Integrare SentinelOne con Google SecOps
Questo documento spiega come configurare e integrare SentinelOne con Google Security Operations (Google SecOps).
Versione integrazione: 3.0
Casi d'uso
Risposta automatica alle minacce: utilizza le funzionalità di Google SecOps per rispondere automaticamente alle minacce rilevate da SentinelOne, riducendo il tempo e l'impegno richiesti per le operazioni di sicurezza.
Contesto degli incidenti arricchito: utilizza le funzionalità di Google SecOps per fornire agli analisti della sicurezza un contesto più ampio sugli incidenti di sicurezza e prendere decisioni più informate. Ad esempio, puoi arricchire automaticamente i dati degli incident con informazioni sugli endpoint e sulle minacce interessati.
Azioni di correzione coordinate: utilizza le funzionalità di Google SecOps per eseguire automaticamente playbook che combinano le azioni di SentinelOne con altri strumenti di sicurezza, come firewall di rete o sistemi di gestione delle identità, garantendo una risposta coordinata alle minacce e riducendone al minimo l'impatto.
Parametri di integrazione
L'integrazione di SentinelOne richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Api root |
Obbligatorio. La radice dell'API SentinelOne. Il valore predefinito è
|
Username |
Obbligatorio. Il nome utente con cui eseguire l'autenticazione. |
Password |
Obbligatorio. La password per l'autenticazione. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Scollega l'agente dalla rete
Utilizza l'azione Disconnetti agente dalla rete per disconnettere un agente dalla connessione di rete.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Disconnetti agente dalla rete fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Disconnetti agente dalla rete:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Endpoint Enrich
Utilizza l'azione Arricchisci endpoint per arricchire un'entità endpoint con informazioni dal sistema.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Arricchisci endpoint fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupero stato agente
Utilizza l'azione Ottieni stato agente per recuperare lo stato di un agente.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Get Agent Status (Ottieni stato agente) fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni stato agente:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera l'elenco delle applicazioni per l'endpoint
Utilizza l'azione Ottieni elenco applicazioni per endpoint per ottenere un elenco di applicazioni utilizzate su un endpoint.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Recupera elenco applicazioni per endpoint fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni elenco applicazioni per endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera eventi per endpoint per ora
Utilizza l'azione Recupera eventi per endpoint per ora per recuperare tutti gli eventi correlati a un endpoint.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
L'azione Recupera eventi per endpoint per ora richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Hours Back |
Facoltativo. Il numero di ore prima dell'ora corrente per recuperare gli eventi. |
Events Amount Limit |
Facoltativo. Il numero di eventi da recuperare per ogni esecuzione dell'azione. |
Output dell'azione
L'azione Recupera eventi per endpoint per ora fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera eventi per endpoint per ora:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottenere la reputazione dell'hash
Utilizza l'azione Ottieni reputazione hash per ottenere la reputazione di un hash SHA-1.
Questa azione viene eseguita sull'entità Google SecOps Filehash.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni reputazione hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni reputazione hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera l'elenco dei processi per l'endpoint
Utilizza l'azione Ottieni elenco processi per endpoint per recuperare l'elenco dei processi per un endpoint.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Get Process List for Endpoint (Ottieni elenco processi per endpoint) fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni elenco processi per endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera lo stato del sistema
Utilizza l'azione Ottieni stato del sistema per ottenere lo stato di integrità del sistema SentinelOne.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni stato sistema fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni stato del sistema:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera versione del sistema
Utilizza l'azione Ottieni versione sistema per ottenere la versione del sistema SentinelOne.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni versione del sistema fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni versione di sistema:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Avvia scansione completa
Utilizza l'azione Avvia scansione completa per avviare una scansione completa del disco su un endpoint.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Avvia scansione completa fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Avvia scansione completa:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a SentinelOne.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Riconnetti l'agente alla rete
Utilizza l'azione Riconnetti agente alla rete per riconnettere un agente disconnesso alla rete.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Riconnetti agente alla rete fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Riconnetti l'agente alla rete:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna percorso di aggiunta dell'elenco di esclusione
Utilizza l'azione Aggiorna percorso di aggiunta all'elenco di esclusione per aggiungere un percorso a un elenco di esclusione esistente.
Questa azione supporta i seguenti sistemi operativi: Windows, OSX, Linux e Android.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Aggiorna elenco di esclusione Aggiungi percorso richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
List Name |
Obbligatorio. Il nome dell'elenco di esclusione. |
Path |
Obbligatorio. Il percorso da aggiungere all'elenco. |
Operation System |
Obbligatorio. Il sistema operativo. I valori possibili sono i seguenti:
|
Output dell'azione
L'azione Aggiorna elenco di esclusione Aggiungi percorso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna elenco di esclusione Aggiungi percorso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.