SentinelOne EDR est une solution complète de sécurité des actifs qui offre aux entreprises des capacités avancées de détection et de réponse aux menaces en temps réel.
SentinelOne EDR automatise les processus de réponse aux incidents, réduisant ainsi le temps de détection et de réponse aux incidents de sécurité, et offre des capacités d'investigation légale, permettant aux équipes de sécurité de mener des investigations approfondies sur les incidents de sécurité.
SentinelOne EDR offre une sécurité complète des actifs, les protégeant contre un large éventail de cybermenaces, notamment les logiciels malveillants, les ransomwares et les attaques par hameçonnage.
Ce connecteur interroge l'API SentinelOne pour produire des indicateurs sur les menaces et les mises à jour des postes de travail et des serveurs.
Ce connecteur permet de récupérer les informations suivantes sur les postes de travail et les serveurs séparément :
Nombre total d'actifs, d'actifs à jour, d'actifs infectés et d'actifs protégés
Menaces détectées, confirmées, non traitées et non résolues.
Ajouter et configurer le connecteur
Afin d'ajouter ce connecteur, vous devez aller dans Catalogue > Connecteurs > SentinelOne > Ajouter un connecteur
Après l'ajout, vous devez paramétrer :
Implémenté par : le périmètre qu'implémente et prescrit les règles de protection des actifs, auquel les indicateurs seront rattachés par défaut.
Périodicité : la fréquence à laquelle l'API SentinelOne est interrogée et la périodicité des métriques. Celle-ci peut être quotidienne, hebdomadaire, mensuelle, semestrielle ou annuelle.
Une fois le connecteur créé, la configuration continue :
URL du Namespace SentinelOne : Correspond à l'URL de connexion au tableau de bord SentinelOne
Clé API SentinelOne : Clé API générée dans la console de gestion de SentinelOne (Paramètres > Utilisateurs, sélectionnez un utilisateur disposant des autorisations nécessaires et cliquez sur Options > Générer une clé API).
Types malveillants : Par défaut, la valeur est "Malware, Trojan, Virus, Infostealer" mais vous pouvez ajouter ou supprimer une catégorie en les séparant par une virgule.
💡 Vous pouvez également remonter différentes valeurs dans plusieurs périmètres avec la valeur sites/groupes de SentinelOne : dans le menu déroulant Périmètre bénéficiaire, remplissez les valeurs groupe(s) ou site(s) séparées par des virgules à partir de deux sites/groupes pour chaque périmètre souhaité.
⚠️ Par défaut, les tokens API créés sur des utilisateurs ne sont valables que 30 jours et cette durée n'est pas modifiable. Nous vous recommandons donc de créer un Service User dédié à Tenacy, vous pourrez ainsi granulairement contrôler ce à quoi TENACY accède, de quels droits le token associé dispose, etc.
Pour effectuer cette manipulation, voici les étapes :
Sélectionnez Paramètres > Utilisateurs > Utilisateurs de services.
Sélectionnez Actions > Créer un nouvel utilisateur de service.
Saisissez un nom, une description et une date d'expiration (plus confortable que 30 jours).
Sélectionnez Suivant.
Sélectionnez le/les périmètre(s) auquel(s) l'utilisateur aura accès, ainsi que le rôle pour chaque périmètre.
Sélectionnez Créer un utilisateur.
Copiez le jeton et insérer dans la fenêtre de configuration du connecteur dans TENACY.
Lancer son premier test
Une fois que le connecteur est bien paramétré, testez l'intégration en lançant une première exécution.
Allez donc dans ⚙️ > Connecteurs > Cliquez sur le connecteur SentinelOne > Exécuter maintenant :
💡 N'hésitez pas à contacter le support Tenacy si vous avez des questions à ce sujet.