Integra SentinelOne con Google SecOps
En este documento, se explica cómo configurar e integrar SentinelOne con Google Security Operations (Google SecOps).
Versión de la integración: 3.0
Casos de uso
Respuesta ante amenazas automatizada: Usa las capacidades de Google SecOps para responder automáticamente a las amenazas detectadas por SentinelOne, lo que reduce el tiempo y el esfuerzo necesarios para las operaciones de seguridad.
Contexto enriquecido de los incidentes: Usa las capacidades de Google SecOps para proporcionar a los analistas de seguridad más contexto sobre los incidentes de seguridad y tomar decisiones más fundamentadas. Por ejemplo, puedes enriquecer automáticamente los datos de incidentes con información sobre las amenazas y los extremos afectados.
Acciones de corrección coordinadas: Usa las capacidades de Google SecOps para ejecutar automáticamente guías que combinan acciones de SentinelOne con otras herramientas de seguridad, como firewalls de red o sistemas de administración de identidades, lo que garantiza una respuesta coordinada a las amenazas y minimiza su impacto.
Parámetros de integración
La integración de SentinelOne requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Api root |
Obligatorio. Es la raíz de la API de SentinelOne. El valor predeterminado es |
Username |
Obligatorio. Nombre de usuario con el que se realizará la autenticación. |
Password |
Obligatorio. Es la contraseña con la que se realizará la autenticación. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Desconectar el agente de la red
Usa la acción Disconnect Agent From Network para desconectar un agente de la conexión de red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Disconnect Agent From Network proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Disconnect Agent From Network:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Extremo de enriquecimiento
Usa la acción Enrich Endpoint para enriquecer una entidad de extremo con información del sistema.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Enrich Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener el estado del agente
Usa la acción Get Agent Status para recuperar el estado de un agente.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Agent Status proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Agent Status:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén la lista de aplicaciones para el extremo
Usa la acción Get Application List for Endpoint para obtener una lista de las aplicaciones que se usan en un extremo.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Application List for Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Application List for Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén eventos para el extremo por hora
Usa la acción Get Events for Endpoint by Time para recuperar todos los eventos relacionados con un extremo.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
La acción Get Events for Endpoint by Time requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hours Back |
Opcional. Cantidad de horas previas a la hora actual para recuperar eventos. |
Events Amount Limit |
Opcional. Es la cantidad de eventos que se recuperarán para cada ejecución de acción. |
Resultados de la acción
La acción Get Events for Endpoint by Time proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Events for Endpoint by Time:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener reputación de hash
Usa la acción Get Hash Reputation para obtener la reputación de un hash SHA-1.
Esta acción se ejecuta en la entidad Filehash de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Hash Reputation proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Hash Reputation:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén la lista de procesos del extremo
Usa la acción Get Process List for Endpoint para recuperar la lista de procesos de un extremo.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Process List for Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Process List for Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén el estado del sistema
Usa la acción Get System Status para obtener el estado del sistema de SentinelOne.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get System Status proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Get System Status:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener la versión del sistema
Usa la acción Get System Version para obtener la versión del sistema de SentinelOne.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get System Version proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get System Version:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo iniciar un análisis completo
Usa la acción Initiate Full Scan para iniciar un análisis completo del disco en un extremo.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Initiate Full Scan proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Iniciar análisis completo:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad a SentinelOne.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Vuelve a conectar el agente a la red
Usa la acción Reconnect Agent to the Network para volver a conectar un agente desconectado a la red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Reconnect Agent to the Network proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Reconnect Agent to the Network:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualiza la ruta de agregar a la lista de exclusiones
Usa la acción Update Exclusion List Add Path para agregar una ruta de acceso a una lista de exclusiones existente.
Esta acción admite los siguientes sistemas operativos: Windows, OSX, Linux y Android.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción Update Exclusion List Add Path requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
List Name |
Obligatorio. Es el nombre de la lista de exclusiones. |
Path |
Obligatorio. Es la ruta de acceso que se agregará a la lista. |
Operation System |
Obligatorio. Es el sistema operativo. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Update Exclusion List Add Path proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Update Exclusion List Add Path:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.