Intégrer SentinelOne à Google SecOps
Ce document explique comment configurer et intégrer SentinelOne à Google Security Operations (Google SecOps).
Version de l'intégration : 3.0
Cas d'utilisation
Réponse automatisée aux menaces : utilisez les fonctionnalités Google SecOps pour répondre automatiquement aux menaces détectées par SentinelOne, ce qui réduit le temps et les efforts nécessaires aux opérations de sécurité.
Contexte d'incident enrichi : utilisez les fonctionnalités Google SecOps pour fournir aux analystes de sécurité plus de contexte sur les incidents de sécurité et prendre des décisions plus éclairées. Par exemple, vous pouvez enrichir automatiquement les données d'incident avec des informations sur les points de terminaison et les menaces concernés.
Actions de correction orchestrées : utilisez les fonctionnalités Google SecOps pour exécuter automatiquement des playbooks qui combinent les actions SentinelOne avec d'autres outils de sécurité, tels que les pare-feu réseau ou les systèmes de gestion des identités. Vous assurez ainsi une réponse coordonnée aux menaces et minimisez leur impact.
Paramètres d'intégration
L'intégration SentinelOne nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Api root |
Obligatoire. Racine de l'API SentinelOne. La valeur par défaut est |
Username |
Obligatoire. Nom d'utilisateur pour l'authentification. |
Password |
Obligatoire. Mot de passe pour l'authentification. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Déconnecter l'agent du réseau
Utilisez l'action Déconnecter l'agent du réseau pour déconnecter un agent de la connexion réseau.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Déconnecter l'agent du réseau fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Déconnecter l'agent du réseau :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Point de terminaison Enrich
Utilisez l'action Enrichir le point de terminaison pour enrichir une entité de point de terminaison avec des informations provenant du système.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Enrichir le point de terminaison fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrich Endpoint (Enrichir le point de terminaison) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir l'état de l'agent
Utilisez l'action Obtenir l'état de l'agent pour récupérer l'état d'un agent.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir l'état de l'agent fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'état de l'agent :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la liste des applications pour un point de terminaison
Utilisez l'action Obtenir la liste des applications pour le point de terminaison pour obtenir la liste des applications utilisées sur un point de terminaison.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Get Application List for Endpoint (Obtenir la liste des applications pour le point de terminaison) fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la liste des applications pour le point de terminaison :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les événements pour un point de terminaison par heure
Utilisez l'action Obtenir les événements pour un point de terminaison par heure pour récupérer tous les événements liés à un point de terminaison.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Get Events for Endpoint by Time (Obtenir les événements pour le point de terminaison par heure) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hours Back |
Facultatif. Nombre d'heures avant l'heure actuelle pour récupérer les événements. |
Events Amount Limit |
Facultatif. Nombre d'événements à récupérer pour chaque action exécutée. |
Sorties d'action
L'action Obtenir les événements pour le point de terminaison par heure fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Events for Endpoint by Time (Obtenir les événements pour le point de terminaison par heure) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la réputation du hachage
Utilisez l'action Obtenir la réputation du hachage pour obtenir la réputation d'un hachage SHA-1.
Cette action s'exécute sur l'entité Filehash de Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir la réputation du hachage fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la réputation du hachage :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la liste des processus pour un point de terminaison
Utilisez l'action Obtenir la liste des processus pour le point de terminaison pour récupérer la liste des processus d'un point de terminaison.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir la liste des processus pour le point de terminaison fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la liste des processus pour le point de terminaison :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir l'état du système
Utilisez l'action Obtenir l'état du système pour obtenir l'état de fonctionnement du système SentinelOne.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir l'état du système fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'état du système :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la version du système
Utilisez l'action Get System Version (Obtenir la version du système) pour obtenir la version du système SentinelOne.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir la version du système fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la version du système :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lancer une analyse complète
Utilisez l'action Lancer une analyse complète pour lancer une analyse complète du disque sur un point de terminaison.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Initiate Full Scan (Lancer une analyse complète) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Initiate Full Scan (Lancer une analyse complète) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à SentinelOne.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Reconnecter l'agent au réseau
Utilisez l'action Reconnecter l'agent au réseau pour reconnecter un agent déconnecté au réseau.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Reconnecter l'agent au réseau fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Reconnecter l'agent au réseau :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour le chemin d'ajout de la liste d'exclusion
Utilisez l'action Mettre à jour la liste d'exclusion : ajouter un chemin d'accès pour ajouter un chemin d'accès à une liste d'exclusion existante.
Cette action est compatible avec les systèmes d'exploitation suivants : Windows, OSX, Linux et Android.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Mettre à jour la liste d'exclusion : ajouter un chemin d'accès nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
List Name |
Obligatoire. Nom de la liste d'exclusion. |
Path |
Obligatoire. Chemin d'accès à ajouter à la liste. |
Operation System |
Obligatoire. Système d'exploitation. Voici les valeurs possibles :
|
Sorties d'action
L'action Mettre à jour la liste d'exclusion : ajouter un chemin d'accès fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Update Exclusion List Add Path (Mettre à jour la liste d'exclusion : ajouter un chemin d'accès) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.