SentinelOne端点检测和响应
SentinelOne端点检测和响应(EDR)是基于代理的威胁检测软件,可以解决恶意软件,利用,和内部攻击您的网络。InsightIDR提供了一个SentinelOne事件源,您可以配置该事件源来解析SentinelOne的EDR日志,以检测病毒感染文档。
您可以在SentinelOne EDR的产品网站上了解更多信息:
配置SentinelOne事件源包括以下步骤:
配置SentinelOne EDR发送日志到InsightIDR
在InsightIDR中配置SentinelOne事件源前,需要配置SentinelOne EDR将其日志发送到采集器。请参阅您的SentinelOne产品文档,了解如何做到这一点:
https://www.sentinelone.com/support/
在InsightIDR中配置SentinelOne事件源
配置SentinelOne将其日志发送到您的采集器后,您可以在InsightIDR中配置事件源。
配置SentinelOne事件源。
- 在InsightIDR仪表板上,展开左侧菜单并单击Data Collection选项卡。
- 在“数据采集管理”界面,展开“设置事件源”下拉菜单,单击“添加事件源”。
- 在“添加事件源”类别窗口中,浏览到“安全数据”部分并单击病毒扫描。出现“添加事件源”面板。
- 从下拉列表中选择您配置的收集器。这应该与您将SentinelOne配置为日志摄取目标的收集器相同。
- 展开“事件源”下拉框,选择“SentinelOne EDR”。
- 如果需要,您可以为事件源提供一个自定义名称,以供参考。
- 选择时区与事件源日志的位置匹配。
- 如果需要,检查提供的盒子发送未经过滤的日志.
- 选择一个收集的方法并指定端口。
- 如果需要,您可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 完成后单击Save。
这个页面对你有帮助吗?