Mengintegrasikan SentinelOne dengan Google SecOps
Dokumen ini menjelaskan cara mengonfigurasi dan mengintegrasikan SentinelOne dengan Google Security Operations (Google SecOps).
Versi integrasi: 3.0
Kasus penggunaan
Respons ancaman otomatis: gunakan kemampuan Google SecOps untuk merespons ancaman yang terdeteksi oleh SentinelOne secara otomatis, sehingga mengurangi waktu dan upaya yang diperlukan untuk operasi keamanan.
Konteks insiden yang diperkaya: gunakan kemampuan Google SecOps untuk memberikan lebih banyak konteks kepada analis keamanan terkait insiden keamanan dan membuat keputusan yang lebih tepat. Misalnya, Anda dapat otomatis memperkaya data insiden dengan informasi tentang endpoint dan ancaman yang terpengaruh.
Tindakan perbaikan yang diorkestrasi: menggunakan kemampuan Google SecOps untuk menjalankan playbook secara otomatis yang menggabungkan tindakan SentinelOne dengan alat keamanan lainnya, seperti firewall jaringan atau sistem pengelolaan identitas, sehingga memastikan respons yang terkoordinasi terhadap ancaman dan meminimalkan dampaknya.
Parameter integrasi
Integrasi SentinelOne memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Api root |
Wajib. Root SentinelOne API. Nilai defaultnya adalah
|
Username |
Wajib. Nama pengguna untuk melakukan autentikasi. |
Password |
Wajib. Sandi untuk melakukan autentikasi. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Memutus Koneksi Agen dari Jaringan
Gunakan tindakan Putuskan Sambungan Agen dari Jaringan untuk memutuskan sambungan agen dari koneksi jaringan.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Disconnect Agent From Network memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Disconnect Agent From Network:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Endpoint Memperkaya
Gunakan tindakan Enrich Endpoint untuk memperkaya entity endpoint dengan informasi dari sistem.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Enrich Endpoint memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Status Agen
Gunakan tindakan Get Agent Status untuk mengambil status agen.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Agent Status memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Agent Status:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Daftar Aplikasi untuk Endpoint
Gunakan tindakan Get Application List for Endpoint untuk mendapatkan daftar aplikasi yang digunakan di endpoint.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Application List for Endpoint memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Application List for Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Peristiwa untuk Endpoint menurut Waktu
Gunakan tindakan Dapatkan Peristiwa untuk Endpoint menurut Waktu untuk mengambil semua peristiwa yang terkait dengan endpoint.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tindakan Get Events for Endpoint by Time memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Hours Back |
Opsional. Jumlah jam sebelum waktu saat ini untuk mengambil peristiwa. |
Events Amount Limit |
Opsional. Jumlah peristiwa yang akan diambil untuk setiap jalankan tindakan. |
Output tindakan
Tindakan Get Events for Endpoint by Time memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Events for Endpoint by Time:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Reputasi Hash
Gunakan tindakan Get Hash Reputation untuk mendapatkan reputasi hash SHA-1.
Tindakan ini dijalankan pada entity Filehash Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Hash Reputation memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Hash Reputation:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Daftar Proses untuk Endpoint
Gunakan tindakan Get Process List for Endpoint untuk mengambil daftar proses untuk endpoint.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Process List for Endpoint memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Process List for Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Status Sistem
Gunakan tindakan Get System Status untuk mendapatkan status kondisi sistem SentinelOne.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get System Status memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get System Status:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Versi Sistem
Gunakan tindakan Get System Version untuk mendapatkan versi sistem SentinelOne.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get System Version memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get System Version:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mulai Pemindaian Penuh
Gunakan tindakan Mulai Pemindaian Penuh untuk memulai pemindaian disk penuh di endpoint.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Initiate Full Scan memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Mulai Pemindaian Penuh:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke SentinelOne.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menghubungkan Kembali Agen ke Jaringan
Gunakan tindakan Hubungkan Kembali Agen ke Jaringan untuk menghubungkan kembali agen yang terputus ke jaringan.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tidak ada.
Output tindakan
Tindakan Reconnect Agent to the Network memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Reconnect Agent to the Network:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perbarui Jalur Tambahan Daftar Pengecualian
Gunakan tindakan Perbarui Jalur Penambahan Daftar Pengecualian untuk menambahkan jalur ke daftar pengecualian yang ada.
Tindakan ini mendukung sistem operasi berikut: Windows, OSX, Linux, dan Android.
Tindakan ini berjalan di semua entity Google SecOps.
Input tindakan
Tindakan Update Exclusion List Add Path memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
List Name |
Wajib. Nama daftar pengecualian. |
Path |
Wajib. Jalur yang akan ditambahkan ke daftar. |
Operation System |
Wajib. Sistem operasi. Kemungkinan nilainya adalah sebagai berikut:
|
Output tindakan
Tindakan Update Exclusion List Add Path memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Hasil skrip | Tersedia |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Update Exclusion List Add Path:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.