SentinelOne

以下の手順に従って、SentinelOneとSecureworks® Taegis™ XDRのインテグレーションを構成してください。

重要

このエンドポイントインテグレーションには、いくつかの重要な考慮事項があります。

• このインテグレーションにはSentinelOne Cloud Funnelアドオンが必要です。Cloud Funnelの価格については、SentinelOneのアカウント担当者にお問い合わせください。
• 現在、このインテグレーションがサポートするSentinelOneリージョンはapne1、apse1、carvir、euce1、usce1、usea1のみです。お客様のSentinelOne Management ConsoleのURLがapne1、apse1、carvir、euce1、またはusea1で始まらない場合は、Secureworksサポートまでご連絡ください。
• 本手順は、SentinelOne Management ConsoleのUnityバージョンを前提としており、Singularity Operations Centerオプションは無効化されています。
• Singularity Operations Center UIをご利用の場合は、User menu → My Preferencesから無効化できます。

インテグレーションから提供されるデータ

	検出	Auth	DNS	ファイル収集	HTTP	NIDS	Netflow	Process	ファイル変更	API Call	Registry	Scriptblock	Management	Persistence	Thread Injection	発見事項	テクニック発見事項	Generic
SentinelOne	✓	✓	✓		✓		✓	✓	✓	✓	✓	✓		✓	✓			✓

SentinelOne Management Consoleでサービスユーザーを作成する

前提条件

• このセクションの手順を実行するには、以下のSentinelOne RBAC権限が必要です：RolesおよびService Users（View、Create、Edit、Delete）。組み込みのAdminロールにはこれらの権限が含まれています。

• インテグレーションの種類によって、サービスユーザーおよびそのロールの作成にはAccountまたはSiteスコープのいずれかを使用できます。

  • アカウントレベルのインテグレーションを作成する場合は、Accountスコープを使用してください。
  • サイトレベルのインテグレーションを作成する場合は、AccountまたはSiteスコープのいずれかを使用してください。

サービスユーザー用のロールを作成する

1. SentinelOne Management Consoleで、Settings → USERS → Rolesに移動します。

2. 組み込みのViewerロールを選択し、_Actions_ドロップダウンメニューからDuplicate Roleを選択します。

   

   Duplicate Viewer Role

3. 新しいユーザーロールの名前を決めて、Nextを選択します。

   

   Choose Role Name

4. 左ペインでCloud Funnelを選択します。Cloud Funnelへのフルアクセスを許可するためにSelect Allを選択し、Saveを選択します。

   

   Allow Full Access to Cloud Funnel

サービスユーザーを作成する

1. SentinelOne Management Consoleで、Settings→USERS→Service Usersに移動します。

2. ActionsドロップダウンメニューからCreate New Service Userを選択します。

   

   Create New Service User

サービスユーザーの基本パラメータを構成する

1. Nameを追加します。これはSentinelOne Management Consoleでユーザーを識別するためのものです。名前には等号（=）や山括弧（<, >）は使用できません。
2. 任意でDescriptionを入力し、ユーザーを識別します。

3. APIトークンのExpiration Date（有効期限）を設定します。デフォルトは1年です。Customを選択すると、別の日付と時刻を設定できます。

   注意

   有効期限は必要に応じて長くも短くも設定できますが、サービスユーザー作成後は有効期限を変更できません。有効期限前に新たなサービスユーザーを作成し、XDRとのインテグレーションを再作成してください。既存のサービスユーザーをコピーして再作成することも可能です。

4. 基本パラメータの設定が完了したら、Nextを選択します。

   

   Configure Service User Basics

サービスユーザーのアクセス範囲を構成する

1. Access Levelで、以下のいずれかを選択します。

   • アカウントレベルのインテグレーションを作成する場合は、Accountを選択します。
   • サイトレベルのインテグレーションを作成する場合は、AccountまたはSiteを選択します。

2. XDRと連携するアカウント（およびサイト）を特定します。

   • Accountスコープを選択した場合は、アカウントと、上記サービスユーザー用のロールを作成するで作成したロールを選択します。
   • Siteスコープを選択した場合は、アカウント、サイト、および上記サービスユーザー用のロールを作成するで作成したロールを選択します。

3. Create Userを選択します。

   

   Configure Service User Scope

4. サービスユーザーに関連付けられたAPIトークンを安全にコピーし、Closeを選択します。

   

   Copy API Token

SentinelOne Deep Visibilityポリシーを構成する

1. SentinelOne Management Consoleで、Sentinels → POLICYに移動します。

2. Deep Visibilityセクションを見つけ、Enable Deep Visibilityオプションが選択されていることを確認します。

   XDRインテグレーションは、以下のDeep Visibilityイベントカテゴリをサポートしています。

   • Process
   • DNS
   • Registry Keys
   • Command Scripts
   • File
   • IP
   • Scheduled Tasks
   • Cross Process
   • URL
   • Login
   • Behavioral Indicators
   • Module（ポリシーで設定できない場合があります）

   これらのイベントカテゴリをインテグレーションで取り込みたい場合は、Deep Visibilityポリシーで該当するオプションを選択してください。Event Type Configurationでも、これらのカテゴリのすべてのイベントタイプが選択されていることを確認してください。

3. Deep VisibilityセクションのXDR Collectionsで、XDRインテグレーションでWindowsイベントログを取り込みたい場合はWindows Event Logオプションを選択します。

   注意

   Windows Event Log Extendedオプションを選択すると、WindowsイベントログのXMLが含まれ、インテグレーションでイベントにより多くの情報を追加できます。Windows Event Log ExtendedはSentinelOneにおいてWindows Event Logよりも大幅に多くのデータを消費するため、コストが高くなります。

   Windows Event Log Extendedの有効化に伴うコストや、収集するWindowsイベントログの設定方法については、SentinelOneのConfiguring Windows Event Log Collectionドキュメントを参照してください。

4. Save Changesを選択します。

   

   Configure Deep Visibility Policy

XDRでSentinelOneインテグレーションを作成する

1. XDRで、Integrations→Cloud APIsに移動し、右上のAdd an Integrationを選択します。
2. OptimizedタブからSentinelOneカードを選択します。
3. Nameを入力します。これはXDRでインテグレーションを識別するためのものです。
4. Management Console URLを入力します。これはお客様のSentinelOne Management Consoleのアドレスです。例：usea1-999-example.sentinelone.net。
5. API Tokenを追加します。これは上記APIトークンのコピーで安全にコピーしたAPIトークンです。
6. Account IDを追加します。これはXDRと連携するSentinelOneアカウントのIDです。
7. 指定したアカウントおよびサイトのCloud FunnelがすでにSentinelOne Management Consoleで構成されており、このXDRインテグレーションで置き換えたい場合は、Replace existing Cloud Funnel configurationにチェックを入れます。
8. サイトレベルのインテグレーションを作成する場合は、Site-Level integrationにチェックを入れ、Site IDを追加します。これはXDRと連携するSentinelOneサイトのIDです。Site IDは、SentinelOne Management Consoleでスコープを目的のサイトに変更し、Sentinels → SITE INFOに移動することで確認できます。

9. 上記の設定に問題がなければ、Doneを選択します。

   注意

   このインテグレーションは、Secureworksが所有するS3バケットを使用するCloud Funnelを構成します。S3バケット名はtaegis-sentinelone-1-3z6ywcdee3bw3wcxz4d1sskhy4zfsuse1b-s3aliasのようになります。インテグレーション使用中は、このCloud Funnelの設定を変更しないでください。

   

   Add XDR Integration