SentinelOne端点检测和响应
SentinelOne Endpoint Detection and Response(EDR)是一种基于代理的威胁检测软件,可以解决网络上的恶意软件、漏洞攻击和内部攻击。InsightIDR具有SentinelOne事件源,您可以将其配置为解析SentinelOne EDR日志以获取病毒感染文档。
您可以在其产品网站上了解更多关于SentinelOne EDR的信息:
此SentinelOne事件源配置涉及以下步骤:
配置SentinelOne EDR发送日志到InsightIDR
在InsightIDR中配置SentinelOne事件源前,需要配置SentinelOne EDR将其日志发送到采集器。请参阅您的SentinelOne产品文档,了解如何做到这一点:
https://www.sentinelone.com/support/
在InsightIDR中配置SentinelOne事件源
配置SentinelOne将其日志发送到您的采集器后,您可以在InsightIDR中配置事件源。
要配置此SentinelOne事件源,请执行以下操作:
- 在InsightIDR仪表板上,展开左侧菜单并单击Data Collection选项卡。
- 在“数据采集管理”界面,展开“设置事件源”下拉菜单,单击“添加事件源”。
- 在“添加事件源”类别窗口中,浏览到“安全数据”部分并单击病毒扫描。出现“添加事件源”面板。
- 从下拉列表中选择已配置的采集器。这应该是您将SentinelOne配置为日志摄取目标的同一个收集器。
- 展开“事件源”下拉列表并选择SentinelOne EDR。
- 如果需要,可以为事件源提供自定义名称以供参考。
- 选择时区与事件源日志的位置匹配的。
- 如果需要,检查提供的盒子发送未过滤原木.
- 选择一个收集方法并指定端口。
- 如果需要,您可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 完成后单击保存。
这个页面对你有帮助吗?