Integrar o SentinelOne ao Google SecOps
Este documento explica como configurar e integrar o SentinelOne ao Google Security Operations (Google SecOps).
Versão da integração: 3.0
Casos de uso
Resposta automatizada a ameaças: use os recursos do Google SecOps para responder automaticamente a ameaças detectadas pelo SentinelOne, reduzindo o tempo e o esforço necessários para as operações de segurança.
Contexto de incidentes enriquecido: use os recursos do Google SecOps para fornecer aos analistas de segurança mais contexto sobre incidentes de segurança e tomar decisões mais embasadas. Por exemplo, é possível enriquecer automaticamente os dados de incidentes com informações sobre os endpoints afetados e as ameaças.
Ações de correção orquestradas: use os recursos do Google SecOps para executar automaticamente playbooks que combinam ações do SentinelOne com outras ferramentas de segurança, como firewalls de rede ou sistemas de gerenciamento de identidade, garantindo uma resposta coordenada a ameaças e minimizando o impacto delas.
Parâmetros de integração
A integração com o SentinelOne exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Api root |
Obrigatório. A raiz da API SentinelOne. O valor padrão é |
Username |
Obrigatório. O nome de usuário para autenticação. |
Password |
Obrigatório. A senha para autenticação. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Desconectar o agente da rede
Use a ação Desconectar agente da rede para desconectar um agente da conexão de rede.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Desconectar agente da rede fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desconectar agente da rede:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Endpoint de enriquecimento
Use a ação Enriquecer endpoint para enriquecer uma entidade de endpoint com informações do sistema.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Enriquecer endpoint fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar status do agente
Use a ação Receber status do agente para recuperar o status de um agente.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber status do agente fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber status do agente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber lista de aplicativos para endpoint
Use a ação Receber lista de aplicativos para endpoint para obter uma lista de aplicativos usados em um endpoint.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Get Application List for Endpoint fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber lista de aplicativos para endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber eventos para endpoint por período
Use a ação Receber eventos para endpoint por hora para extrair todos os eventos relacionados a um endpoint.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
A ação Get Events for Endpoint by Time exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hours Back |
Opcional. O número de horas antes do horário atual para recuperar eventos. |
Events Amount Limit |
Opcional. O número de eventos a serem recuperados para cada execução de ação. |
Saídas de ação
A ação Receber eventos para endpoint por hora fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber eventos para endpoint por hora:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber reputação de hash
Use a ação Receber reputação de hash para obter a reputação de um hash SHA-1.
Essa ação é executada na entidade Filehash do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber reputação de hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber reputação de hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar lista de processos para endpoint
Use a ação Receber lista de processos para endpoint para recuperar a lista de processos de um endpoint.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber lista de processos para endpoint fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber lista de processos para endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber status do sistema
Use a ação Receber status do sistema para conferir o status de integridade do sistema do SentinelOne.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber status do sistema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber status do sistema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar versão do sistema
Use a ação Get System Version para acessar a versão do sistema do SentinelOne.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber versão do sistema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber versão do sistema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Iniciar verificação completa
Use a ação Iniciar verificação completa para iniciar uma verificação completa do disco em um endpoint.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Iniciar verificação completa fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Iniciar verificação completa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o SentinelOne.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Reconectar o agente à rede
Use a ação Reconectar o agente à rede para reconectar um agente desconectado à rede.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Reconectar o agente à rede fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Reconectar o agente à rede:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar o caminho de adição da lista de exclusão
Use a ação Atualizar caminho de adição da lista de exclusão para adicionar um caminho a uma lista de exclusão existente.
Essa ação é compatível com os seguintes sistemas operacionais: Windows, OSX, Linux e Android.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Update Exclusion List Add Path exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
List Name |
Obrigatório. O nome da lista de exclusão. |
Path |
Obrigatório. O caminho a ser adicionado à lista. |
Operation System |
Obrigatório. O sistema operacional. Os valores possíveis são os seguintes:
|
Saídas de ação
A ação Atualizar lista de exclusão: adicionar caminho fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar lista de exclusão: adicionar caminho:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.