配置第三方响应操作
编辑配置第三方响应操作编辑
涉及第三方系统的端点响应操作需要额外的配置。本页介绍启用这些响应操作需要执行的步骤。
配置 SentinelOne 响应操作编辑
您可以直接指示 SentinelOne 对受保护的主机执行响应操作,例如将可疑端点与网络隔离,而无需离开 Elastic Security UI。
此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将尽力修复任何问题,但技术预览中的功能不属于官方 GA 功能的支持 SLA。
配置需要以下一般步骤。展开这些步骤并按照链接获取详细说明
-
在 SentinelOne 中生成 API 访问令牌。 您将在后面的步骤中需要这些令牌,它们允许 Elastic Security 在 SentinelOne 中收集数据并执行操作。
展开以查看详细信息
在 SentinelOne 中创建两个 API 令牌,并赋予它们 Elastic 组件使用它们所需的最低权限。
- SentinelOne 集成:读取 SentinelOne 数据的权限。
- SentinelOne 连接器:读取 SentinelOne 数据和对受 SentinelOne 保护的主机执行操作(例如,隔离和释放端点)的权限。
有关生成 API 令牌的详细信息,请参阅 SentinelOne 集成文档 或 SentinelOne 的文档。
-
安装 SentinelOne 集成和 Elastic Agent。 Elastic 的 SentinelOne 集成 会收集日志并将它们导入 Elastic Security。
展开以查看详细信息
- 在 Kibana 中,转到 集成,搜索并选择 SentinelOne,然后选择 添加 SentinelOne.
- 使用 集成名称 和可选的 描述 配置集成。
-
确保选中 通过 API 收集 SentinelOne 日志,并输入所需的 设置
- URL: SentinelOne 控制台 URL。
- API 令牌: 您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据的权限。
- 向下滚动,并在 新的代理策略名称 中输入代理策略名称。如果已存在其他代理策略,则可以点击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略.
- 点击 保存并继续.
- 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤,以在网络中的资源(例如服务器或 VM)上安装 Elastic Agent。Elastic Agent 将充当桥梁,从 SentinelOne 收集数据并将其发送到 Elastic Security。
-
创建 SentinelOne 连接器。 Elastic 的 SentinelOne 连接器 使 Elastic Security 能够对受 SentinelOne 保护的主机执行操作。
展开以查看详细信息
不要创建多个 SentinelOne 连接器。
- 在 Kibana 中,转到 堆栈管理 → 连接器,然后选择 创建连接器.
- 选择 SentinelOne 连接器。
-
输入配置信息
- 连接器名称: 用于识别连接器的名称。
- SentinelOne 租户 URL: SentinelOne 租户 URL。
- API 令牌: 您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据和对受 SentinelOne 保护的主机执行操作的权限。
- 点击 保存.
-
创建并启用规则以生成 Elastic Security 警报。 创建一个 自定义查询检测规则,以便在 SentinelOne 生成警报时生成 Elastic Security 警报。
展开以查看详细信息
创建自定义查询规则时使用以下设置来定位从 SentinelOne 收集的数据
-
索引模式:
logs-sentinel_one.alert* -
自定义查询:
observer.serial_number:*
不要包含任何其他索引模式或查询参数。
此规则将让您了解 SentinelOne,而无需离开 Elastic Security。您可以使用警报详细信息弹出窗口中的 执行操作 菜单,直接从规则创建的警报中执行支持的端点响应操作。
-
索引模式: