はじめに

SentinelOne の深い警戒性は、自動化されたエンドポイント監視および応答 (EDR) テクノロジーであり、豊富なフォレンジック データを提供し、脅威を自動的に緩和し、ネットワーク分離を実行し、新たに発見された脅威に対してエンドポイントを自動免疫化することができます。 最終的な安全対策として、SentinelOne はエンドポイントを感染前の状態にロールバックすることもできます。

この拡張機能には、SentinelOne Deep 可視性 API キーと、インスタンス固有の API URL が必要です。 この拡張機能は、IP インテリジェンス カードとハッシュ インテリジェンス カードで利用できます。

ユースケースの例

アラートトリアージ

Recorded Future インテリジェンス カードは、ネットワークに対する潜在的な脅威に関するコンテキストを提供します。SentinelOne のIntelligence Card Extension は、外部のThreat Intelligenceと内部のテレメトリを統合し、迅速かつ情報に基づいた意思決定を可能にします。 SentinelOne インスタンス内に IP またはハッシュへの参照がある場合、最初の 4 つのイベントが拡張機能に返されます。たとえば、潜在的に悪意のある IP を調べているとします。同じ IP への接続イベントが多数見られる場合、警戒する必要がある可能性があります。この拡張機能を使用すると、どのホストが IP に接続しているかを確認して、これが 1 つのホストの問題である可能性が高いか、または 1 つ以上のホストが接続するより広範囲にわたる問題が発生しているように見えるかを識別できます。さらに調査を進めるかどうかを迅速に決定するのに十分な詳細を提供することが目的です。

Threat

Recorded Future インテリジェンス カードは、ネットワークに対する潜在的な脅威に関するコンテキストを提供します。SentinelOne インスタンス内に IP またはハッシュへの参照がある場合、最初の 4 つのイベントが拡張機能に返されます。これにより、さらに調査を進めるかどうかの判断を容易にする十分なコンテキストが提供されます。SentinelOne の Intelligence Card Extension を使用すると、そのプラットフォームにシームレスにピボットして、過去 30 日間に環境内で確認されたすべての一致を検索できます。

サポートされているフィールド

拡張機能は、IP インテリジェンス カードとハッシュ インテリジェンス カードで利用できます。SentinelOne Deep Learning からのエンリッチメントでは、次のフィールドがサポートされています。

• イベント概要
• プロセスの詳細
• エージェント情報
• ファイルレコード

例:

設定

この拡張機能を使用するには、SentinelOne の Deep 可視性 への商用アクセス権が必要です。 この拡張機能を有効にすることに興味がある場合は、 Intelligence Cardを使い始める」ページもご覧ください。 この拡張機能を有効にするには、API トークンの他に、SentinelOne のインスタンスに固有の API URL を知っておく必要があることに注意してください。

Management_URL は「https://xxxxx.sentinelone.net」の形式にする必要があります。

トラブルシューティング

SentinelOne API にはレート制限があり、現在は 1 分あたり 1 回の呼び出しであることに注意してください。このレート制限を超える拡張機能への複数の呼び出しはエラーになります。