メインコンテンツまでスキップ
Sumo Logic Japanese

SentinelOne のログの収集

このページでは、SentinelOne のログを Sumo Logic に取り込む手順について説明します。

このページでは、SentinelOne のログを Sumo Logic に取り込む手順について説明します。SentinelOne の詳細については、SentinelOne Web サイトを参照してください。

SentinelOne アカウントをお持ちの場合は、この記事のコンテンツを SentinelOne サポート技術情報 (こちら) で確認できます。

ステップ 1.Sumo Logic からのトークンおよび証明書の取得

CEFv2 Syslog メッセージのメッセージ ID に追加する SIEM トークンを定義できます。

Sumo Logic からトークンおよび証明書を取得するには、次の手順を実行します。

  1. Sumo Logic Web サイトにログインします。
  2. クラウド Syslog Hosted Collector および クラウド Syslog Source を設定し、クラウド Syslog Source トークンを生成します。 

  3. crt サーバ証明書ファイルをこちらからダウンロードします。

  4. 証明書ファイルが配置されている場所に移動して、ターミナル ウィンドウを開きます。

  5. 次のコマンドを実行します。

wget -O digicert_ca.der https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt openssl x509 -inform der -in digicert_ca.der -out digicert_ca.crt

ステップ 2.syslog メッセージの設定

このステップでは、マネジメント コンソールから syslog メッセージを設定します。

syslog メッセージを設定するには、次の手順を実行します。

  1. SentinelOne のサイドバーで [Scope (範囲)] をクリックし、範囲を選択します。
  1. サイドバーで [Settings (設定)] をクリックします。
  2. [Settings (設定)] ツールバーで [Integrations (統合)] をクリックします。

SentinelOne_Integrations_option.png

  1. [SYSLOG] をクリックします。[SYSLOG] ダイアログが表示されます。
  2. トグル ボタンをクリックして SYSLOG を有効にします。
  3. Syslog ホストの URLポート番号を入力します。
  4. [Use SSL secure connection (SSL セキュア接続を使用する)] をクリックした後、[Server certificate (サーバ証明書)] > [Upload (アップロード)] をクリックし、ダウンロードした crt 証明書ファイルがある場所を参照します。
  5. 次の [Formatting (フォーマット設定)] オプションを指定します。
  • Information format (情報形式): [CEF2] を選択します。
  • SIEM Token: Sumo Logic から生成されたクラウド Syslog Source トークンを貼り付けます。

SentinelOne_SYSLOG_dialog.png 

  1. [Test (テスト)] をクリックしてから、[Save (保存)] をクリックします。
  2. Sumo Logic Web アプリケーションで、ステップ 1 で設定したクラウド Syslog Source に対して検索を実行し、ログが取り込まれることを確認します。2、3 分経ってもデータが取り込まれない場合は、次のことを確認してください。

  • Sumo Logic Collector にログへの読み取りアクセス権がある。
  • タイム ゾーンが正しく設定されている。

 

  • この記事は役に立ちましたか?