将 SentinelOne 与 Google SecOps 集成
本文档介绍了如何配置 SentinelOne 并将其与 Google Security Operations (Google SecOps) 集成。
集成版本:3.0
使用场景
自动威胁响应:使用 Google SecOps 功能自动响应 SentinelOne 检测到的威胁,从而减少安全运维所需的时间和精力。
丰富的突发事件背景信息:利用 Google SecOps 功能为安全分析师提供有关安全突发事件的更多背景信息,以便他们做出更明智的决策。例如,您可以自动丰富突发事件数据,添加有关受影响的端点和威胁的信息。
编排的补救措施:使用 Google SecOps 功能自动执行将 SentinelOne 操作与其他安全工具(例如网络防火墙或身份管理系统)相结合的 playbook,确保协调应对威胁并最大限度地减少其影响。
集成参数
SentinelOne 集成需要以下参数:
| 参数 | 说明 |
|---|---|
Api root |
必填。 SentinelOne API 根。 默认值为 |
Username |
必填。 用于进行身份验证的用户名。 |
Password |
必填。 用于进行身份验证的密码。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
断开代理与网络的连接
使用断开代理与网络的连接操作断开代理与网络连接的连接。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
将代理从网络断开连接操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用断开代理与网络的连接操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富端点
使用 Enrich Endpoint 操作可使用来自系统的信息来丰富端点实体。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
丰富端点操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Enrich Endpoint 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取客服人员状态
使用获取代理状态操作可检索代理的状态。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
获取代理状态操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取代理状态操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取端点的应用列表
使用获取端点的应用列表操作可获取端点上使用的应用列表。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
获取端点的应用列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取端点的应用列表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
按时间获取端点的事件
使用 Get Events for Endpoint by Time 操作可检索与端点相关的所有事件。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
按时间获取端点的事件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Hours Back |
可选。 检索事件的小时数(相对于当前时间)。 |
Events Amount Limit |
可选。 每次运行操作时要检索的事件数量。 |
操作输出
按时间获取端点的事件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Get Events for Endpoint by Time 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取哈希声誉
使用 Get Hash Reputation 操作获取 SHA-1 哈希的信誉。
此操作在 Google SecOps Filehash 实体上运行。
操作输入
无。
操作输出
获取哈希值信誉操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Get Hash Reputation 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取端点的进程列表
使用获取端点的进程列表操作可检索端点的进程列表。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
获取端点的进程列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取端点的进程列表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取系统状态
使用 Get System Status 操作获取 SentinelOne 系统健康状况。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
获取系统状态操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取系统状态操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取系统版本
使用 Get System Version 操作获取 SentinelOne 系统版本。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
获取系统版本操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取系统版本操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
启动全面侦查
使用启动完整扫描操作在端点上启动完整磁盘扫描。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
启动完整扫描操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用启动完整扫描操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 SentinelOne 的连接。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将代理重新连接到网络
使用将代理重新连接到网络操作,将断开连接的代理重新连接到网络。
此操作适用于以下 Google SecOps 实体:
IP AddressHostname
操作输入
无。
操作输出
将代理重新连接到网络操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用将代理重新连接到网络操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新了排除列表添加路径
使用 Update Exclusion List Add Path 操作可将路径添加到现有排除列表中。
此操作支持以下操作系统:Windows、OSX、Linux 和 Android。
此操作会在所有 Google SecOps 实体上运行。
操作输入
更新排除列表添加路径操作需要以下参数:
| 参数 | 说明 |
|---|---|
List Name |
必填。 排除列表名称。 |
Path |
必填。 要添加到列表中的路径。 |
Operation System |
必填。 操作系统。 可能的值如下:
|
操作输出
更新排除列表添加路径操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Update Exclusion List Add Path 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。