": false,
      "fileMaliciousContent": null,
      "fileObjectId": "3EFA3EFA3EFA3EFA",
      "filePath": "/home/gitlab-runner/webshell_hits/old.hits-go-here/fedcd896ef45bf145d7e880edd4e5390.dll",
      "fileSha256": null,
      "fileVerificationType": "NotSigned",
      "fromCloud": false,
      "fromScan": false,
      "id": "1251555311717873499",
      "indicators": [
        {
          "categoryName": "test Hiding/Stealthiness",
          "description": "This binary may have Anti-sandboxing capabilities to evade detection in sandbox tools",
          "id": 126
        },
        {
          "categoryName": "Hiding/Stealthiness",
          "description": "sample desc There are signs of a backdoor in the PE header",
          "id": 127
        },
        {
          "categoryName": "Test category name Hiding/Stealthiness",
          "description": "This binary might try to schedule a task or modify a scheduled task",
          "id": 129
        }
      ],
      "initiatedBy": "dvCommand",
      "initiatedByDescription": "Deep Visibility Command",
      "initiatingUserId": "1245152494739966182",
      "isCertValid": false,
      "isInteractiveSession": true,
      "isPartialStory": false,
      "maliciousGroupId": "DEA2CA314B3AB7E4",
      "maliciousProcessArguments": "",
      "markedAsBenign": true,
      "mitigationMode": "protect",
      "mitigationReport": {
        "kill": {
          "status": "success"
        },
        "network_quarantine": {
          "status": null
        },
        "quarantine": {
          "status": "success"
        },
        "remediate": {
          "status": null
        },
        "rollback": {
          "status": null
        },
        "unquarantine": {
          "status": null
        }
      },
      "mitigationStatus": "mitigated",
      "publisher": "",
      "rank": null,
      "resolved": true,
      "siteId": "1235512064330124404",
      "siteName": "Default site",
      "threatAgentVersion": "21.6.2.272",
      "threatName": "cmd.exe (interactive session)",
      "updatedAt": "2021-10-23T20:34:15.668440Z",
      "username": "dummy\\\\Administrator",
      "whiteningOptions": []
    }
  
  

• CEF

    <86>Nov  5 11:53:06 abcdefg sshd[1475549]: reprocess config line 158: Deprecated option RhostsRSAAuthentication
  

フィールド マッピング リファレンス

このセクションでは、Google SecOps パーサーが SentinelOne アラート フィールドを Google SecOps Unified Data Model（UDM）フィールドにマッピングする方法について説明します。

フィールド マッピング リファレンス: イベント識別子からイベントタイプへ

次の表に、SENTINELONE_ALERT ログタイプと対応する UDM のイベントの種類を示します。

フィールド マッピング リファレンス: SENTINELONE_ALERT

次の表に、SENTINELONE_ALERT ログタイプのログ フィールドと、対応する UDM フィールドを示します。

次のステップ

• Google Security Operations へのデータの取り込み

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。