SentinelOne을 Google SecOps와 통합
이 문서에서는 SentinelOne을 Google Security Operations (Google SecOps)와 통합하고 구성하는 방법을 설명합니다.
통합 버전: 3.0
사용 사례
자동 위협 대응: Google SecOps 기능을 사용하여 SentinelOne에서 감지된 위협에 자동으로 대응하여 보안 운영에 필요한 시간과 노력을 줄입니다.
강화된 사고 컨텍스트: Google SecOps 기능을 사용하여 보안 분석가에게 보안 사고에 관한 더 많은 컨텍스트를 제공하고 더 많은 정보를 바탕으로 결정을 내립니다. 예를 들어 영향을 받는 엔드포인트 및 위협에 관한 정보로 인시던트 데이터를 자동으로 보강할 수 있습니다.
조정된 수정 조치: Google SecOps 기능을 사용하여 SentinelOne 조치와 네트워크 방화벽, ID 관리 시스템과 같은 기타 보안 도구를 결합한 플레이북을 자동으로 실행하여 위협에 대한 조정된 대응을 보장하고 영향을 최소화합니다.
통합 매개변수
SentinelOne 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Api root |
필수 항목입니다. SentinelOne API 루트입니다. 기본값은 |
Username |
필수 항목입니다. 인증할 사용자 이름입니다. |
Password |
필수 항목입니다. 인증할 비밀번호입니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
네트워크에서 상담사 연결 해제
네트워크에서 에이전트 연결 해제 작업을 사용하여 네트워크 연결에서 에이전트를 연결 해제합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에서 에이전트 연결 해제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에서 에이전트 연결 해제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 보강
엔드포인트 보강 작업을 사용하여 시스템의 정보로 엔드포인트 항목을 보강합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
엔드포인트 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 엔드포인트 보강 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
상담사 상태 가져오기
Get Agent Status(상담사 상태 가져오기) 작업을 사용하여 상담사의 상태를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
Get Agent Status 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 에이전트 상태 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 애플리케이션 목록 가져오기
엔드포인트의 애플리케이션 목록 가져오기 작업을 사용하여 엔드포인트에서 사용되는 애플리케이션 목록을 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
엔드포인트의 애플리케이션 목록 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 엔드포인트의 애플리케이션 목록 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시간별 엔드포인트 이벤트 가져오기
시간별 엔드포인트 이벤트 가져오기 작업을 사용하여 엔드포인트와 관련된 모든 이벤트를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
시간별 엔드포인트 이벤트 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Hours Back |
(선택사항) 현재 시간 이전의 이벤트 검색 시간(단위: 시간)입니다. |
Events Amount Limit |
(선택사항) 실행된 각 작업에 대해 가져올 이벤트 수입니다. |
작업 출력
시간별 엔드포인트 이벤트 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 시간별 엔드포인트 이벤트 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 평판 가져오기
해시 평판 가져오기 작업을 사용하여 SHA-1 해시의 평판을 가져옵니다.
이 작업은 Google SecOps Filehash 항목에서 실행됩니다.
작업 입력
없음
작업 출력
해시 평판 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 해시 평판 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 프로세스 목록 가져오기
엔드포인트의 프로세스 목록 가져오기 작업을 사용하여 엔드포인트의 프로세스 목록을 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
엔드포인트의 프로세스 목록 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 엔드포인트의 프로세스 목록 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시스템 상태 가져오기
시스템 상태 가져오기 작업을 사용하여 SentinelOne 시스템 상태를 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 상태 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 시스템 상태 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시스템 버전 가져오기
시스템 버전 가져오기 작업을 사용하여 SentinelOne 시스템 버전을 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 버전 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 시스템 버전 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
전체 스캔 시작
전체 검사 시작 작업을 사용하여 엔드포인트에서 전체 디스크 검사를 시작합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
전체 검사 시작 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 전체 검사 시작 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 SentinelOne과의 연결을 테스트합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
에이전트를 네트워크에 다시 연결
에이전트를 네트워크에 다시 연결 작업을 사용하여 연결이 끊긴 에이전트를 네트워크에 다시 연결합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에 에이전트 다시 연결 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에 에이전트 다시 연결 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
제외 목록 추가 경로 업데이트
제외 목록 업데이트 경로 추가 작업을 사용하여 기존 제외 목록에 경로를 추가합니다.
이 작업은 Windows, OSX, Linux, Android 운영체제를 지원합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
업데이트 제외 목록 추가 경로 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
List Name |
필수 항목입니다. 제외 목록 이름입니다. |
Path |
필수 항목입니다. 목록에 추가할 경로입니다. |
Operation System |
필수 항목입니다. 운영체제입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
업데이트 제외 목록 추가 경로 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 제외 목록 업데이트 경로 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.