SentinelOne in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie SentinelOne konfigurieren und in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 3.0
Anwendungsfälle
Automatisierte Reaktion auf Bedrohungen: Mit den Funktionen von Google SecOps können Sie automatisch auf Bedrohungen reagieren, die von SentinelOne erkannt werden. So können Sie Zeit und Aufwand für Sicherheitsabläufe reduzieren.
Angereicherter Vorfallkontext: Nutzen Sie die Google SecOps-Funktionen, um Sicherheitsanalysten mehr Kontext zu Sicherheitsvorfällen zu bieten und fundiertere Entscheidungen zu treffen. So können Sie beispielsweise Vorfalldaten automatisch mit Informationen zu den betroffenen Endpunkten und Bedrohungen anreichern.
Orchestrated Remediation Actions (Orchestrierte Maßnahmen zur Behebung): Mit Google SecOps-Funktionen können Sie Playbooks automatisch ausführen, in denen SentinelOne-Aktionen mit anderen Sicherheitstools wie Netzwerkfirewalls oder Identitätsverwaltungssystemen kombiniert werden. So wird eine koordinierte Reaktion auf Bedrohungen gewährleistet und die Auswirkungen werden minimiert.
Integrationsparameter
Für die SentinelOne-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Api root |
Erforderlich. Der SentinelOne-API-Stamm. Der Standardwert ist |
Username |
Erforderlich. Der Nutzername für die Authentifizierung. |
Password |
Erforderlich. Das Passwort für die Authentifizierung. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Verbindung des Agents zum Netzwerk trennen
Verwenden Sie die Aktion Agent vom Netzwerk trennen, um einen Agent von der Netzwerkverbindung zu trennen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Agent vom Netzwerk trennen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Disconnect Agent From Network (Agent vom Netzwerk trennen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Endpunkt für die Anreicherung
Verwenden Sie die Aktion Enrich Endpoint (Endpunkt anreichern), um eine Endpunktentität mit Informationen aus dem System anzureichern.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Enrich Endpoint (Endpunkt anreichern) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Endpoint verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Agent-Status abrufen
Verwenden Sie die Aktion Get Agent Status (Agent-Status abrufen), um den Status eines Agent abzurufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get Agent Status (Agent-Status abrufen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Agent Status (Agent-Status abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Anwendungsliste für Endpunkt abrufen
Mit der Aktion Anwendungsliste für Endpunkt abrufen können Sie eine Liste der Anwendungen abrufen, die auf einem Endpunkt verwendet werden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ereignisse für Endpunkt nach Zeit abrufen
Mit der Aktion Get Events for Endpoint by Time (Ereignisse für Endpunkt nach Zeit abrufen) können Sie alle Ereignisse abrufen, die mit einem Endpunkt verknüpft sind.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Für die Aktion Get Events for Endpoint by Time (Ereignisse für Endpunkt nach Zeit abrufen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Hours Back |
Optional. Die Anzahl der Stunden vor der aktuellen Zeit, in denen Ereignisse abgerufen werden sollen. |
Events Amount Limit |
Optional. Die Anzahl der Ereignisse, die für jeden Aktionslauf abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Get Events for Endpoint by Time (Ereignisse für Endpunkt nach Zeit abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Events for Endpoint by Time (Ereignisse für Endpunkt nach Zeit abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hash-Reputation abrufen
Verwenden Sie die Aktion Get Hash Reputation (Hash-Reputation abrufen), um die Reputation eines SHA‑1-Hash abzurufen.
Diese Aktion wird für die Google SecOps-Filehash-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get Hash Reputation (Hash-Reputation abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Hash Reputation verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Prozessliste für Endpunkt abrufen
Mit der Aktion Prozessliste für Endpunkt abrufen können Sie die Prozessliste für einen Endpunkt abrufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get Process List for Endpoint (Prozessliste für Endpunkt abrufen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Process List for Endpoint (Prozessliste für Endpunkt abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Systemstatus abrufen
Verwenden Sie die Aktion Systemstatus abrufen, um den Systemstatus von SentinelOne abzurufen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Systemstatus abrufen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Systemstatus abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Systemversion abrufen
Verwenden Sie die Aktion Get System Version (Systemversion abrufen), um die SentinelOne-Systemversion abzurufen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get System Version (Systemversion abrufen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Systemversion abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Vollständigen Scan starten
Mit der Aktion Vollständigen Scan starten können Sie einen vollständigen Festplattenscan auf einem Endpunkt starten.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Vollständigen Scan starten bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Vollständigen Scan starten verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu SentinelOne zu testen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Agent wieder mit dem Netzwerk verbinden
Verwenden Sie die Aktion Agent wieder mit dem Netzwerk verbinden, um einen getrennten Agent wieder mit dem Netzwerk zu verbinden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Agent wieder mit dem Netzwerk verbinden gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Agent mit dem Netzwerk verbinden verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Pfad zum Hinzufügen von Ausschlusslisten aktualisieren
Mit der Aktion Update Exclusion List Add Path (Ausschlussliste aktualisieren – Pfad hinzufügen) können Sie einer vorhandenen Ausschlussliste einen Pfad hinzufügen.
Diese Aktion unterstützt die folgenden Betriebssysteme: Windows, OSX, Linux und Android.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Update Exclusion List Add Path sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
List Name |
Erforderlich. Der Name der Ausschlussliste. |
Path |
Erforderlich. Der Pfad, der der Liste hinzugefügt werden soll. |
Operation System |
Erforderlich. Das Betriebssystem. Folgende Werte sind möglich:
|
Aktionsausgaben
Die Aktion Ausschlussliste aktualisieren – Pfad hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Exclusion List Add Path verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten