Utiliza el destino SentinelOne de Observability Pipelines para enviar logs a SentinelOne.

Configuración

Configura el destino SentinelOne y sus variables de entorno cuando configures un pipeline. La información a continuación se configura en la interfaz de usuario de los pipelines.

Configurar el destino

1. Select your SentinelOne logs environment in the dropdown menu.
2. Optionally, toggle the switch to enable Buffering Options.
   Note: Buffering options is in Preview. Contact your account manager to request access.
   • If left disabled, the maximum size for buffering is 500 events.
   • If enabled:
     1. Select the buffer type you want to set (Memory or Disk).
     2. Enter the buffer size and select the unit.

Configurar las variables de entorno

• SentinelOne write access token:
  • Stored as the environment variable: DD_OP_DESTINATION_SENTINEL_ONE_TOKEN

Visualizar logs en un clúster SentinelOne

Una vez configurado el pipeline para el envío de logs al destino SentinelOne, podrás visualizar los logs en un clúster SentinelOne:

1. Inicia sesión en la consola S1.
2. Ve a la página “Buscar” de Singularity Data Lake (SDL). Para acceder a ella desde la consola, haz clic en “Visibility” (Visibilidad) en el menú de la izquierda para ir a SDL y asegúrate de que estás en la pestaña “Buscar”.
3. Asegúrate de que el filtro situado junto a la barra de búsqueda está configurado como Todos los datos.
4. Esta página muestra los logs que enviaste desde Observability Pipelines a SentinelOne.

Cómo funciona el destino

Colocación de eventos en lotes

Un lote de eventos se descarga cuando se cumple uno de estos parámetros. Para obtener más información, consulta lotes de eventos.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Optimizar los logs de EDR y enviarlos a SentinelOne con Observability PipelinesBLOG