Integre o SentinelOne com o Google SecOps
Este documento explica como configurar e integrar o SentinelOne com o Google Security Operations (Google SecOps).
Versão da integração: 3.0
Exemplos de utilização
Resposta automática a ameaças: use as capacidades do Google SecOps para responder automaticamente a ameaças detetadas pelo SentinelOne, reduzindo o tempo e o esforço necessários para as operações de segurança.
Contexto de incidentes enriquecido: use as capacidades do Google SecOps para fornecer aos analistas de segurança mais contexto sobre incidentes de segurança e tomar decisões mais informadas. Por exemplo, pode enriquecer automaticamente os dados de incidentes com informações sobre os pontos finais afetados e as ameaças.
Ações de remediação orquestradas: use as capacidades do Google SecOps para executar automaticamente manuais de procedimentos que combinam ações do SentinelOne com outras ferramentas de segurança, como firewalls de rede ou sistemas de gestão de identidades, garantindo uma resposta coordenada a ameaças e minimizando o respetivo impacto.
Parâmetros de integração
A integração do SentinelOne requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Api root |
Obrigatório. A raiz da API SentinelOne. O valor predefinido é
|
Username |
Obrigatório. O nome de utilizador para autenticação. |
Password |
Obrigatório. A palavra-passe para autenticar. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Desligue o agente da rede
Use a ação Desassociar agente da rede para desassociar um agente da ligação de rede.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Desligar agente da rede fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Disconnect Agent From Network:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ponto final de enriquecimento
Use a ação Enrich Endpoint para enriquecer uma entidade de ponto final com informações do sistema.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Enrich Endpoint fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Enrich Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Agent Status
Use a ação Get Agent Status para obter o estado de um agente.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Get Agent Status fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Agent Status:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a lista de aplicações para o ponto final
Use a ação Get Application List for Endpoint para obter uma lista de aplicações usadas num ponto final.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Get Application List for Endpoint fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Get Application List for Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha eventos para o ponto final por hora
Use a ação Get Events for Endpoint by Time para obter todos os eventos relacionados com um ponto final.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
A ação Get Events for Endpoint by Time requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hours Back |
Opcional. O número de horas antes da hora atual para obter eventos. |
Events Amount Limit |
Opcional. O número de eventos a obter para cada execução de ação. |
Resultados da ação
A ação Get Events for Endpoint by Time fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Get Events for Endpoint by Time:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a reputação de hash
Use a ação Get Hash Reputation para obter a reputação de um hash SHA-1.
Esta ação é executada na entidade Filehash do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get Hash Reputation fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Hash Reputation:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a lista de processos para o ponto final
Use a ação Get Process List for Endpoint para obter a lista de processos de um ponto final.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Get Process List for Endpoint (Obter lista de processos para o ponto final) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Get Process List for Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get System Status
Use a ação Get System Status para obter o estado de funcionamento do sistema SentinelOne.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get System Status (Obter estado do sistema) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get System Status:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obter versão do sistema
Use a ação Get System Version para obter a versão do sistema SentinelOne.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get System Version (Obter versão do sistema) fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get System Version:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Iniciar análise completa
Use a ação Iniciar análise completa para iniciar uma análise completa do disco num ponto final.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Iniciar análise completa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Iniciar análise completa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade ao SentinelOne.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Volte a ligar o agente à rede
Use a ação Reconnect Agent to the Network para voltar a ligar um agente desligado à rede.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Voltar a ligar o agente à rede fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Reconnect Agent to the Network (Voltar a associar o agente à rede):
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar lista de exclusões: adicionar caminho
Use a ação Update Exclusion List Add Path para adicionar um caminho a uma lista de exclusões existente.
Esta ação suporta os seguintes sistemas operativos: Windows, OSX, Linux e Android.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação Update Exclusion List Add Path requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
List Name |
Obrigatório. O nome da lista de exclusões. |
Path |
Obrigatório. O caminho a adicionar à lista. |
Operation System |
Obrigatório. O sistema operativo. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Update Exclusion List Add Path fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Update Exclusion List Add Path:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.