整合 SentinelOne 與 Google SecOps
本文說明如何設定 SentinelOne,並與 Google Security Operations (Google SecOps) 整合。
整合版本:3.0
用途
自動應對威脅:運用 Google SecOps 功能自動應對 SentinelOne 偵測到的威脅,減少資安營運所需的時間和精力。
豐富的事件背景資訊:運用 Google SecOps 功能,為資安分析師提供更多有關安全事件的背景資訊,協助他們做出更明智的決策。舉例來說,您可以自動增補事件資料,加入受影響端點和威脅的相關資訊。
協調式補救措施:使用 Google SecOps 功能自動執行應對手冊,將 SentinelOne 動作與其他安全工具 (例如網路防火牆或身分管理系統) 結合,確保對威脅做出協調一致的回應,並盡量減少影響。
整合參數
整合 SentinelOne 時需要下列參數:
| 參數 | 說明 |
|---|---|
Api root |
必填。 SentinelOne API 根層級。 預設值為 |
Username |
必填。 用於驗證的使用者名稱。 |
Password |
必填。 用於驗證的密碼。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
中斷代理程式與網路的連線
使用「Disconnect Agent From Network」(中斷代理程式與網路的連線) 動作,中斷代理程式與網路的連線。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「Disconnect Agent From Network」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Disconnect Agent From Network」(從網路中斷代理程式連線) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實端點
使用「Enrich Endpoint」動作,從系統取得資訊來擴充端點實體。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「Enrich Endpoint」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Enrich Endpoint」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得服務專員狀態
使用「取得代理程式狀態」動作擷取代理程式的狀態。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「取得代理程式狀態」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「取得代理程式狀態」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得端點的應用程式清單
使用「Get Application List for Endpoint」動作,取得端點上使用的應用程式清單。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「Get Application List for Endpoint」(取得端點的應用程式清單) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Get Application List for Endpoint」(取得端點的應用程式清單) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
依時間取得端點事件
使用「Get Events for Endpoint by Time」(依時間取得端點事件) 動作,即可擷取與端點相關的所有事件。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
「Get Events for Endpoint by Time」(依時間取得端點事件) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Hours Back |
選填。 要擷取事件的目前時間前的小時數。 |
Events Amount Limit |
選填。 每次執行動作時要擷取的事件數。 |
動作輸出內容
「Get Events for Endpoint by Time」(依時間取得端點事件) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Get Events for Endpoint by Time」(依時間取得端點事件) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得雜湊信譽
使用「取得雜湊信譽」動作取得 SHA-1 雜湊的信譽。
這項動作會在 Google SecOps Filehash 實體上執行。
動作輸入內容
無
動作輸出內容
「取得雜湊信譽」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「取得雜湊信譽」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得端點的處理程序清單
使用「Get Process List for Endpoint」(取得端點的程序清單) 動作,即可擷取端點的程序清單。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「Get Process List for Endpoint」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Get Process List for Endpoint」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得系統狀態
使用「取得系統狀態」動作,取得 SentinelOne 系統健康狀態。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「取得系統狀態」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「取得系統狀態」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得系統版本
使用「Get System Version」(取得系統版本) 動作取得 SentinelOne 系統版本。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「取得系統版本」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「取得系統版本」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
啟動完整掃描
使用「啟動完整掃描」動作,在端點上啟動完整磁碟掃描。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「啟動完整掃描」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「啟動完整掃描」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 SentinelOne 的連線。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
將 Agent 重新連上網路
使用「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作,將中斷連線的代理程式重新連線至網路。
這項動作會對下列 Google SecOps 實體執行:
IP AddressHostname
動作輸入內容
無
動作輸出內容
「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新排除清單新增路徑
使用「更新排除清單新增路徑」動作,將路徑新增至現有排除清單。
這項動作支援下列作業系統:Windows、OSX、Linux 和 Android。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「更新排除清單新增路徑」動作需要下列參數:
| 參數 | 說明 |
|---|---|
List Name |
必填。 排除清單名稱。 |
Path |
必填。 要新增至清單的路徑。 |
Operation System |
必填。 作業系統。 可能的值如下:
|
動作輸出內容
「Update Exclusion List Add Path」(更新排除清單新增路徑) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「更新排除清單新增路徑」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。