SentinelOne Deep Visibility-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie SentinelOne Deep Visibility-Logs mit Cloud Funnel nach Google Security Operations exportieren. Dazu werden Logs nach Google Cloud Storage exportiert. Der Parser wandelt Rohprotokolle für Sicherheitsereignisse im JSON-Format in ein strukturiertes Format um, das dem UDM entspricht. Zuerst wird eine Reihe von Variablen initialisiert, dann wird der Ereignistyp extrahiert und die JSON-Nutzlast wird geparst. Dabei werden relevante Felder dem UDM-Schema zugeordnet und Windows-Ereignisprotokolle werden separat verarbeitet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Privilegierter Zugriff auf Google Cloud
• SentinelOne Deep Visibility in Ihrer Umgebung eingerichtet
• Privilegierter Zugriff auf SentinelOne

Google Cloud Storage-Bucket erstellen

1. Melden Sie sich in der Google Cloud -Konsole an.

2. Rufen Sie die Seite Cloud Storage-Buckets auf.

   Buckets aufrufen

3. Klicken Sie auf Erstellen.

4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

   1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. sentinelone-deepvisibility.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

   2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

   3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

   4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

   5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

1. Rufen Sie IAM & Verwaltung > Dienstkonten auf.
2. Erstellen Sie ein neues Dienstkonto.
3. Geben Sie einen aussagekräftigen Namen ein, z. B. sentinelone-dv-logs.
4. Gewähren Sie dem Dienstkonto die Rolle Storage Object Creator für den Cloud Storage-Bucket, den Sie im vorherigen Schritt erstellt haben.
5. Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
6. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloud Funnel in SentinelOne DeepVisibility konfigurieren

1. Melden Sie sich in SentinelOne DeepVisibility an.
2. Klicken Sie auf Konfigurieren > Richtlinie und Einstellungen.
3. Klicken Sie im Bereich Singularity Data Lake auf Cloud Funnel.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Cloud-Anbieter: Wählen Sie Google Cloudaus.
   • Bucket Name (Bucket-Name): Geben Sie den Namen des Cloud Storage-Bucket ein, den Sie für die Erfassung von SentinelOne DeepVisibility-Protokollen erstellt haben.
   • Telemetry Streaming (Telemetrie-Streaming): Wählen Sie Aktivieren aus.
   • Abfragefilter: Erstellen Sie eine Abfrage, die die Agents enthält, die Daten an einen Cloud Storage-Bucket senden müssen.
   • Klicke auf Validieren.
   • Einzuschließende Felder: Wählen Sie alle Felder aus.
5. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

• SIEM-Einstellungen > Feeds > Neu hinzufügen
• Content Hub > Content-Packs > Erste Schritte

SentinelOne Deep Visibility-Feed einrichten

1. Klicken Sie auf das SentinelOne-Paket.
2. Geben Sie für den Protokolltyp SentinelOne Deep Visibility die Werte für die folgenden Felder an:
   • Quelltyp: Google Cloud Storage V2
   • Storage-Bucket-URI: Der Quell-URI des Google Cloud Storage-Bucket.
   • Option zum Löschen der Quelle: Gibt an, ob Dateien oder Verzeichnisse nach der Übertragung gelöscht werden sollen. Wählen Sie unter Option zum Löschen der Quelle die Option Übertragene Dateien löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Chronicle-Dienstkonto: Kopieren Sie das Dienstkonto. Sie benötigen sie, um dem Dienstkonto Berechtigungen im Bucket hinzuzufügen, damit Google SecOps Daten im Bucket lesen oder löschen kann.

Erweiterte Optionen

• Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
• Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
• Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
• Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten