Integrar SentinelOne con Google SecOps
En este documento se explica cómo configurar e integrar SentinelOne con Google Security Operations (Google SecOps).
Versión de la integración: 3.0
Casos prácticos
Respuesta automatizada ante amenazas: usa las funciones de Google SecOps para responder automáticamente a las amenazas detectadas por SentinelOne, lo que reduce el tiempo y el esfuerzo necesarios para las operaciones de seguridad.
Contexto de incidentes enriquecido: usa las funciones de Google SecOps para proporcionar a los analistas de seguridad más contexto sobre los incidentes de seguridad y tomar decisiones más fundamentadas. Por ejemplo, puede enriquecer automáticamente los datos de incidentes con información sobre los endpoints y las amenazas afectados.
Acciones de corrección orquestadas: usa las funciones de Google SecOps para ejecutar automáticamente guías que combinen acciones de SentinelOne con otras herramientas de seguridad, como cortafuegos de red o sistemas de gestión de identidades, lo que asegura una respuesta coordinada a las amenazas y minimiza su impacto.
Parámetros de integración
La integración de SentinelOne requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Api root |
Obligatorio. La raíz de la API de SentinelOne. El valor predeterminado es |
Username |
Obligatorio. Nombre de usuario para la autenticación. |
Password |
Obligatorio. La contraseña para autenticarte. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Desconectar agente de la red
Usa la acción Desconectar agente de la red para desconectar un agente de la conexión de red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Desconectar agente de la red proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Desconectar agente de la red:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Endpoint de enriquecimiento
Usa la acción Enriquecer endpoint para enriquecer una entidad de endpoint con información del sistema.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Enrich Endpoint (Enriquecer endpoint) proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich Endpoint (Enriquecer endpoint):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener estado del agente
Usa la acción Obtener estado del agente para consultar el estado de un agente.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener estado del agente proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener estado del agente:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener lista de aplicaciones de un endpoint
Usa la acción Get Application List for Endpoint (Obtener lista de aplicaciones de un endpoint) para obtener una lista de las aplicaciones que se usan en un endpoint.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener lista de aplicaciones de un endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener lista de aplicaciones del endpoint:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener eventos de un endpoint por hora
Use la acción Get Events for Endpoint by Time (Obtener eventos de un endpoint por hora) para recuperar todos los eventos relacionados con un endpoint.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción Get Events for Endpoint by Time requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hours Back |
Opcional. Número de horas anteriores a la hora actual para obtener eventos. |
Events Amount Limit |
Opcional. Número de eventos que se recuperarán en cada ejecución de la acción. |
Resultados de la acción
La acción Obtener eventos de un endpoint por hora proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Events for Endpoint by Time (Obtener eventos de un endpoint por hora):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Hash Reputation
Usa la acción Obtener reputación de hash para obtener la reputación de un hash SHA-1.
Esta acción se ejecuta en la entidad Filehash de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener reputación de hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener reputación de hash:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener lista de procesos de un endpoint
Usa la acción Get Process List for Endpoint (Obtener lista de procesos de un endpoint) para recuperar la lista de procesos de un endpoint.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener lista de procesos de un endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener lista de procesos del endpoint:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener estado del sistema
Usa la acción Get System Status (Obtener estado del sistema) para obtener el estado de salud del sistema de SentinelOne.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener estado del sistema proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener estado del sistema:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener versión del sistema
Usa la acción Get System Version (Obtener versión del sistema) para obtener la versión del sistema SentinelOne.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener versión del sistema proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener versión del sistema:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Iniciar análisis completo
Usa la acción Iniciar análisis completo para iniciar un análisis completo del disco en un endpoint.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Iniciar análisis completo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Iniciar análisis completo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con SentinelOne.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Volver a conectar el agente a la red
Usa la acción Volver a conectar el agente a la red para volver a conectar un agente desconectado a la red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Volver a conectar el agente a la red proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Volver a conectar el agente a la red:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar lista de exclusión y añadir ruta
Usa la acción Update Exclusion List Add Path para añadir una ruta a una lista de exclusión.
Esta acción es compatible con los siguientes sistemas operativos: Windows, OSX, Linux y Android.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Update Exclusion List Add Path requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
List Name |
Obligatorio. Nombre de la lista de exclusión. |
Path |
Obligatorio. La ruta que se va a añadir a la lista. |
Operation System |
Obligatorio. El sistema operativo. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Actualizar lista de exclusión: añadir ruta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Update Exclusion List Add Path (Actualizar lista de exclusión: añadir ruta):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.