SentinelOne v2를 Google SecOps와 통합
통합 버전: 37.0
이 문서에서는 SentinelOne v2를 Google Security Operations (Google SecOps)와 통합하고 구성하는 방법을 설명합니다.
이 통합은 SentinelOne API 2.0을 사용합니다.
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드의 압축된 사본을 다운로드할 수 있습니다.
사용 사례
SentinelOne 통합은 다음 사용 사례를 해결하는 데 도움이 됩니다.
감염된 엔드포인트 격리: Google SecOps 기능을 사용하여 감염된 호스트를 격리하고 측면 이동 및 데이터 무단 반출을 방지합니다.
자세한 엔드포인트 정보 가져오기: Google SecOps 기능을 사용하여 심층 호스트 분석으로 침해 사고 데이터를 보강하여 컨텍스트와 의사 결정을 개선합니다. 에이전트 버전, 운영체제, 네트워크 인터페이스 등 알림과 관련된 엔드포인트에 관한 세부정보를 SentinelOne에서 자동으로 쿼리할 수 있습니다.
심층 가시성 검사 시작: Google SecOps 기능을 사용하여 의심스러운 기기에서 위협과 숨겨진 멀웨어를 찾고 비정상적인 파일 수정이나 레지스트리 변경과 같은 의심스러운 활동이 감지되면 SentinelOne을 사용하여 전체 디스크 검사를 시작합니다.
위협 인텔리전스로 위협 조사: Google SecOps 기능을 사용하여 SentinelOne 알림을 위협 인텔리전스 데이터와 상호 연관시켜 정확도를 높이고, SentinelOne 알림 내에서 발견된 의심스러운 해시, 파일 경로 또는 IP 주소를 위협 인텔리전스 플랫폼으로 전달합니다.
멀웨어 분류: Google SecOps 기능을 사용하여 정적 분석 도구로 멀웨어를 자동으로 분류하여 인시던트 대응을 간소화합니다. 감염된 엔드포인트에서 샘플을 추출하고, 환경 내에서 분석을 트리거하고, 정적 분석을 기반으로 악성코드 분류를 받을 수 있습니다.
시작하기 전에
SentinelOne v2 통합을 사용하려면 SentinelOne API 토큰이 필요합니다.
API 토큰을 생성하려면 다음 단계를 완료하세요.
SentinelOne 관리 콘솔에서 설정 > 사용자로 이동합니다.
사용자 이름을 클릭합니다.
Actions> API Token Operations로 이동합니다.
API 토큰 생성을 클릭합니다. API 토큰을 복사하여 통합을 구성합니다. 생성된 API 토큰은 6개월 동안 유효합니다.
통합 매개변수
SentinelOne v2 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API root |
필수 항목입니다. SentinelOne API 루트입니다. 기본값은 |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. 통합을 위한 API 토큰을 생성하는 방법을 자세히 알아보려면 시작하기 전에를 참고하세요. SentinelOne 보안 정책에 따라 6개월마다 새 API 토큰을 만들어야 합니다. |
Verify SSL |
필수 항목입니다. 선택하면 Sentinel 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.
위협 메모 추가
위협 메모 추가 작업을 사용하여 SentinelOne의 위협에 메모를 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 메모 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 메모를 추가할 위협의 ID입니다. |
Note |
필수 항목입니다. 위협에 추가할 메모입니다. |
작업 출력
위협 메모 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
위협 메모 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 메모 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
기기 제어 규칙 만들기
기기 제어 규칙 만들기 작업을 사용하여 SentinelOne에서 기기 제어 규칙을 만듭니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
기기 제어 규칙 만들기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Rule JSON |
필수 항목입니다. 기기 제어 규칙 구성을 나타내는 JSON 객체입니다. 기본값은 다음과 같습니다. { "ruleName": "String", "interface": "String", "ruleType": "String", "action": "String", "accessPermission": "String", "deviceClass": "String", "status": "String" } |
Scope JSON |
필수 항목입니다. 범위 규칙 구성을 나타내는 JSON 객체입니다. 기본값은 다음과 같습니다. { "accountIds": "String", "groupIds": "String", "siteIds": "String" } |
작업 출력
기기 제어 규칙 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 기기 제어 규칙 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"accessPermission": "Read-Write",
"action": "Allow",
"bluetoothAddress": null,
"createdAt": "2024-01-01T00:00:00.000000Z",
"creator": "[USERNAME] ([EMAIL_ADDRESS])",
"creatorId": "[CREATOR_ID]",
"deviceClass": "FFh",
"deviceClassName": "FF Vendor Specific",
"deviceId": null,
"deviceInformationServiceInfoKey": null,
"deviceInformationServiceInfoValue": null,
"deviceName": null,
"editable": true,
"gattService": null,
"id": "[RULE_ID]",
"interface": "USB",
"manufacturerName": null,
"minorClasses": null,
"order": 1,
"productId": null,
"ruleName": "Test",
"ruleType": "class",
"scope": "account",
"scopeId": "[SCOPE_ID]",
"scopeName": "[SCOPE_NAME]",
"status": "Disabled",
"uid": null,
"updatedAt": "2024-01-01T00:00:00.000000Z",
"vendorId": null,
"version": null
}
}
출력 메시지
기기 제어 규칙 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Device Control Rule". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 기기 제어 규칙 만들기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
해시 차단 목록 레코드 만들기
Create Hash Black List Record 작업을 사용하여 SentinelOne의 차단 목록에 해시를 추가합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 차단 목록 레코드 만들기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Operating System |
필수 항목입니다. 해시의 운영체제입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
선택사항입니다. 차단 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
선택사항입니다. 차단 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account IDs |
선택사항입니다. 차단 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
선택사항입니다. 해시와 관련된 추가 정보입니다. 기본값은 |
Add to global blocklist |
필수 항목입니다. 선택하면 이 작업은 전역 차단 목록에 해시를 추가합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 차단 목록 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 해시 블랙리스트 레코드 생성 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
출력 메시지
해시 차단 목록 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 블랙리스트 레코드 생성 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 제외 레코드 만들기
해시 제외 레코드 만들기 작업을 사용하여 SentinelOne의 제외 목록에 해시를 추가합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 제외 레코드 만들기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Operation System |
필수 항목입니다. 해시의 운영체제 (OS)입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Group IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Account IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
선택사항입니다. 해시와 관련된 추가 정보입니다. |
Add to global exclusion list |
선택사항입니다. 선택하면 작업에서 해시를 전역 제외 목록에 추가합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 제외 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 해시 제외 레코드 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
출력 메시지
해시 제외 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 제외 레코드 만들기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
경로 제외 레코드 만들기
경로 제외 레코드 만들기 작업을 사용하여 SentinelOne의 제외 목록에 경로를 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
경로 제외 레코드 만들기 작업에는 다음 매개변수가 필요합니다.
기본값은 Suppress Alerts입니다.
| 매개변수 | 설명 |
|---|---|
Path |
필수 항목입니다. 제외 목록에 추가할 경로입니다. |
Operation System |
필수 항목입니다. 해시의 운영체제 (OS)입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Group IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Account IDs |
선택사항입니다. 해시를 제외 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
선택사항입니다. 해시와 관련된 추가 정보입니다. |
Add to global exclusion list |
선택사항입니다. 선택하면 작업에서 해시를 전역 제외 목록에 추가합니다. 이 매개변수를 선택하면 작업에서 |
Include Subfolders |
선택사항입니다. 선택하면 작업에 제공된 경로의 하위 폴더가 포함됩니다. 이 파라미터는 |
Mode |
선택사항입니다. 제외된 경로에 사용할 모드입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
경로 제외 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 경로 제외 레코드 생성 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
출력 메시지
경로 제외 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 경로 제외 레코드 만들기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
기기 제어 규칙 삭제
기기 제어 규칙 삭제 작업을 사용하여 SentinelOne에서 기기 제어 규칙을 삭제합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
기기 제어 규칙 삭제 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Rule ID |
필수 항목입니다. 삭제할 규칙의 ID입니다. |
Scope Type |
선택사항입니다. 알림이 표시되거나 적용되는 조직 수준입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Scope ID |
필수 항목입니다. 범위의 ID입니다. |
작업 출력
기기 제어 규칙 삭제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
기기 제어 규칙 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Delete Device Control Rule". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 기기 제어 규칙 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
해시 블랙리스트 레코드 삭제
해시 블랙리스트 레코드 삭제 작업을 사용하여 SentinelOne의 차단 목록에서 해시를 삭제합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 블랙리스트 레코드 삭제 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Site IDs |
선택사항입니다. 해시를 삭제할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
선택사항입니다. 해시를 삭제할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account IDs |
선택사항입니다. 해시를 삭제할 계정 ID의 쉼표로 구분된 목록입니다. |
Remove from global black list |
선택사항입니다. 선택하면 작업이 전역 차단 목록에서 해시를 삭제합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 블랙리스트 레코드 삭제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
해시 블랙리스트 레코드 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 블랙리스트 레코드 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
네트워크에서 상담사 연결 해제
네트워크에서 에이전트 연결 해제 작업을 사용하여 에이전트의 호스트 이름 또는 IP 주소를 사용하여 네트워크에서 에이전트를 연결 해제합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에서 에이전트 연결 해제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에서 에이전트 연결 해제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 파일 다운로드
위협 파일 다운로드 작업을 사용하여 SentinelOne의 위협과 관련된 파일을 다운로드합니다.
SentinelOne에서 위협 파일을 가져오려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 제한
SentinelOne에서 파일을 가져오지만 다운로드 URL을 제공하지 않으면 위협 파일 다운로드 작업이 제한 시간에 도달할 수 있습니다.
시간 제한의 원인을 조사하려면 위협 타임라인으로 이동하세요.
작업 입력
위협 파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 파일을 다운로드할 위협의 ID입니다. |
Password |
필수 항목입니다. 위협 파일이 포함된 압축 폴더의 비밀번호입니다. 비밀번호 요구사항은 다음과 같습니다.
비밀번호의 최대 길이는 256자(영문 기준)입니다. |
Download Folder Path |
필수 항목입니다. 위협 파일을 저장할 폴더의 경로입니다. |
Overwrite |
필수 항목입니다. 선택하면 작업에서 이름이 동일한 파일을 덮어씁니다. 기본적으로 선택되지 않습니다. |
작업 출력
위협 파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 위협 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"absolute_path": "ABSOLUTE_PATH"
}
출력 메시지
위협 파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 파일 다운로드 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 보강
엔드포인트 보강 작업을 사용하여 IP 주소 또는 호스트 이름을 사용하여 엔드포인트에 관한 정보를 보강합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
엔드포인트 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Create Insight |
선택사항입니다. 선택하면 작업에서 엔드포인트에 관한 정보가 포함된 통계를 만듭니다. |
Only Infected Endpoints Insights |
선택사항입니다. 선택하면 작업은 감염된 엔드포인트에 대한 통계만 생성합니다. |
작업 출력
엔드포인트 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔드포인트 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
출력 메시지
엔드포인트 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔드포인트 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
상담사 상태 가져오기
Get Agent Status 작업을 사용하여 제공된 항목을 기반으로 엔드포인트의 에이전트 상태에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
Get Agent Status 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 상담사 상태 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"status": "Not active"
}
출력 메시지
상담사 상태 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Agent Status(에이전트 상태 가져오기) 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 애플리케이션 목록 가져오기
엔드포인트의 애플리케이션 목록 가져오기 작업을 사용하여 제공된 엔티티를 통해 엔드포인트에서 사용 가능한 애플리케이션에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
엔드포인트의 애플리케이션 목록 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Max Applications To Return |
선택사항입니다. 반환할 최대 애플리케이션 수입니다. 숫자를 설정하지 않으면 작업에서 사용 가능한 모든 애플리케이션을 반환합니다. |
작업 출력
엔드포인트의 애플리케이션 목록 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔드포인트의 애플리케이션 목록 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
출력 메시지
엔드포인트의 애플리케이션 목록 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔드포인트의 애플리케이션 목록 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
차단 목록 가져오기
차단 목록 가져오기 작업을 사용하여 SentinelOne의 차단 목록에서 사용할 수 있는 모든 항목의 목록을 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
블랙리스트 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Hash |
선택사항입니다. 차단 목록에서 확인할 해시의 쉼표로 구분된 목록입니다. 이 작업은 발견된 해시만 반환합니다.
|
Site IDs |
선택사항입니다. 차단 목록 항목을 반환할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
선택사항입니다. 차단 목록 항목을 반환할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account Ids |
선택사항입니다. 차단 목록 항목을 반환할 계정 ID의 쉼표로 구분된 목록입니다. |
Limit |
선택사항입니다. 반환할 차단 목록 항목 수입니다.
최댓값은 기본값은 |
Query |
선택사항입니다. 결과를 필터링하는 쿼리입니다. |
Use Global Blacklist |
선택사항입니다. 선택하면 작업이 전역 차단 목록에서 해시를 반환합니다. 기본적으로 선택되지 않습니다. |
작업 출력
블랙리스트 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
Get Blacklist 작업은 다음 표를 반환할 수 있습니다.
테이블 이름: 차단 목록 해시
표 열:
- 해시
- 범위
- 설명
- OS
- 사용자
JSON 결과
다음 예는 블랙리스트 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
출력 메시지
블랙리스트 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 블랙리스트 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
Get Deep Visibility Query Result
Get Deep Visibility Query Result 작업을 사용하여 Deep Visibility 쿼리 결과에 관한 정보를 가져옵니다.
이 작업은 심층 가시성 쿼리 시작 작업과 함께 실행하세요.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Get Deep Visibility Query Result 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query ID |
필수 항목입니다. 결과를 반환할 쿼리의 ID입니다. ID 값은 심층 가시성 쿼리 시작 작업의 JSON 결과에서 |
Limit |
선택사항입니다. 반환할 이벤트 수입니다. 최댓값은 기본값은 |
작업 출력
Get Deep Visibility Query Result 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
Get Deep Visibility Query Result 작업은 다음 표를 반환할 수 있습니다.
표 이름: SentinelOne Events
표 열:
- 이벤트 유형
- 사이트 이름
- 시간
- 에이전트 OS
- 프로세스 ID
- 프로세스 UID
- 프로세스 이름
- MD5
- SHA256
출력 메시지
Get Deep Visibility Query Result 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully found events for query: QUERY_ID. |
작업이 완료되었습니다. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Deep Visibility Query Result 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 시간의 이벤트를 가져옵니다.
Get Events for Endpoint Hours Back 작업을 사용하여 엔드포인트의 최신 이벤트에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
Get Events for Endpoint Hours Back 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Hours Back |
필수 항목입니다. 현재까지의 시간에서 이벤트를 가져올 시간입니다. |
Events Amount Limit |
선택사항입니다. 이벤트 유형별로 반환할 최대 이벤트 수입니다. 기본값은 |
Include File Events Information |
선택사항입니다. 선택하면 작업이 |
Include Indicator Events Information |
선택사항입니다. 선택하면 작업이 |
Include DNS Events Information |
선택사항입니다. 선택하면 작업이 |
Include Network Actions Events Information |
선택사항입니다. 선택하면 작업이 |
Include URL Events Information |
선택사항입니다. 선택하면 작업이 |
Include Registry Events Information |
선택사항입니다. 선택하면 작업이 |
Include Scheduled Task Events Information |
선택사항입니다. 선택하면 작업이 |
작업 출력
Get Events for Endpoint Hours Back 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 Get Events for Endpoint Hours Back 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
출력 메시지
Get Events for Endpoint Hours Back 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Events for Endpoint Hours Back 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
그룹 세부정보 가져오기
그룹 세부정보 가져오기 작업을 사용하여 제공된 그룹에 관한 세부정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그룹 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Group Names |
필수 항목입니다. 세부정보를 가져올 그룹 이름입니다. 이 매개변수는 여러 값을 쉼표로 구분된 목록으로 허용합니다. |
작업 출력
그룹 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
그룹 세부정보 가져오기 작업은 다음 표를 반환할 수 있습니다.
표 이름: SentinelOne Groups
표 열:
- ID
- 이름
- 유형
- Rank
- 크리에이터
- 생성 시간
JSON 결과
다음 예는 그룹 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
출력 메시지
그룹 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그룹 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 평판 가져오기
(지원 중단됨) 해시 평판 가져오기 작업을 사용하여 SentinelOne에서 해시에 관한 정보를 가져옵니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 평판 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Reputation Threshold |
선택사항입니다. 엔티티를 의심스러운 것으로 표시하는 평판 임곗값입니다. 값을 설정하지 않으면 작업에서 의심스러운 항목을 표시하지 않습니다. 최댓값은 기본값은 |
Create Insight |
선택사항입니다. 선택하면 작업에서 평판에 관한 정보가 포함된 통계를 만듭니다. |
Only Suspicious Hashes Insight |
선택사항입니다. 선택하면 작업은 평판이 |
작업 출력
해시 평판 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
보강 테이블
해시 평판 가져오기 작업을 통해 다음 필드를 보강할 수 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
SENO_reputation |
JSON 결과에 존재하는 경우에 반환합니다. |
스크립트 결과
다음 표에는 해시 평판 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 프로세스 목록 가져오기 - 지원 중단됨
사이트 에이전트 가져오기
Get Site Agents 작업을 사용하여 SentinelOne의 특정 사이트와 연결된 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Get Site Agents 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Site Name |
필수 항목입니다. 반환할 알림의 ID입니다. |
Max Agents To Return |
필수 항목입니다. 반환할 최대 상담사 수입니다. 최댓값은 기본값은 |
작업 출력
Get Site Agents 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 Get Site Agents 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"accountId": "0000000000000000000",
"accountName": "Customer_Company_Name",
"activeDirectory": {
"computerDistinguishedName": null,
"computerMemberOf": [],
"lastUserDistinguishedName": null,
"lastUserMemberOf": [],
"userPrincipalName": null
},
"activeProtection": [
"edr"
],
"activeThreats": 27,
"agentVersion": "XX.X.X.X",
"allowRemoteShell": true,
"appsVulnerabilityStatus": "not_applicable",
"cloudProviders": {
"Google Cloud": {
"cloudAccount": "customer-edr-agents-yyyy",
"cloudImage": "debian-image-name-vYYYYMMDD",
"cloudInstanceId": "0000000000000000000",
"cloudInstanceSize": "e2-medium",
"cloudLocation": "us-region-x",
"cloudNetwork": "private-network-name",
"cloudTags": [
"corelight-ingress",
"Endpoint does not have sufficient permissions to fetch labels"
],
"gcpServiceAccount": "000000000000-compute@developer.gserviceaccount.com"
}
},
"computerName": "virtual-machine-name-1",
"consoleMigrationStatus": "N/A",
"containerizedWorkloadCounts": null,
"coreCount": 2,
"cpuCount": 1,
"cpuId": "Intel(R) Xeon(R) CPU @ X.XGHz",
"createdAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"detectionState": null,
"domain": "us-region-x.c.customer-edr-agents-yyyy.internal",
"encryptedApplications": false,
"externalId": "",
"externalIp": "000.000.000.000",
"firewallEnabled": false,
"firstFullModeTime": null,
"fullDiskScanLastUpdatedAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"groupId": "0000000000000000000",
"groupIp": "000.000.000.0",
"groupName": "Default Group",
"hasContainerizedWorkload": false,
"id": "0000000000000000000",
"inRemoteShellSession": false,
"infected": true,
"installerType": ".deb",
"isActive": true,
"isAdConnector": false,
"isDecommissioned": false,
"isHyperAutomate": null,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"lastIpToMgmt": "000.000.000.000",
"lastLoggedInUserName": "",
"lastSuccessfulScanDate": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"licenseKey": "",
"locationEnabled": false,
"locationType": "not_supported",
"locations": null,
"machineSid": null,
"machineType": "server",
"missingPermissions": [],
"mitigationMode": "detect",
"mitigationModeSuspicious": "detect",
"modelName": "Google Google Compute Engine",
"networkInterfaces": [
{
"gatewayIp": "000.000.000.000",
"gatewayMacAddress": "XX:XX:XX:XX:XX:XX",
"id": "0000000000000000000",
"inet": [
"000.000.000.000"
],
"inet6": [
"fe80::0000:0000:0000:0"
],
"name": "ens4",
"physical": "XX:XX:XX:XX:XX:XX"
},
{
"gatewayIp": null,
"gatewayMacAddress": null,
"id": "0000000000000000000",
"inet": [
"172.17.0.1"
],
"inet6": [],
"name": "docker0",
"physical": "XX:XX:XX:XX:XX:XX"
}
],
"networkQuarantineEnabled": false,
"networkStatus": "connected",
"operationalState": "na",
"operationalStateExpiration": null,
"osArch": "64 bit",
"osName": "Linux",
"osRevision": "Debian GNU/11 (bullseye) X.X.X.X-cloud-amd64",
"osStartTime": "YYYY-MM-DDTHH:MM:SSZ",
"osType": "linux",
"osUsername": "user",
"proxyStates": null,
"rangerStatus": "Disabled",
"rangerVersion": null,
"registeredAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"remoteProfilingState": "disabled",
"remoteProfilingStateExpiration": null,
"scanAbortedAt": null,
"scanFinishedAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"scanStartedAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"scanStatus": "finished",
"serialNumber": null,
"showAlertIcon": false,
"siteId": "0000000000000000000",
"siteName": "SITE_NAME",
"storageName": null,
"storageType": null,
"tags": {
"sentinelone": [
{
"assignedAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"assignedBy": "anon.user@google.com",
"assignedById": "0000000000000000000",
"id": "0000000000000000000",
"key": "MD_Containment_Allowlist",
"value": "No Value"
}
]
},
"threatRebootRequired": false,
"totalMemory": 3930,
"updatedAt": "YYYY-MM-DDTHH:MM:SS.SSSSSSZ",
"userActionsNeeded": [],
"uuid": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
}
]
출력 메시지
Get Site Agents 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Site Agents". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Site Agents 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시스템 상태 가져오기
시스템 상태 가져오기 작업을 사용하여 시스템 상태를 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 상태 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 시스템 상태 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
스크립트 결과
다음 표에는 시스템 상태 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시스템 버전 가져오기
시스템 버전 가져오기 작업을 사용하여 시스템 버전을 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 버전 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 시스템 버전 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 가져오기
Get Threats 작업을 사용하여 SentinelOne의 위협에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Mitigation Status |
선택사항입니다. 쉼표로 구분된 위협 상태 목록입니다. 이 작업은 구성된 상태와 일치하는 위협만 반환합니다. 가능한 값은 다음과 같습니다.
|
Created until |
선택사항입니다. 위협의 종료 시간입니다(예: |
Created from |
선택사항입니다. 위협의 시작 시간입니다(예: |
Resolved Threats |
선택사항입니다. 선택하면 작업에서 해결된 위협만 반환합니다. |
Threat Display Name |
선택사항입니다. 반환할 위협의 표시 이름입니다. |
Limit |
선택사항입니다. 반환할 위협 수입니다. 기본값은 |
API Version |
선택사항입니다. 작업에 사용할 API 버전입니다. 값을 설정하지 않으면 작업에서 2.1 버전을 사용합니다. API 버전은 JSON 결과 구조에 영향을 미칩니다. 최신 API 버전을 설정하는 것이 좋습니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
위협 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 위협 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
출력 메시지
위협 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Threats". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
심층 가시성 쿼리 시작
Initiate Deep Visibility Query 작업을 사용하여 Deep Visibility 쿼리 검색을 시작합니다.
이 작업은 Get Deep Visibility Query Result 작업에 필요한 쿼리 ID 값을 반환합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
심층 가시성 쿼리 시작 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 검색을 위한 쿼리입니다. 쿼리 구문에 대한 자세한 내용은 SentinelOne Deep Visibility Cheat Sheet을 참고하세요. |
Start Date |
선택사항입니다. 검색 시작일입니다. 값을 설정하지 않으면 작업에서 기본적으로 현재로부터 30일 전의 이벤트를 가져옵니다. |
End Date |
선택사항입니다. 검색의 종료일입니다. 값을 설정하지 않으면 작업에서 현재 시간을 사용합니다. |
작업 출력
심층 가시성 쿼리 시작 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 심층 가시성 쿼리 시작 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"query_id": "QUERY_ID"
}
]
출력 메시지
심층 가시성 쿼리 시작 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 심층 가시성 쿼리 시작 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
전체 스캔 시작
전체 검사 시작 작업을 사용하여 SentinelOne의 엔드포인트에서 전체 디스크 검사를 시작합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
전체 검사 시작 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
전체 검사 시작 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 전체 검사 시작 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
사이트 나열
사이트 목록 작업을 사용하여 SentinelOne에서 사용 가능한 사이트를 나열합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
사이트 목록 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Filter Key |
선택사항입니다. 사이트를 필터링하는 키입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Filter Logic |
선택사항입니다. 적용할 필터 로직입니다. 필터 로직은 가능한 값은 다음과 같습니다.
기본값은 |
Filter Value |
선택사항입니다. 필터에 사용할 값입니다. 필터 로직은
값을 설정하지 않으면 작업에서 필터를 무시합니다. |
Max Records To Return |
선택사항입니다. 반환할 레코드 수입니다. 기본값은 |
작업 출력
사이트 나열 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
사이트 목록 작업은 다음 표를 반환할 수 있습니다.
표 이름: 사용 가능한 사이트
표 열:
- 이름
- ID
- 크리에이터
- 만료
- 유형
- 상태
출력 메시지
사이트 목록 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Sites". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 사이트 목록 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협으로 표시
위협으로 표시 작업을 사용하여 의심스러운 위협을 SentinelOne에서 실제 위협으로 표시합니다.
SentinelOne에서 위협을 표시하려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
의심스러운 감지만 위협으로 표시할 수 있습니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협으로 표시 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat IDs |
필수 항목입니다. 위협으로 표시할 감지 ID의 쉼표로 구분된 목록입니다. |
작업 출력
위협으로 표시 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 위협으로 표시 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
출력 메시지
위협으로 표시 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협으로 표시 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 완화
위협 완화 작업을 사용하여 SentinelOne의 위협에 대한 완화 작업을 실행합니다.
SentinelOne에서 위협을 완화하려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
롤백은 Windows에만 적용됩니다. 위협 해결은 macOS 및 Windows에만 적용됩니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 완화 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Mitigation action |
필수 항목입니다. 감지된 위협에 대한 완화 조치입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Threat IDs |
필수 항목입니다. 완화할 위협 ID의 쉼표로 구분된 목록입니다. |
작업 출력
위협 완화 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 위협 완화 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
출력 메시지
위협 완화 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 완화 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
상담사 이동
에이전트 이동 작업을 사용하여 동일한 사이트에서 제공된 그룹으로 에이전트를 이동합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
Move Agents 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Group ID |
선택사항입니다. 에이전트를 이동할 그룹의 ID입니다. |
Group Name |
선택사항입니다. 에이전트를 이동할 그룹의 이름입니다.
|
작업 출력
Move Agents 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Move Agents 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Move Agents 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 연결을 테스트합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
에이전트를 네트워크에 다시 연결
에이전트를 네트워크에 다시 연결 작업을 사용하여 연결이 끊긴 엔드포인트를 네트워크에 다시 연결합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에 에이전트 다시 연결 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 불가 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에 에이전트 다시 연결 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 해결
위협 해결 작업을 사용하여 SentinelOne에서 위협을 해결합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 해결 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat IDs |
필수 항목입니다. 해결할 위협 ID의 쉼표로 구분된 목록입니다. |
Annotation |
선택사항입니다. 위협 해결을 위한 근거입니다. |
작업 출력
위협 해결 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 위협 해결 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
출력 메시지
위협 해결 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 해결 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 업데이트
알림 업데이트 작업을 사용하여 SentinelOne에서 위협 알림을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 항목입니다. 업데이트할 알림의 ID입니다. |
Status |
선택사항입니다. 알림 상태입니다. 가능한 값은 다음과 같습니다.
|
Verdict |
선택사항입니다. 알림에 대한 평결입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
업데이트 알림 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 알림 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
출력 메시지
알림 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
작업이 완료되었습니다. |
Error executing action "Update Alert". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 업데이트 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
분석가 평결 업데이트
분석가 평결 업데이트 작업을 사용하여 SentinelOne에서 위협의 분석가 평결을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
분석가 평결 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 분석가 평결을 업데이트할 쉼표로 구분된 위협 ID 목록입니다. |
Analyst Verdict |
필수 항목입니다. 분석가 판결입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
분석가 의견 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
분석가 평결 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 분석가 평결 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
기기 제어 규칙 업데이트
기기 제어 규칙 업데이트 작업을 사용하여 SentinelOne에서 기기 제어 규칙을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
기기 제어 규칙 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Rule ID |
필수 항목입니다. 업데이트할 규칙의 ID입니다. |
Rule JSON |
필수 항목입니다. 기기 제어 규칙 구성을 나타내는 JSON 객체입니다. 기본값은 다음과 같습니다. { "ruleName": "String", "interface": "String", "ruleType": "String", "action": "String", "accessPermission": "String", "deviceClass": "String", "status": "String" } |
작업 출력
기기 제어 규칙 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 기기 제어 규칙 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"accessPermission": "Read-Write",
"action": "Allow",
"bluetoothAddress": null,
"createdAt": "2024-01-01T00:00:00.000000Z",
"creator": "[USERNAME] ([EMAIL_ADDRESS])",
"creatorId": "[CREATOR_ID]",
"deviceClass": "FFh",
"deviceClassName": "FF Vendor Specific",
"deviceId": null,
"deviceInformationServiceInfoKey": null,
"deviceInformationServiceInfoValue": null,
"deviceName": null,
"editable": true,
"gattService": null,
"id": "[RULE_ID]",
"interface": "USB",
"manufacturerName": null,
"minorClasses": null,
"order": 1,
"productId": null,
"ruleName": "Test",
"ruleType": "class",
"scope": "account",
"scopeId": "[SCOPE_ID]",
"scopeName": "[SCOPE_NAME]",
"status": "Disabled",
"uid": null,
"updatedAt": "2024-01-01T00:00:00.000000Z",
"vendorId": null,
"version": null
}
}
출력 메시지
기기 제어 규칙 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update Device Control Rule". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 기기 제어 규칙 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
Update Incident Status(인시던트 상태 업데이트)
인시던트 상태 업데이트 작업을 사용하여 SentinelOne에서 위협 인시던트 상태를 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
인시던트 상태 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 사고 상태를 업데이트할 쉼표로 구분된 위협 ID 목록입니다. |
Status |
필수 항목입니다. 인시던트 상태입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
인시던트 상태 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 불가 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
인시던트 상태 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 인시던트 상태 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
SentinelOne - Alerts Connector
SentinelOne - Alerts Connector를 사용하여 SentinelOne의 알림을 수집합니다.
커넥터를 사용하면 ruleInfo.name 매개변수를 기반으로 동적 목록을 사용하여 알림을 필터링할 수 있습니다. 이 목록의 동작은 Use dynamic list as a blocklist 매개변수에 따라 다릅니다.
Use dynamic list as a blocklist를 선택하지 않으면 다음이 적용됩니다.동적 목록은 허용 목록으로 작동합니다. 커넥터는
ruleInfo.name이 목록의 값과 일치하는 알림만 수집합니다. 목록이 비어 있으면 알림이 수집되지 않습니다.Use dynamic list as a blocklist를 선택하는 경우:동적 목록은 차단 목록으로 작동합니다. 커넥터는
ruleInfo.name가 목록의 값과 일치하는 알림을 제외한 모든 알림을 수집합니다. 목록이 비어 있으면 모든 알림이 수집됩니다.
커넥터 매개변수
SentinelOne - Alerts Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항입니다. 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
선택사항입니다.
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. 기본값은 |
PythonProcessTimeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. SentinelOne 인스턴스의 API 루트입니다. |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. |
Status Filter |
선택사항입니다. 수집할 알림 상태의 쉼표로 구분된 목록입니다. 가능한 값은 다음과 같습니다.
값이 제공되지 않으면 커넥터가 |
Case Name Template |
선택사항입니다. 맞춤 케이스 이름을 정의하는 템플릿입니다. 커넥터는 이벤트에 첫 번째 이벤트의 문자열 값에서 채워지는 FIELD_NAME 형식의 자리표시자를 사용할 수 있습니다. 예: |
Alert Name Template |
선택사항입니다. 알림 이름을 정의하는 템플릿입니다. 첫 번째 이벤트의 문자열 값에서 채워지는 FIELD_NAME 형식의 자리표시자를 사용할 수 있습니다. 예: 값이 제공되지 않거나 템플릿이 유효하지 않으면 커넥터는 기본 알림 이름을 사용합니다. |
Lowest Severity To Fetch |
선택사항입니다. 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 다음과 같습니다.
값이 제공되지 않으면 모든 심각도가 수집됩니다. |
Max Hours Backwards |
필수 항목입니다. 현재 시간 전의 알림을 가져올 시간입니다. 기본값은 |
Max Alerts To Fetch |
필수 항목입니다. 커넥터 반복마다 처리할 최대 알림 수입니다. 최댓값은 기본값은 |
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 사용 설정되어 있지 않습니다. |
Disable Overflow |
선택사항입니다. 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 사용 설정되어 있지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 SentinelOne 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Proxy Server Address |
선택사항입니다. 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항입니다. 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항입니다. 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
알림 구조
다음 표에서는 SentinelOne 알림 필드를 Google SecOps 알림 필드에 매핑하는 방법을 설명합니다.
| Siemplify 알림 필드 | SentinelOne 알림 필드 (API의 JSON 키) |
|---|---|
SourceSystemName |
프레임워크에 의해 채워집니다. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
하드코딩: SentinelOne |
DeviceProduct |
대체 값: Alerts |
Priority |
ruleInfo.severity에서 매핑됨 |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
ruleInfo.severity에서 매핑됨 |
Risk Score |
심각도의 정수 표현 |
StartTime |
alertInfo.createdAt에서 변환됨 |
EndTime |
alertInfo.createdAt에서 변환됨 |
Siemplify Alert - Extensions |
해당 사항 없음 |
Siemplify Alert - Attachments |
해당 사항 없음 |
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - 위협 커넥터
SentinelOne - 위협 커넥터를 사용하여 SentinelOne의 위협을 수집합니다.
커넥터를 사용하면 동적 목록을 기반으로 알림을 필터링할 수 있습니다.
SentinelOne - 위협 커넥터는 alert_name 매개변수를 사용하여 알림을 필터링합니다.
Use whitelist as a blacklist 매개변수를 선택하면 커넥터는 alert_name이 동적 목록의 값과 일치하지 않는 알림만 수집합니다.
동적 목록에서 alert_name 값을 구성하지 않으면 커넥터가 모든 알림을 인그레스합니다.
Use whitelist as a blacklist 매개변수를 선택하지 않으면 커넥터는 alert_name이 동적 목록의 값과 일치하는 알림만 수집합니다.
커넥터 입력
SentinelOne - 위협 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항입니다. 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
선택사항입니다.
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. SentinelOne API 루트입니다. 기본값은 |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. |
API Version |
선택사항입니다. 커넥터가 사용할 SentinelOne API 버전입니다. 값을 설정하지 않으면 커넥터에서 기본적으로 API 버전 2.0을 사용합니다. |
Fetch Max Days Backwards |
선택사항입니다. 현재로부터 며칠 전까지의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Alerts Per Cycle |
선택사항입니다. 커넥터 반복마다 처리할 최대 알림 수입니다. 기본값은 |
Disable Overflow |
선택사항입니다. 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Use whitelist as a blacklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 SentinelOne 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택됩니다. |
Proxy Server Address |
선택사항입니다. 사용할 프록시 서버의 주소입니다. |
Proxy Username |
선택사항입니다. 인증할 프록시 사용자 이름입니다. |
Proxy Password |
선택사항입니다. 인증할 프록시 비밀번호입니다. |
Event Object Type Filter |
선택사항입니다. 위협 정보와 함께 반환할 이벤트 객체의 쉼표로 구분된 목록입니다. 커넥터는 이 매개변수를 필터로 사용하여 값을 설정하지 않으면 커넥터가 모든 이벤트 객체 유형을 인그레스합니다. |
Event Type Filter |
선택사항입니다. 위협 정보와 함께 반환할 이벤트 유형의 쉼표로 구분된 목록입니다. 커넥터는 이 매개변수를 필터로 사용하여 |
Max Events To Return |
선택사항입니다. 위협별로 반환할 이벤트 수입니다. 최댓값은 기본값은 |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터는 허용 목록과 차단 목록을 지원합니다.
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.