Kéo dữ liệu từ SentinelOne vào SecOps
Yêu cầu kỹ thuật
| Thành phần | Mô tả |
|---|---|
| Network Requirements | - Kết nối tới SentinelOne thông qua HTTPS API - URL: https://<your_prefix>.sentinelone.net (Sentinel cung cấp) |
| Authentication | - Sử dụng API Token do SentinelOne cung cấp - Token được truyền trong HTTP Header với định dạng Authorization: ApiToken |
Các bước cấu hình
Bước 1: Truy cập tính năng Data Connection
- Từ thanh menu bên trái, chọn Data Collections Data Connectors.
- Trên trang Connection, nhấn button "Add Connection" để mở trang Data Connector.
- Hệ thống sẽ hiển thị danh sách các bộ kết nối (Connectors) được hỗ trợ (ví dụ: Kafka, Sentinelone, Linux...). Hãy chọn đúng loại thiết bị muốn tích hợp và tiến hành cấu hình các thông số kỹ thuật theo hướng dẫn.
Bước 2: Tạo Connection
- Khởi tạo kết nối
Để bắt đầu thu thập log, người dùng cần lựa chọn bộ kết nối phù hợp với thiết bị của mình:
- Chọn connector có method = Pull và Product = Sentinel One
- Khi chọn xong, hệ thống sẽ mở panel bên phải xem chi tiết connector đó.
- Người dùng nhấn button "Open Connection" để mở form cấu hình kết nối.
- Nhập thông tin cấu hình
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Data Source Type | ✅ | Là nhãn phân loại giúp hệ thống nhận diện nguồn gốc và định dạng của log. Việc chọn đúng Source Type đảm bảo dữ liệu được chuẩn hóa chính xác.. Hệ thống đang phân loại dựa theo dịch vụ (function): Alerts, Activities và Events. |
| Manage Configuration | ✅ | Nhấn vào nút này để hiển thị các thiết lập cấu hình cho loại dữ liệu đã chọn. |
| Connection Name | ✅ | Tên duy nhất để định danh kết nối này |
| Description | ❌ | Ghi chú mô tả mục đích của kết nối |
| Allow to choose parser | ✅ | Bật tùy chọn này nếu bạn muốn hệ thống tự động xử lý (parse) log khi thu thập: - Enabled: Hệ thống sẽ hiển thị danh sách các parser có sẵn, bạn chọn một parser phù hợp. Log sẽ được parse và chuẩn hóa (normalize) sang schema chuẩn của hệ thống. - Disabled: Log được lưu dưới dạng raw event, không qua bước parsing. |
Bước 3: Thiết lập cấu hình (Manage Configuration) cho loại dữ liệu đã chọn
Nhấn vào nút "Manage Configuration", hệ thống sẽ hiển thị popup cấu hình tương ứng với Data Source Type đã chọn.
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| URL | ✅ | Nhập địa chỉ URL (thường có định dạng: https://<your-prefix>.sentinelone.net) của môi trường SentinelOne mà tổ chức bạn đang sử dụng. |
| API Token | ✅ | Đây là "chìa khóa" để SecOps có quyền truy cập và kéo dữ liệu Cách lấy: 1. Trong Console SentinelOne, nhấn vào tên người dùng của bạn ở góc dưới bên trái và chọn My User. 2. Kéo xuống phần API Token. 3. Nếu chưa có, nhấn "Generate" (hoặc Revoke and Generate để tạo mới). Lưu ý: Hãy lưu lại mã này ở nơi an toàn vì nó sẽ bị ẩn đi sau khi bạn rời trang. |
| Look back hour | ❌ | Tham số này xác định khoảng thời gian trong quá khứ mà hệ thống sẽ quay lại để kéo dữ liệu cũ trong lần đầu tiên kết nối. Ví dụ: Nếu điền 24, hệ thống sẽ kéo toàn bộ dữ liệu từ 24 giờ trước tính đến thời điểm hiện tại trong lần đầu tiên kết nối. |
| Time interval | ✅ | Khoảng thời gian định kỳ để hệ thống tự động gọi API và thu thập dữ liệu mới. Ví dụ: Nếu cấu hình là 5 phút, thì cứ mỗi 5 phút hệ thống sẽ gọi đến SentinelOne một lần để kéo dữ liệu phát sinh trong đúng 5 phút vừa qua. |
Bước 4: Kiểm tra kết nối API
Sau khi điền đầy đủ thông tin vào biểu mẫu Manage Configuration, nhấn nút "Test".
Hệ thống sẽ tiến hành thử kết nối tới hệ thống bên ngoài bằng thông tin bạn đã cung cấp:
- Nếu thành công: Một thông báo "Connection successful!" (Kết nối thành công!) sẽ hiển thị.
- Nếu thất bại: Một thông báo "Unable to connect. Please check your credentials!" (Không thể kết nối. Vui lòng kiểm tra lại thông tin xác thực!) sẽ hiển thị.
Bước 5: Lưu cấu hình
Khi kết nối đã được kiểm tra thành công, nhấn nút "Save".
Cấu hình sẽ được lưu lại và bạn không cần phải nhập lại vào lần tới khi chọn cùng một Nguồn dữ liệu (Data Source).
Bước 6: Tạo kết nối
Nhấn "Create Connection" để hoàn tất và thiết lập kết nối mới với hệ thống bên ngoài.
Kết nối mới được tạo sẽ xuất hiện trong danh sách Connection List với trạng thái ban đầu là Pending (Đang chờ xử lý).
Trạng thái Connection
| Trạng thái | Mô tả |
|---|---|
| Pending | Connection đã được tạo nhưng hệ thống chưa bắt đầu hoặc chưa hoàn tất quá trình khởi tạo job thu thập dữ liệu. |
| Active | Connection đang hoạt động bình thường và hệ thống đang thực hiện cơ chế Pull theo chu kỳ cấu hình. |
| Error | Connection gặp lỗi trong quá trình khởi tạo hoặc vận hành. |
| Pause | Connection đã được tạm dừng thủ công bởi người dùng hoặc hệ thống. |