セキュリティ
SentinelOne XDRとPalo Alto Networks連携してみた
SentinelOne Singularity XDRにおけるPalo Alto Networksとの連携についてご紹介します。
はじめに
SentinelOne XDRとPalo Alto Networks Firewall を連携して、SentinelOne上でFirewallログを確認できるようにしてみました。
本連携を行うことでエンドポイントのログだけでなく、Firewallのログを一つのコンソールで参照することが可能になるため、
インシデントにおける相関分析がしやすくなるメリットがあります。
連携手順
連携手順の概要といたしましては下記となります。
※詳細な手順については別途お問い合わせください。
・Singularity Marketplaceからパーサーをインストール (Firewallログのパース)
・Singularity Data LakeでAPIキーの生成 (SentinelOne CollectorとData Lakeの紐づけ)
・SentinelOne Collectorの構築 (FirewallログをData Lakeへ転送)
・APIキーとSentinelOne Collectorの紐づけ
ログ画面
上記の設定を行うと、SentinelOne Data Lake画面にてPalo Alto Networks Firewall のログが確認できます。
連携を行うことによりエンドポイントのログだけでなくFirewallのログも活用することができ、より詳細な調査が行えます。
当然通常のエンドポイントログと同様にクエリを利用し条件に合致したログのみフィルターすることも可能です。
また、Purple AIを利用することでPalo Alto Networks Firewall ログソースに対する脅威ハンティングや調査クエリを作成することが可能です。
※今回は調査クエリの指定期間に該当するFirewallログの結果がないためNot Foundとなっています
こちらのPurple AIとの連携は別の記事にて詳細を投稿する予定です。
最後に
この記事の投稿者Komata
SentinelOneセールスエンジニア
この記事をシェア
