メインコンテンツへスキップ

検索

【EDR設定】SentinelOneとの連携設定

対象ライセンス
以下のライセンスでご利用いただけます(別途記載されている場合を除きます)。
SeciossLink Enterprise, SeciossLink ゼロトラストSSO, ゼロトラストBusiness

 

この記事では、SeciossLinkとEDR製品「SentinelOne」の連携機能の概要と設定方法を解説します。

 

機能の概要

SeciossLinkとEDR製品の「SentinelOne」を連携することで、エンドポイントのセキュリティ強化を実現します。

SentinelOneが不正アクセスを検知した場合、SeciossLinkに検知ログを送信します。検知ログを受信したSeciossLinkは、端末を利用しているアカウントを自動的に無効化、もしくはアクセス時にリスクベース認証を適用して追加認証を要求することで、不審な端末からのアクセスを防止してセキュリティを強化します。
 

(例1)通常時のログインフロー

 

(例2)SentinelOneで検知後、SeciossLinkでアカウント停止した場合の流れ

 

(例3)SentinelOneで検知後、SeciossLinkで追加認証する場合の流れ

 

ポイント
SeciossLinkでは、SentinelOneから送信された検知ログを元に、端末ではなくアカウント単位で不正アクセスを防止します。複数の端末を利用するユーザーから特定の端末でのみ不正アクセスが検知された場合も、該当のSeciossLinkアカウントが利用する端末すべてが不正アクセスの防止対象となります。
例えば、ユーザーXが端末A・端末B・端末Cの3台を利用している場合、端末Aから不正アクセスが検知が発生するとユーザーXのSeciossLinkアカウントに検知ログによる不正アクセスの防止が適用されます。そのため、リスクベース認証を設定している場合は、端末B及びCからのアクセスに対しても追加認証が求められます。

 

設定の流れ

SentinelOneとSeciossLinkの連携に必要な設定は、以下のとおりです。

  1. SentinelOneの設定
  2. SeciossLinkの設定

 

SentinelOneの設定

SentinelOneの連携設定をします。

確認
設定にはSentinelOneのAdmin権限が必要です。

 

  1. SentinelOne 管理コンソールにログイン後、左のメニューバーに表示される[ポリシーと設定]をクリックします。
     
  2. コンソール設定 > 通知とデータ転送 にある[Syslog構成]をクリックします。

     
  3. [無効]スイッチをクリックして、 有効 に切り替えます。

     
  4. [SYSLOGホスト]の項目で、[IP Address]に slink-syslog.secioss.com 、[ポート]に 6514 と入力して、SeciossLink側の検知ログ送信先ホストとポート番号を設定します。

     

  5. 以下のリンクからサーバー証明書をダウンロードのうえ、[変更]をクリックしてダウンロードしたサーバー証明書を
    アップロードします。

    サーバー証明書:DigiCert Global Root G2

     

  6. [情報の形式]の項目で、ドロップダウンメニューから[CEF2]を選択します。
     
  7. [SIEMトークン]の項目に、任意の文字列を入力します。
    ※この値はSeciossLinkの設定でも使用します。必ずお手元にお控えください。
     
  8. [TLSセキュア接続]の[オフ]スイッチをクリックし、オン に切り替えます。
      
  9. 下部の[保存]をクリックして設定を保存します。以上でSentinelOneの設定は完了です。

 

図 SentinelOneのSyslog構成画面の設定イメージ

EDR_SentinelOne-Settings_4.png

 

表 SentinelOneのSyslog構成画面で設定する項目と説明

項目 説明
無効
(Disable Syslog)		 トグルをオンにして 有効 にします。
(英語表記の場合には、 Disable Syslog から Enable Syslog にします)
SYSLOGホスト
(Your SYSLOG host)
  1. IP Address に slink-syslog.secioss.com を入力します。
  2. ポート(Port)に 6514 を入力します。
情報の形式
(information format)		 ドロップダウンメニューから[CEF2]を選択します。
SIEMトークン
(SIEM Token)		 任意の文字列を入力します。
※SIEMトークンはSeciossLinkの設定にも使用します。必ずお手元にお控えください。
TLSセキュア接続
(TLS secure connection)		 トグルをオンにします。

※項目の()は言語設定が英語の場合の表記です。設定後は必ず保存してください。

 

SeciossLinkの設定

SeciossLinkの設定は以下のとおりです。

  1. クライアント証明書の設定 
  2. リスクベース認証の設定 ※不正検知後の対応が「追加認証」の場合  
  3. SeciossLinkのEDR設定 

 

クライアント証明書の設定

ユーザーの端末にクライアント証明書を導入します。

参照する記事:クライアント証明書(SeciossLink)の発行

ポイント
クライアント証明書の設定では、証明書が端末を識別するためのOTA(クライアント証明書を指定のデバイスに配布するための方法)設定が必須です。
例:Windows端末の場合はMACアドレスを設定します。

 

リスクベース認証の設定 ※不正検知後の対応が「追加認証」の場合

リスクベース認証を設定します。

リスクベース認証は、SentinelOneで検知後にSeciossLinkでリスクベース認証(追加認証)を適用する場合に設定します。
※SentinelOneで検知後、SeciossLinkのアカウントを無効化する場合にはリスクベース認証の設定は不要です。

ポイント
リスクベース認証は、アクセス時のリスクレベルをSeciossLinkが自動判定し、設定に応じて追加認証を要求する機能です。
EDR連携ではリスクレベルを問わず、SentinelOneの検知後は自動でリスクベース認証で設定した認証方式が要求されます。

 

  1. リスクベース認証を設定します。

    参照する記事:認証ルールを設定する
    ※「認証ルールを設定する」>「認証ポリシーの設定」>「リスクベース認証の設定」をご参照ください。

    確認
    リスクベース認証では、認証ルールと異なる認証方式を設定してください。
    認証ルールは (左メニューバー)認証 > 一覧 から確認できます。

    設定例:
    認証ルールにID/パスワード認証とワンタイムパスワードを設定する場合、リスクベース認証にはFIDO認証を設定する。

     

  2. 認証ルールの認証方式に、「リスクベース認証」を追加します。

    参照する記事:認証ルール登録

 

SeciossLinkのEDR設定

SeciossLinkの連携設定をします。

 

  1. SeciossLinkの管理コンソールにて、(左メニューバー)端末 > 端末 を開き、上部タブ[EDR 設定]をクリックします。

     
  2. EDR設定画面が開きます。

     
  3. [EDR 設定]の項目で、ドロップダウンメニューから「SentinelOne」を選択します。
    EDR_SentinelOne_SLINK-Settings_3.png
     
  4. [ホスト名]の項目で、SentinelOneのホスト名を入力します。
    ホスト名はSentinelOne管理コンソールのURLの太字部分(host-name.sentinelone.net)です。

     
  5. [SIEM Token]の項目に、SentinelOneで設定した「SIEMトークン」の値を入力します。
     
  6. [対応方法]の項目で、ドロップダウンメニューからSentinelOneが不正検知した際の対応方法を選択します。
    • [追加認証]:SentinelOneが不正を検知すると、認証ルールの認証方式に加えて「リスクベース認証」で設定した認証方式を追加で要求します。
    • [アカウント停止]:SentinelOneが不正を検知すると、その端末に紐づくユーザーアカウントのユーザー状態が無効になります。ユーザー状態が無効の場合、SeciossLinkにログインできません。
       
  7. [対象の端末]の項目で、SentinelOneが不正を検知した場合にSeciossLinkへのアクセスを制限する端末を選択します。
    SentinelOneが選択した端末(対象の端末)で不正を検知すると、指定した[対応方法]が実施されます。
    • [端末]:(左メニューバー)端末 > 端末 で管理する端末が対象になります。

    • [リモート端末]:(左メニューバー)端末 > リモート端末 で管理するリモート端末が対象になります。 

      確認
      リモート端末とは、Secioss Remote Gatewayを利用したリモート端末です。
      Secioss Remote Gatewayの詳細はこちらをご確認ください。

       

  8. すべての項目の設定が完了したら、下部の[保存]をクリックします。以上でSeciossLinkの設定は完了です。

    ※EDR設定で入力及び変更された項目が反映されるまで1時間ほどかかります。
    例えば、[対応方法]をアカウント停止から追加認証に変更した場合、不正アクセス検知後のSeciossLink側の挙動が
    追加認証に切り替わるのは1時間後となります。
     

     

 

図 SeciossLinkのEDR設定画面の設定イメージ

 

表 SeciossLinkのEDR設定画面で設定する項目と説明

項目 説明
EDR 設定 「SentinelOne」を選択します。
ホスト名 連携先SentinelOneのホスト名を入力します。
※以下はSentinelOne管理コンソールのURLです。赤枠部分がホスト名です。
SIEM Token SentinelOneで設定した「SIEMトークン」の値を入力します。
対応方法

SentinelOneが不審なアクセスを検知した後のSeciossLinkの対応方法を選択します。

  • [追加認証]:リスクベース認証で設定した認証を追加要求します。
  • [アカウント停止]:該当のアカウントを停止します。
対象の端末

SentinelOneが不審なアクセスを検知した際に対処したい端末を指定します。

  • [端末]:
    (左メニューバー)端末 > 端末 で管理する端末が対象です。
  • [リモート端末]:
    (左メニューバー)端末 > リモート端末 で管理するリモート端末が対象です。

※上記すべての項目を設定してください。設定後は必ず保存してください。

 

困ったときには
Q. SentinelOneで不審検知してもSeciossLinkで設定した追加認証が実施されない。
A. リスクベース認証が設定されていない可能性があります。 
ユーザーの認証ルールにリスクベース認証が設定されているかをご確認ください。
参照する項目:リスクベース認証の設定