SentinelOne

以下の手順に従って、SentinelOneとSecureworks® Taegis™ XDRのインテグレーションを構成してください。

重要

このエンドポイントインテグレーションには、いくつかの重要な注意事項があります。

• このインテグレーションにはSentinelOne Cloud Funnelアドオンが必要です。Cloud Funnelの価格については、SentinelOneの担当営業にお問い合わせください。
• 現時点では、このインテグレーションがサポートするSentinelOneリージョンはapne1、apse1、carvir、euce1、usce1、usea1のみです。お使いのSentinelOne Management ConsoleのURLがapne1、apse1、carvir、euce1、usea1で始まらない場合は、Secureworksサポートまでご連絡ください。
• 本手順は、Singularity Operations Centerオプションが無効化されたSentinelOne Management ConsoleのUnityバージョンを前提としています。
• Singularity Operations Center UIをご利用の場合は、ユーザーメニュー → My Preferencesから無効化できます。

インテグレーションから提供されるデータ

	検出	Auth	DNS	ファイル収集	HTTP	NIDS	Netflow	Process	ファイル変更	API Call	Registry	Scriptblock	Management	Persistence	Thread Injection	検出結果	テクニックの検出結果	Generic
SentinelOne	✓	✓	✓		✓		✓	✓	✓	✓	✓	✓		✓	✓			✓

SentinelOne Management Consoleでサービスユーザーを作成

前提条件

• このセクションの手順を実行するには、以下のSentinelOne RBAC権限が必要です：RolesおよびService Users（View、Create、Edit、Delete）。組み込みのAdminロールにはこれらの権限が含まれています。

• インテグレーションの種類によって、サービスユーザーおよびそのロールの作成にはAccountまたはSiteスコープのいずれかを使用できます。

  • アカウントレベルのインテグレーションを作成する場合は、Accountスコープを使用してください。
  • サイトレベルのインテグレーションを作成する場合は、AccountまたはSiteスコープのいずれかを使用してください。

サービスユーザー用のロールを作成

1. SentinelOne Management Consoleで、Settings → USERS → Rolesに移動します。

2. 組み込みのViewerロールを選択し、_Actions_ドロップダウンメニューからDuplicate Roleを選択します。

   

   Duplicate Viewer Role

3. 新しいユーザーロールの名前を決めて、Nextを選択します。

   

   Choose Role Name

4. 左側のペインでCloud Funnelを選択します。Select Allを選択してCloud Funnelへのフルアクセスを許可し、Saveを選択します。

   

   Allow Full Access to Cloud Funnel

サービスユーザーを作成

1. SentinelOne Management Consoleで、Settings→USERS→Service Usersに移動します。

2. ActionsドロップダウンメニューからCreate New Service Userを選択します。

   

   Create New Service User

サービスユーザーの基本パラメータを設定

1. Nameを追加します。これはSentinelOne Management Consoleでユーザーを識別するためのものです。名前には等号（=）や山括弧（<, >）は使用できません。
2. 任意でDescriptionを入力し、ユーザーを識別します。

3. APIトークンのExpiration Date（有効期限）を設定します。デフォルトは1年です。Customを選択すると、別の日付と時刻を設定できます。

   注意

   有効期限は必要に応じて長くも短くも設定できますが、サービスユーザー作成後は有効期限を変更できません。有効期限前に新たなサービスユーザーを作成し、XDRとのインテグレーションを再作成してください。既存のサービスユーザーをコピーして再作成することも可能です。

4. 基本パラメータの設定が完了したら、Nextを選択します。

   

   Configure Service User Basics

サービスユーザーのアクセス範囲を設定

1. Access Levelで以下のいずれかを選択します。

   • アカウントレベルのインテグレーションを作成する場合はAccountを選択します。
   • サイトレベルのインテグレーションを作成する場合はAccountまたはSiteを選択します。

2. XDRと連携するアカウント（およびサイト）を指定します。

   • Accountスコープを選択した場合は、アカウントと、上記サービスユーザー用のロールを作成で作成したロールを選択します。
   • Siteスコープを選択した場合は、アカウント、サイト、および上記サービスユーザー用のロールを作成で作成したロールを選択します。

3. Create Userを選択します。

   

   Configure Service User Scope

4. サービスユーザーに関連付けられたAPIトークンを安全にコピーし、Closeを選択します。

   

   Copy API Token

SentinelOne Deep Visibilityポリシーの設定

1. SentinelOne Management Consoleで、Sentinels → POLICYに移動します。

2. Deep Visibilityセクションを見つけ、Enable Deep Visibilityオプションが選択されていることを確認します。

   XDRインテグレーションは、以下のDeep Visibilityイベントカテゴリをサポートします。

   • Process
   • DNS
   • Registry Keys
   • Command Scripts
   • File
   • IP
   • Scheduled Tasks
   • Cross Process
   • URL
   • Login
   • Behavioral Indicators
   • Module（ポリシーで設定できない場合があります）

   これらのイベントカテゴリをインテグレーションで取り込みたい場合は、Deep Visibilityポリシーで該当するオプションを選択してください。Event Type Configurationでも、これらのカテゴリ内のすべてのイベントタイプが選択されていることを確認してください。

3. Deep VisibilityセクションのXDR Collectionsで、XDRインテグレーションでWindowsイベントログを取り込みたい場合はWindows Event Logオプションを選択します。

   注意

   Windows Event Log Extendedオプションを選択すると、インテグレーションがイベントに追加情報を付与するために使用するWindowsイベントログXMLが含まれます。Windows Event Log ExtendedはSentinelOneにおいてWindows Event Logよりも大幅に多くのデータを消費するため、コストが高くなります。

   Windows Event Log Extendedの有効化に伴うコストや、収集するWindowsイベントログの設定方法については、SentinelOneのConfiguring Windows Event Log Collectionドキュメントを参照してください。

4. Save Changesを選択します。

   

   Configure Deep Visibility Policy

XDRでSentinelOneインテグレーションを作成

1. XDRで、Integrations→Cloud APIsに移動し、右上のAdd an Integrationを選択します。
2. OptimizedタブからSentinelOneカードを選択します。
3. Nameを入力します。これはXDRでインテグレーションを識別するためのものです。
4. Management Console URLを入力します。これはお客様のSentinelOne Management Consoleのアドレスです。例：usea1-999-example.sentinelone.net。
5. API Tokenを追加します。これは上記APIトークンのコピーで安全にコピーしたAPIトークンです。
6. Account IDを追加します。これはXDRと連携するSentinelOneアカウントのIDです。
7. 指定したアカウントおよびサイトのCloud FunnelがすでにSentinelOne Management Consoleで構成されており、このXDRインテグレーションで置き換えたい場合は、Replace existing Cloud Funnel configurationにチェックを入れます。
8. サイトレベルのインテグレーションを作成する場合は、Site-Level integrationにチェックを入れ、Site IDを追加します。これはXDRと連携するSentinelOneサイトのIDです。Site IDは、SentinelOne Management Consoleでスコープを目的のサイトに変更し、Sentinels → SITE INFOに移動することで確認できます。

9. 上記の設定に問題がなければ、Doneを選択します。

   注意

   このインテグレーションは、Secureworksが所有するS3バケットを使用するCloud Funnelを構成します。S3バケット名はtaegis-sentinelone-1-3z6ywcdee3bw3wcxz4d1sskhy4zfsuse1b-s3aliasのようになります。インテグレーション利用中は、このCloud Funnelの設定を変更しないでください。

   

   Add XDR Integration