SentinelOne を Google SecOps と統合する
このドキュメントでは、SentinelOne を Google Security Operations(Google SecOps)と構成して統合する方法について説明します。
統合バージョン: 3.0
ユースケース
脅威への自動対応: Google SecOps の機能を使用して、SentinelOne によって検出された脅威に自動的に対応し、セキュリティ運用に必要な時間と労力を削減します。
インシデント コンテキストの拡充: Google SecOps の機能を使用して、セキュリティ アナリストにセキュリティ インシデントに関するより多くのコンテキストを提供し、より多くの情報に基づいて意思決定を行います。たとえば、影響を受けるエンドポイントと脅威に関する情報でインシデント データを自動的に拡充できます。
オーケストレートされた修復アクション: Google SecOps の機能を使用して、SentinelOne のアクションと他のセキュリティ ツール(ネットワーク ファイアウォールや ID 管理システムなど)を組み合わせたハンドブックを自動的に実行し、脅威に対する連携した対応を確保して影響を最小限に抑えます。
統合のパラメータ
SentinelOne の統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Api root |
必須。 SentinelOne API ルート。 デフォルト値は |
Username |
必須。 認証に使用するユーザー名。 |
Password |
必須。 認証に使用するパスワード。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Disconnect Agent From Network(ネットワークからエージェントを切断する)
[Disconnect Agent From Network] アクションを使用して、エージェントとネットワーク接続の接続を解除します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Disconnect Agent From Network] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Disconnect Agent From Network] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンドポイントを拡充する
エンドポイントの拡充アクションを使用して、システムからの情報でエンドポイント エンティティを拡充します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Enrich Endpoint] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[エンドポイントの強化] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エージェントのステータスを取得する
エージェントのステータスを取得アクションを使用して、エージェントのステータスを取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Get Agent Status] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、エージェントのステータスを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンドポイントのアプリケーション リストを取得する
エンドポイントのアプリケーション リストを取得アクションを使用して、エンドポイントで使用されているアプリケーションのリストを取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Get Application List for Endpoint] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Get Application List for Endpoint アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンドポイントのイベントを時間で取得する
[Get Events for Endpoint by Time] アクションを使用して、エンドポイントに関連するすべてのイベントを取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
[Get Events for Endpoint by Time] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Hours Back |
省略可。 イベントを取得する現在の時刻より前の時間数。 |
Events Amount Limit |
省略可。 アクションの実行ごとに取得するイベントの数。 |
アクションの出力
[Get Events for Endpoint by Time] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Get Events for Endpoint by Time] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ハッシュの評判を取得する
ハッシュの評判を取得アクションを使用して、SHA-1 ハッシュの評判を取得します。
このアクションは Google SecOps の Filehash エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Get Hash Reputation] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Get Hash Reputation アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンドポイントのプロセスリストを取得する
Get Process List for Endpoint アクションを使用して、エンドポイントのプロセス リストを取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Get Process List for Endpoint] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Get Process List for Endpoint アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
システム ステータスを取得する
システム ステータスの取得アクションを使用して、SentinelOne のシステム健全性ステータスを取得します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Get System Status] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Get System Status] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
システム バージョンを取得する
Get System Version アクションを使用して、SentinelOne のシステム バージョンを取得します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Get System Version] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Get System Version] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
フルスキャンを開始する
[フルスキャンを開始] アクションを使用して、エンドポイントでディスクのフルスキャンを開始します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Initiate Full Scan] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[完全スキャンを開始] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、SentinelOne への接続をテストします。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エージェントをネットワークに再接続する
エージェントをネットワークに再接続アクションを使用して、切断されたエージェントをネットワークに再接続します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
IP AddressHostname
アクション入力
なし
アクションの出力
[Reconnect Agent to the Network] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Reconnect Agent to the Network] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
除外リストの追加パスを更新
除外リストの更新パスの追加アクションを使用して、既存の除外リストにパスを追加します。
このアクションは、Windows、OSX、Linux、Android のオペレーティング システムをサポートしています。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[除外リストの更新 - パスの追加] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
List Name |
必須。 除外リストの名前。 |
Path |
必須。 リストに追加するパス。 |
Operation System |
必須。 オペレーティング システム。 使用できる値は次のとおりです。
|
アクションの出力
[除外リストの更新 - パスの追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、除外リストのパスを追加アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。