SentinelOne v2 in Google SecOps einbinden

Integrationsversion: 37.0

In diesem Dokument wird beschrieben, wie Sie SentinelOne v2 mit Google Security Operations (Google SecOps) konfigurieren und einbinden.

Für diese Integration wird die SentinelOne API 2.0 verwendet.

In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.

Anwendungsfälle

Die SentinelOne-Integration kann Ihnen bei den folgenden Anwendungsfällen helfen:

1. Infizierte Endpunkte eindämmen: Verwenden Sie die Google SecOps-Funktionen, um einen infizierten Host zu isolieren und laterale Bewegungen und Daten-Exfiltration zu verhindern.

2. Detaillierte Endpunktinformationen abrufen: Mit den Google SecOps-Funktionen können Sie Vorfalldaten mit detaillierten Hostanalysen anreichern, um einen besseren Kontext zu erhalten und fundiertere Entscheidungen zu treffen. Sie können SentinelOne automatisch nach detaillierten Informationen zu einem Endpunkt abfragen, der an einer Benachrichtigung beteiligt ist, einschließlich Agent-Version, Betriebssystem und Netzwerkschnittstellen.

3. Deep Visibility-Scans starten: Mit den Google SecOps-Funktionen können Sie auf verdächtigen Computern nach Bedrohungen und verborgener Malware suchen und einen vollständigen Festplattenscan mit SentinelOne starten, wenn verdächtige Aktivitäten erkannt werden, z. B. ungewöhnliche Dateimodifikationen oder Registrierungsänderungen.

4. Bedrohungen mit Threat Intelligence untersuchen: Nutzen Sie die Funktionen von Google SecOps, um die Genauigkeit zu verbessern, indem Sie SentinelOne-Benachrichtigungen mit Threat Intelligence-Daten korrelieren und verdächtige Hashes, Dateipfade oder IP-Adressen, die in SentinelOne-Benachrichtigungen gefunden wurden, an Threat Intelligence-Plattformen weiterleiten.

5. Malware-Triage: Mit den Google SecOps-Funktionen können Sie Malware mithilfe statischer Analysetools automatisch klassifizieren, um die Reaktion auf Vorfälle zu optimieren. Sie können Proben von infizierten Endpunkten extrahieren, die Analyse in Ihrer Umgebung auslösen und eine Klassifizierung der Malware auf Grundlage der statischen Analyse erhalten.

Hinweise

Für die Verwendung der SentinelOne v2-Integration benötigen Sie ein SentinelOne-API-Token.

So generieren Sie das API-Token:

1. Rufen Sie in der SentinelOne-Verwaltungskonsole Einstellungen > Nutzer auf.

2. Klicken Sie auf Ihren Nutzernamen.

3. Klicken Sie auf Aktionen > API-Token-Vorgänge.

4. Klicken Sie auf API-Token generieren. Kopieren Sie das API-Token und verwenden Sie es, um die Integration zu konfigurieren. Der generierte API-Token ist sechs Monate lang gültig.

Integrationsparameter

Für die SentinelOne v2-Integration sind die folgenden Parameter erforderlich:

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Bedrohungsnotiz hinzufügen

Verwenden Sie die Aktion Add Threat Note (Bedrohungsnotiz hinzufügen), um der Bedrohung in SentinelOne eine Notiz hinzuzufügen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Add Threat Note (Bedrohungsanmerkung hinzufügen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Add Threat Note (Bedrohungsanmerkung hinzufügen) liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Threat Note kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Threat Note (Bedrohungsanmerkung hinzufügen) verwendet wird:

Hash-Sperrlisteneintrag erstellen

Verwenden Sie die Aktion Create Hash Black List Record (Hash-Sperrlisteneintrag erstellen), um Hashes einer Sperrliste in SentinelOne hinzuzufügen.

Diese Aktion unterstützt nur SHA-1-Hashes.

Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.

Aktionseingaben

Für die Aktion Create Hash Black List Record (Hash-Blacklist-Eintrag erstellen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Hash-Blacklist-Eintrag erstellen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Create Hash Black List Record (Hash-Sperrlisteneintrag erstellen) empfangen wird:

[
    {
        "Entity": "ENTITY_ID",
        "EntityResult": [{
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.678280Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.678690Z"
        }, {
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group 2",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.683858Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.684677Z"
        }]
    }
]

Ausgabemeldungen

Die Aktion Create Hash Black List Record kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Create Hash Black List Record aufgeführt:

Hash-Ausschlussdatensatz erstellen

Verwenden Sie die Aktion Create Hash Exclusion Record (Hash-Ausschlussdatensatz erstellen), um der Ausschlussliste in SentinelOne einen Hash hinzuzufügen.

Diese Aktion unterstützt nur SHA-1-Hashes.

Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.

Aktionseingaben

Für die Aktion Create Hash Exclusion Record (Hash-Ausschlussdatensatz erstellen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Hash-Ausschlussdatensatz erstellen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Create Hash Exclusion Record (Hash-Ausschlussdatensatz erstellen) empfangen wird:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]

Ausgabemeldungen

Die Aktion Create Hash Exclusion Record (Hash-Ausschlussdatensatz erstellen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Hash-Ausschlussdatensatz erstellen verwendet wird:

Pfadausschluss-Eintrag erstellen

Mit der Aktion Create Path Exclusion Record (Pfadausschlussdatensatz erstellen) können Sie der Ausschlussliste in SentinelOne einen Pfad hinzufügen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Pfadausschlussdatensatz erstellen sind die folgenden Parameter erforderlich:

Der Standardwert ist Suppress Alerts.

Aktionsausgaben

Die Aktion Create Path Exclusion Record (Pfadausschlussdatensatz erstellen) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Create Path Exclusion Record (Pfadausschlussdatensatz erstellen) empfangen wird:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]

Ausgabemeldungen

Die Aktion Create Path Exclusion Record (Pfadausschlussdatensatz erstellen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Create Path Exclusion Record verwendet wird:

Hash-Sperrlisteneintrag löschen

Mit der Aktion Delete Hash Blacklist Record (Hash-Blacklist-Eintrag löschen) können Sie Hashes aus einer Blocklist in SentinelOne löschen.

Diese Aktion unterstützt nur SHA-1-Hashes.

Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.

Aktionseingaben

Für die Aktion Delete Hash Blacklist Record (Hash-Blacklist-Eintrag löschen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Delete Hash Blacklist Record (Hash-Eintrag in der schwarzen Liste löschen) gibt Folgendes aus:

Ausgabemeldungen

Die Aktion Delete Hash Blacklist Record (Hash-Blacklist-Eintrag löschen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Delete Hash Blacklist Record (Hash-Blacklist-Eintrag löschen) verwendet wird:

Verbindung des Agents zum Netzwerk trennen

Mit der Aktion Agent vom Netzwerk trennen können Sie einen Agent über den Hostnamen oder die IP-Adresse des Agents vom Netzwerk trennen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Agent vom Netzwerk trennen bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Disconnect Agent From Network (Agent vom Netzwerk trennen) verwendet wird:

Bedrohungsdatei herunterladen

Mit der Aktion Download Threat File (Bedrohungsdatei herunterladen) können Sie eine Datei herunterladen, die mit einer Bedrohung in SentinelOne zusammenhängt.

Zum Abrufen von Bedrohungsdateien in SentinelOne benötigen Sie eine der folgenden Rollen:

• Admin
• IR Team
• SOC

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Einschränkungen bei Aktionen

Die Aktion Download Threat File (Bedrohungsdatei herunterladen) kann ein Zeitlimit erreichen, wenn SentinelOne eine Datei abruft, aber keine Download-URL bereitstellt.

Um die Ursache für die Zeitüberschreitung zu untersuchen, rufen Sie die Zeitachse für Bedrohungen auf.

Aktionseingaben

Für die Aktion Bedrohungsdatei herunterladen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Bedrohungsdatei herunterladen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Download Threat File (Bedrohungsdatei herunterladen) empfangen wird:

{
    "absolute_path": "ABSOLUTE_PATH"
}

Ausgabemeldungen

Die Aktion Download Threat File (Bedrohungsdatei herunterladen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Download Threat File (Bedrohungsdatei herunterladen) verwendet wird:

Enrich-Endpunkte

Verwenden Sie die Aktion Endpunkte anreichern, um Informationen zum Endpunkt anhand der IP-Adresse oder des Hostnamens anzureichern.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Für die Aktion Endpunkte anreichern sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Endpunkte anreichern liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Endpunkte anreichern empfangen wird:

{
    "accountId": "ACCOUNT_ID",
    "accountName": "SentinelOne",
    "activeDirectory": {
        "computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
        "computerMemberOf": [],
        "lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
        "lastUserMemberOf": [
            "CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
            "CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
        ]
    },
    "activeThreats": 0,
    "agentVersion": "4.1.4.82",
    "allowRemoteShell": false,
    "appsVulnerabilityStatus": "patch_required",
    "computerName": "LP-EXAMPLE",
    "consoleMigrationStatus": "N/A",
    "coreCount": 8,
    "cpuCount": 8,
    "cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
    "createdAt": "2020-05-31T07:22:14.695136Z",
    "domain": "EXAMPLE",
    "encryptedApplications": false,
    "externalId": "",
    "externalIp": "192.0.2.91",
    "groupId": "863712577864500060",
    "groupIp": "192.0.2.0",
    "groupName": "Test Group",
    "id": "ID",
    "inRemoteShellSession": false,
    "infected": false,
    "installerType": ".msi",
    "isActive": false,
    "isDecommissioned": false,
    "isPendingUninstall": false,
    "isUninstalled": false,
    "isUpToDate": true,
    "lastActiveDate": "2021-01-12T12:59:43.143066Z",
    "lastIpToMgmt": "192.0.2.20",
    "lastLoggedInUserName": "EXAMPLE",
    "licenseKey": "",
    "locationType": "fallback",
    "locations": [
        {
            "id": "ID",
            "name": "Fallback",
            "scope": "global"
        }
    ],
    "machineType": "laptop",
    "mitigationMode": "protect",
    "mitigationModeSuspicious": "protect",
    "modelName": "Dell Inc. - Latitude 7490",
    "networkInterfaces": [
        {
            "id": "ID",
            "inet": [
                "192.0.2.20"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2",
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "Wi-Fi",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "192.168.193.193"
            ],
            "inet6": [
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "vEthernet (Default Switch)",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "201.0.113.1"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2"
            ],
            "name": "vEthernet (DockerNAT)",
            "physical": "MAC_ADDRESS"
        }
    ],
    "networkStatus": "connecting",
    "osArch": "64 bit",
    "osName": "Windows 10 Pro",
    "osRevision": "18363",
    "osStartTime": "2021-01-03T15:38:32Z",
    "osType": "windows",
    "osUsername": null,
    "rangerStatus": "NotApplicable",
    "rangerVersion": null,
    "registeredAt": "2020-05-31T07:22:14.691561Z",
    "scanAbortedAt": null,
    "scanFinishedAt": "2020-05-31T09:28:53.867014Z",
    "scanStartedAt": "2020-05-31T07:25:37.814972Z",
    "scanStatus": "finished",
    "siteId": "SITE_ID",
    "siteName": "example.com",
    "threatRebootRequired": false,
    "totalMemory": 16263,
    "updatedAt": "2021-01-18T13:33:43.834618Z",
    "userActionsNeeded": [],
    "uuid": "UUID"
}

Ausgabemeldungen

Die Aktion Endpunkte anreichern kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Endpunkte anreichern aufgeführt:

Agent-Status abrufen

Mit der Aktion Get Agent Status (Agent-Status abrufen) können Sie Informationen zum Status von Agents auf den Endpunkten basierend auf der bereitgestellten Entität abrufen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Get Agent Status (Agent-Status abrufen) liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get Agent Status (Agent-Status abrufen) empfangen wird:

{
"status": "Not active"
}

Ausgabemeldungen

Die Aktion Get Agent Status (Agent-Status abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Agent Status verwendet wird:

Anwendungsliste für Endpunkt abrufen

Mit der Aktion Anwendungsliste für Endpunkt abrufen können Sie Informationen zu verfügbaren Anwendungen auf einem Endpunkt mithilfe der bereitgestellten Einheiten abrufen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Für die Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) empfangen wird:

{
    "data": [
        {
            "installedDate": "2021-01-06T08:55:56.762000Z",
            "name": "Mozilla Firefox 84.0.1 (x64 en-US)",
            "publisher": "Mozilla",
            "size": 211562,
            "version": "84.0.1"
        }
    ]
}

Ausgabemeldungen

Die Aktion Get Application List for Endpoint (Anwendungsliste für Endpunkt abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Anwendungsliste für Endpunkt abrufen verwendet wird:

Sperrliste abrufen

Mit der Aktion Get Blacklist (Sperrliste abrufen) können Sie eine Liste aller Elemente abrufen, die in der Sperrliste in SentinelOne verfügbar sind.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Blacklist sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Blacklist (Sperrliste abrufen) bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Die Aktion Get Blacklist kann die folgende Tabelle zurückgeben:

Tabellenname: Blocklist Hashes

Tabellenspalten:

• Hash
• Bereich
• Beschreibung
• Betriebssystem
• Nutzer

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Blacklist (Blacklist abrufen) empfangen wird:

[
    {
        "userName": "Example",
        "description": "test",
        "userId": "USER_ID",
        "scopeName": "Example.com",
        "value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
        "source": "user",
        "updatedAt": "2020-02-27T15:02:54.686991Z",
        "osType": "windows",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "8353960925573xxxxx",
        "createdAt": "2020-02-27T15:02:54.687675Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
        "source": "cloud",
        "updatedAt": "2020-03-18T14:42:02.730095Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-03-18T14:42:02.730449Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "df531d66173235167ac502b867f3cae2170xxxxx",
        "source": "cloud",
        "updatedAt": "2020-04-08T07:27:35.686775Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-04-08T07:27:35.687168Z"
    }
]

Ausgabemeldungen

Die Aktion Get Blacklist (Blacklist abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Blacklist aufgeführt:

Ergebnis der Deep Visibility-Abfrage abrufen

Mit der Aktion Get Deep Visibility Query Result (Abfrageergebnis für Deep Visibility abrufen) können Sie Informationen zu den Abfrageergebnissen für Deep Visibility abrufen.

Führen Sie diese Aktion in Kombination mit der Aktion Initiate Deep Visibility Query aus.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Deep Visibility Query Result sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Deep Visibility Query Result (Abfrageergebnis für detaillierte Informationen abrufen) bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Die Aktion Get Deep Visibility Query Result kann die folgende Tabelle zurückgeben:

Tabellenname: SentinelOne Events

Tabellenspalten:

• Ereignistyp
• Name der Website
• Zeit
• Betriebssystem des Agents
• Prozess-ID
• Prozess-UID
• Prozessname
• MD5
• SHA256

Ausgabemeldungen

Die Aktion Get Deep Visibility Query Result (Abfrageergebnis für detaillierte Informationen abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle finden Sie den Wert für die Ausgabe des Skriptergebnisses, wenn Sie die Aktion Get Deep Visibility Query Result verwenden:

Ereignisse für Endpunktstunden abrufen

Mit der Aktion Get Events for Endpoint Hours Back können Sie Informationen zu den letzten Ereignissen auf einem Endpunkt abrufen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Für die Aktion Get Events for Endpoint Hours Back sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Events for Endpoint Hours Back (Ereignisse für Endpunktstunden zurück abrufen) gibt die folgenden Ausgaben zurück:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Events for Endpoint Hours Back empfangen wird:

{
    "data": [
        {
            "activeContentFileId": null,
            "activeContentHash": null,
            "activeContentPath": null,
            "activeContentSignedStatus": null,
            "activeContentType": null,
            "agentDomain": "",
            "agentGroupId": "GROUP_ID",
            "agentId": "ID",
            "agentInfected": false,
            "agentIp": "192.0.2.160",
            "agentIsActive": true,
            "agentIsDecommissioned": false,
            "agentMachineType": "server",
            "agentName": "ip-203-0-113-205",
            "agentNetworkStatus": "connected",
            "agentOs": "linux",
            "agentTimestamp": "2020-03-19T08:17:01.575Z",
            "agentUuid": "UUID",
            "agentVersion": "3.3.1.14",
            "attributes": [
                {
                    "display": "Created At",
                    "display_attribute": false,
                    "field_id": "agentTimestamp",
                    "priority": 3,
                    "queryable": false,
                    "section": "Main Attributes",
                    "value": "2020-03-19T08:17:01.575Z"
                },{
                    "display": "Site ID",
                    "display_attribute": false,
                    "field_id": "siteId",
                    "priority": 7,
                    "queryable": true,
                    "section": "Endpoint Info",
                    "value": null
                }
            ],
            "containerId": null,
            "containerImage": null,
            "containerLabels": null,
            "containerName": null,
            "createdAt": "2020-03-19T08:17:01.575000Z",
            "eventType": "Process Creation",
            "hasParent": true,
            "id": "ID",
            "k8sCluame": null,
            "k8sControllerLabels": null,
            "k8sControllerName": null,
            "k8sControllerType": null,
            "k8sNamespace": null,
            "k8sNamespaceLabels": null,
            "k8sNode": null,
            "k8sPodLabels": null,
            "k8sPodName": null,
            "md5": null,
            "objectType": "process",
            "parentPid": "32461",
            "parentProcessName": "dash",
            "parentProcessStartTime": "2020-03-19T08:17:01.785Z",
            "parentProcessUniqueKey": "KEY",
            "pid": "32462",
            "processCmd": " run-parts --report /etc/cron.hourly",
            "processDisplayName": null,
            "processGroupId": "GROUP_ID",
            "processImagePath": "/bin/run-parts",
            "processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
            "processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
            "processIsRedirectedCommandProcessor": "False",
            "processIsWow64": "False",
            "processName": "run-parts",
            "processRoot": "False",
            "processSessionId": "0",
            "processStartTime": "2020-03-19T08:17:01.787Z",
            "processSubSystem": "SUBSYSTEM_UNKNOWN",
            "processUniqueKey": "KEY",
            "publisher": null,
            "relatedToThreat": "False",
            "sha256": null,
            "signatureSignedInvalidReason": null,
            "signedStatus": "unsigned",
            "siteName": "example.com",
            "trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
            "user": "unknown",
            "verifiedStatus": null
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 632
    }
}

Ausgabemeldungen

Die Aktion Get Events for Endpoint Hours Back kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Events for Endpoint Hours Back verwendet wird:

Gruppendetails abrufen

Mit der Aktion Get Group Details (Gruppendetails abrufen) können Sie detaillierte Informationen zu den angegebenen Gruppen abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Gruppendetails abrufen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Group Details (Gruppendetails abrufen) gibt die folgenden Ausgaben zurück:

Tabelle „Fall-Repository“

Die Aktion Get Group Details (Gruppendetails abrufen) kann die folgende Tabelle zurückgeben:

Tabellenname: SentinelOne Groups

Tabellenspalten:

• ID
• Name
• Typ
• Rang
• Creator
• Erstellungszeit

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Group Details (Gruppendetails abrufen) empfangen wird:

[
    {
        "GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
    }
]

Ausgabemeldungen

Die Aktion Get Group Details (Gruppendetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Group Details (Gruppendetails abrufen) verwendet wird:

Hash-Reputation abrufen

(Eingestellt) Verwenden Sie die Aktion Get Hash Reputation (Hash-Reputation abrufen), um Informationen zu Hashes von SentinelOne abzurufen.

Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.

Aktionseingaben

Für die Aktion Hash-Reputation abrufen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Hash Reputation (Hash-Reputation abrufen) gibt die folgenden Ausgaben zurück:

Anreicherungstabelle

Mit der Aktion Hash-Reputation abrufen können die folgenden Felder angereichert werden:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Hash Reputation aufgeführt:

Prozessliste für Endpunkt abrufen – eingestellt

Systemstatus abrufen

Verwenden Sie die Aktion Systemstatus abrufen, um den Status eines Systems abzurufen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Systemstatus abrufen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get System Status (Systemstatus abrufen) empfangen wird:

{
    "system_status": {
        "data": {
            "health": "ok"
        }},
    "db_status": {
        "data": {
            "health": "ok"
        }},
    "cache_status": {
        "data": {
            "health": "ok"
        }
    }
}

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Systemstatus abrufen verwendet wird:

Systemversion abrufen

Verwenden Sie die Aktion Systemversion abrufen, um die Version eines Systems abzurufen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Get System Version (Systemversion abrufen) liefert die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Systemversion abrufen verwendet wird:

Bedrohungen abrufen

Mit der Aktion Get Threats (Bedrohungen abrufen) können Sie Informationen zu Bedrohungen in SentinelOne abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Threats sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Threats (Bedrohungen abrufen) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Threats (Bedrohungen abrufen) empfangen wird:

{
            "accountId": "ACCOUNT_ID",
            "accountName": "ACCOUNT_NAME",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "192.0.2.176",
            "agentIsActive": false,
            "agentIsDecommissioned": false,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connected",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "838490132723152335",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "external_ticket_id": null,
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "THREAT_ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "0BB46E119EF0AE51",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": true,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": "sent"
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-07-07T17:19:48.260119Z",
            "username": "DESKTOP-example\\ddiserens",
            "whiteningOptions": []
}

Ausgabemeldungen

Die Aktion Get Threats (Bedrohungen abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Threats aufgeführt:

Deep Visibility-Abfrage starten

Verwenden Sie die Aktion Initiate Deep Visibility Query (Deep Visibility-Abfrage starten), um eine Deep Visibility-Abfragesuche zu starten.

Diese Aktion gibt den Wert der Abfrage-ID zurück, der für die Aktion Get Deep Visibility Query Result (Ergebnis der Abfrage mit detaillierter Sichtbarkeit abrufen) erforderlich ist.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Initiate Deep Visibility Query sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Initiate Deep Visibility Query (Deep Visibility-Abfrage starten) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Initiate Deep Visibility Query (Deep Visibility-Abfrage starten) empfangen wird:

[
    {
        "query_id": "QUERY_ID"
    }
]

Ausgabemeldungen

Die Aktion Initiate Deep Visibility Query (Tiefgreifende Sichtbarkeitsabfrage starten) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Initiate Deep Visibility Query verwendet wird:

Vollständigen Scan starten

Mit der Aktion Initiate Full Scan (Vollständigen Scan starten) können Sie einen vollständigen Festplattenscan auf einem Endpunkt in SentinelOne starten.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Vollständigen Scan starten bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Vollständigen Scan starten kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Vollständigen Scan starten verwendet wird:

Sites auflisten

Mit der Aktion List Sites (Websites auflisten) können Sie verfügbare Websites in SentinelOne auflisten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Sites sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion List Sites (Websites auflisten) gibt die folgenden Ausgaben zurück:

Tabelle „Fall-Repository“

Die Aktion List Sites kann die folgende Tabelle zurückgeben:

Tabellenname: Available Sites (Verfügbare Websites)

Tabellenspalten:

• Name
• ID
• Creator
• Ablaufdatum
• Typ
• Bundesland

Ausgabemeldungen

Die Aktion List Sites kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Sites aufgeführt:

Als Bedrohung markieren

Verwenden Sie die Aktion Als Bedrohung markieren, um verdächtige Bedrohungen in SentinelOne als „True Positive“-Bedrohungen zu markieren.

Zum Markieren von Bedrohungen in SentinelOne benötigen Sie eine der folgenden Rollen:

• Admin
• IR Team
• SOC

Sie können nur verdächtige Erkennungen als Bedrohungen markieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Als Bedrohung markieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Als Bedrohung markieren liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Als Bedrohung markieren empfangen wird:

[
    {
        "ID": "DETECTION_ID",
        "marked_as_threat": "true"
    }
]

Ausgabemeldungen

Die Aktion Als Bedrohung markieren kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Als Bedrohung markieren verwendet wird:

Bedrohung abwenden

Mit der Aktion Bedrohung abwehren können Sie Abwehrmaßnahmen für die Bedrohungen in SentinelOne ausführen.

Um Bedrohungen in SentinelOne zu minimieren, benötigen Sie eine der folgenden Rollen:

• Admin
• IR Team
• SOC

Das Rollback gilt nur für Windows. Die Behebung von Bedrohungen gilt nur für macOS und Windows.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Bedrohung abwenden sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Mitigate Threat (Bedrohung abwehren) gibt Folgendes aus:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Mitigate Threat (Bedrohung abwehren) empfangen wird:

[
        {
            "mitigated": true,
            "mitigation_action": "quarantine",
            "Threat_ID": "THREAT_ID"
        }
]

Ausgabemeldungen

Die Aktion Mitigate Threat (Bedrohung abwehren) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Mitigate Threat (Bedrohung abwehren) aufgeführt:

Agents verschieben

Mit der Aktion Agents verschieben können Sie Agents von derselben Website in die angegebene Gruppe verschieben.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Für die Aktion Move Agents sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Move Agents (Agents verschieben) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Move Agents kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Move Agents aufgeführt:

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu testen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Agent wieder mit dem Netzwerk verbinden

Verwenden Sie die Aktion Reconnect Agent to the Network (Agent wieder mit dem Netzwerk verbinden), um ein getrenntes Gerät wieder mit einem Netzwerk zu verbinden.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

• IP Address
• Hostname

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Agent wieder mit dem Netzwerk verbinden gibt die folgenden Ausgaben zurück:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Agent wieder mit dem Netzwerk verbinden verwendet wird:

Bedrohung beheben

Mit der Aktion Resolve Threat (Bedrohung beheben) können Sie Bedrohungen in SentinelOne beheben.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Resolve Threat (Bedrohung beheben) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Bedrohung beheben bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Resolve Threat (Bedrohung beheben) empfangen wird:

[
    {
        "resolved": false,
        "Threat_ID": "THREAT_ID"
        }
]

Ausgabemeldungen

Die Aktion Resolve Threat kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Resolve Threat (Bedrohung beheben) verwendet wird:

Benachrichtigung ändern

Verwenden Sie die Aktion Update Alert (Benachrichtigung aktualisieren), um die Benachrichtigung der Bedrohung in SentinelOne zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Update Alert sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Update Alert (Benachrichtigung über Update) liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Update Alert (Benachrichtigung aktualisieren) empfangen werden:

{
           "agentDetectionInfo": {
               "accountId": "1727154225040260868",
               "machineType": "server",
               "name": "windows-server-20230913",
               "osFamily": "windows",
               "osName": "Windows Server 2019 Datacenter",
               "osRevision": "17763",
               "siteId": "1727154229628829519",
               "uuid": "da943d26318e46a8b3f6fc480c02636d",
               "version": "23.1.2.400"
           },
           "agentRealtimeInfo": {
               "id": "1896661984701699721",
               "infected": true,
               "isActive": true,
               "isDecommissioned": false,
               "machineType": "server",
               "name": "windows-server-20230913",
               "os": "windows",
               "uuid": "da943d26318e46a8b3f6fc480c02636d"
           },
           "alertInfo": {
               "alertId": "1947486263439640318",
               "analystVerdict": "Undefined",
               "createdAt": "2024-05-11T00:27:23.135000Z",
               "dnsRequest": null,
               "dnsResponse": null,
               "dstIp": null,
               "dstPort": null,
               "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
               "eventType": "REGVALUEMODIFIED",
               "hitType": "Events",
               "incidentStatus": "Unresolved",
               "indicatorCategory": null,
               "indicatorDescription": null,
               "indicatorName": null,
               "isEdr": true,
               "loginAccountDomain": null,
               "loginAccountSid": null,
               "loginIsAdministratorEquivalent": null,
               "loginIsSuccessful": null,
               "loginType": null,
               "loginsUserName": null,
               "modulePath": null,
               "moduleSha1": null,
               "netEventDirection": null,
               "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryOldValue": "0060030100000000",
               "registryOldValueType": "BINARY",
               "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryValue": "0070030100000000",
               "reportedAt": "2024-05-11T00:27:33.873767Z",
               "source": "STAR",
               "srcIp": null,
               "srcMachineIp": null,
               "srcPort": null,
               "tiIndicatorComparisonMethod": null,
               "tiIndicatorSource": null,
               "tiIndicatorType": null,
               "tiIndicatorValue": null,
               "updatedAt": "2025-05-12T18:41:08.366615Z"
           },
           "containerInfo": {
               "id": null,
               "image": null,
               "labels": null,
               "name": null
           },
           "kubernetesInfo": {
               "cluster": null,
               "controllerKind": null,
               "controllerLabels": null,
               "controllerName": null,
               "namespace": null,
               "namespaceLabels": null,
               "node": null,
               "pod": null,
               "podLabels": null
           },
           "ruleInfo": {
               "description": null,
               "id": "1763599692710649014",
               "name": "Registry Value Modified",
               "queryLang": "1.0",
               "queryType": "events",
               "s1ql": "EventType = \"Registry Value Modified\"",
               "scopeLevel": "account",
               "severity": "Critical",
               "treatAsThreat": "UNDEFINED"
           },
           "sourceParentProcessInfo": {
               "commandline": "C:\\Windows\\system32\\services.exe",
               "effectiveUser": null,
               "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
               "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
               "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
               "filePath": "C:\\Windows\\System32\\services.exe",
               "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "services.exe",
               "pid": "896",
               "pidStarttime": "2024-04-26T17:33:41.962000Z",
               "realUser": null,
               "storyline": "DD880F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "DC880F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "sourceProcessInfo": {
               "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
               "effectiveUser": null,
               "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
               "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
               "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
               "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
               "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "cyserver.exe",
               "pid": "3204",
               "pidStarttime": "2024-04-26T17:34:17.273000Z",
               "realUser": null,
               "storyline": "74890F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "73890F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "targetProcessInfo": {
               "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
               "tgtFileHashSha1": null,
               "tgtFileHashSha256": null,
               "tgtFileId": null,
               "tgtFileIsSigned": "signed",
               "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
               "tgtFileOldPath": null,
               "tgtFilePath": null,
               "tgtProcCmdLine": null,
               "tgtProcImagePath": null,
               "tgtProcIntegrityLevel": "unknown",
               "tgtProcName": null,
               "tgtProcPid": null,
               "tgtProcSignedStatus": null,
               "tgtProcStorylineId": null,
               "tgtProcUid": null,
               "tgtProcessStartTime": "1970-01-01T00:00:00Z"
           }
       }

Ausgabemeldungen

Die Aktion Update Alert kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Alert verwendet wird:

Analystenurteil aktualisieren

Verwenden Sie die Aktion Update Analyst Verdict (Analystenurteil aktualisieren), um das Analystenurteil der Bedrohung in SentinelOne zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Update Analyst Verdict sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Update Analyst Verdict (Analystenurteil aktualisieren) liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Update Analyst Verdict kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Analyst Verdict verwendet wird:

Vorfallstatus aktualisieren

Verwenden Sie die Aktion Update Incident Status (Vorfallstatus aktualisieren), um den Status von Sicherheitsvorfällen in SentinelOne zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Update Incident Status sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Vorfallstatus aktualisieren liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Vorfallstatus aktualisieren kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Incident Status (Vorfallstatus aktualisieren) verwendet wird:

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

SentinelOne – Alerts Connector

Verwenden Sie den SentinelOne – Alerts Connector, um Benachrichtigungen von SentinelOne aufzunehmen.

Mit dem Connector können Sie Benachrichtigungen mithilfe einer dynamischen Liste filtern, die auf dem Parameter ruleInfo.name basiert. Das Verhalten dieser Liste hängt vom Parameter Use dynamic list as a blocklist ab.

• Wenn Sie Use dynamic list as a blocklist nicht auswählen:

  Die dynamische Liste funktioniert wie eine Zulassungsliste. Der Connector nimmt nur Benachrichtigungen auf, deren ruleInfo.name mit einem Wert in der Liste übereinstimmt. Wenn die Liste leer ist, werden keine Benachrichtigungen aufgenommen.

• Wenn Sie Use dynamic list as a blocklist auswählen:

  Die dynamische Liste funktioniert als Sperrliste. Der Connector erfasst alle Benachrichtigungen mit Ausnahme derer, deren ruleInfo.name mit einem Wert in der Liste übereinstimmt. Wenn die Liste leer ist, werden alle Benachrichtigungen aufgenommen.

Connector-Parameter

Für den SentinelOne – Alerts Connector sind die folgenden Parameter erforderlich:

Connector-Regeln

Der Connector unterstützt Proxys.

Struktur von Benachrichtigungen

In der folgenden Tabelle wird die Zuordnung von SentinelOne-Benachrichtigungsfeldern zu Google SecOps-Benachrichtigungsfeldern beschrieben:

Connector-Ereignisse

Hier ist ein Beispiel für ein Connector-Ereignis:

{
    "agentDetectionInfo": {
        "accountId": "1727154225040260868",
        "machineType": "server",
        "name": "windows-server-20230913",
        "osFamily": "windows",
        "osName": "Windows Server 2019 Datacenter",
        "osRevision": "17763",
        "siteId": "1727154229628829519",
        "uuid": "da943d26318e46a8b3f6fc480c02636d",
        "version": "23.1.2.400"
    },
    "agentRealtimeInfo": {
        "id": "1896661984701699721",
        "infected": true,
        "isActive": true,
        "isDecommissioned": false,
        "machineType": "server",
        "name": "windows-server-20230913",
        "os": "windows",
        "uuid": "da943d26318e46a8b3f6fc480c02636d"
    },
    "alertInfo": {
        "alertId": "1947486263439640318",
        "analystVerdict": "Undefined",
        "createdAt": "2024-05-11T00:27:23.135000Z",
        "dnsRequest": null,
        "dnsResponse": null,
        "dstIp": null,
        "dstPort": null,
        "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
        "eventType": "REGVALUEMODIFIED",
        "hitType": "Events",
        "incidentStatus": "Unresolved",
        "indicatorCategory": null,
        "indicatorDescription": null,
        "indicatorName": null,
        "isEdr": true,
        "loginAccountDomain": null,
        "loginAccountSid": null,
        "loginIsAdministratorEquivalent": null,
        "loginIsSuccessful": null,
        "loginType": null,
        "loginsUserName": null,
        "modulePath": null,
        "moduleSha1": null,
        "netEventDirection": null,
        "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryOldValue": "0060030100000000",
        "registryOldValueType": "BINARY",
        "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryValue": "0070030100000000",
        "reportedAt": "2024-05-11T00:27:33.873767Z",
        "source": "STAR",
        "srcIp": null,
        "srcMachineIp": null,
        "srcPort": null,
        "tiIndicatorComparisonMethod": null,
        "tiIndicatorSource": null,
        "tiIndicatorType": null,
        "tiIndicatorValue": null,
        "updatedAt": "2025-05-12T18:41:08.366615Z"
    },
    "containerInfo": {
        "id": null,
        "image": null,
        "labels": null,
        "name": null
    },
    "kubernetesInfo": {
        "cluster": null,
        "controllerKind": null,
        "controllerLabels": null,
        "controllerName": null,
        "namespace": null,
        "namespaceLabels": null,
        "node": null,
        "pod": null,
        "podLabels": null
    },
    "ruleInfo": {
        "description": null,
        "id": "1763599692710649014",
        "name": "Registry Value Modified",
        "queryLang": "1.0",
        "queryType": "events",
        "s1ql": "EventType = \"Registry Value Modified\"",
        "scopeLevel": "account",
        "severity": "Critical",
        "treatAsThreat": "UNDEFINED"
    },
    "sourceParentProcessInfo": {
        "commandline": "C:\\Windows\\system32\\services.exe",
        "effectiveUser": null,
        "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
        "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
        "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
        "filePath": "C:\\Windows\\System32\\services.exe",
        "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "services.exe",
        "pid": "896",
        "pidStarttime": "2024-04-26T17:33:41.962000Z",
        "realUser": null,
        "storyline": "DD880F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "DC880F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "sourceProcessInfo": {
        "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
        "effectiveUser": null,
        "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
        "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
        "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
        "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
        "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "cyserver.exe",
        "pid": "3204",
        "pidStarttime": "2024-04-26T17:34:17.273000Z",
        "realUser": null,
        "storyline": "74890F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "73890F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "targetProcessInfo": {
        "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
        "tgtFileHashSha1": null,
        "tgtFileHashSha256": null,
        "tgtFileId": null,
        "tgtFileIsSigned": "signed",
        "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
        "tgtFileOldPath": null,
        "tgtFilePath": null,
        "tgtProcCmdLine": null,
        "tgtProcImagePath": null,
        "tgtProcIntegrityLevel": "unknown",
        "tgtProcName": null,
        "tgtProcPid": null,
        "tgtProcSignedStatus": null,
        "tgtProcStorylineId": null,
        "tgtProcUid": null,
        "tgtProcessStartTime": "1970-01-01T00:00:00Z"
    }
}

SentinelOne – Threats Connector

Verwenden Sie den SentinelOne – Threats Connector, um Bedrohungen von SentinelOne aufzunehmen.

Mit dem Connector können Sie Benachrichtigungen anhand dynamischer Listen filtern.

Der SentinelOne – Threats Connector filtert Benachrichtigungen mit dem Parameter alert_name.

Wenn Sie den Parameter Use whitelist as a blacklist auswählen, werden vom Connector nur Benachrichtigungen erfasst, deren alert_name mit keinem Wert in der dynamischen Liste übereinstimmt.

Wenn Sie keine alert_name-Werte in der dynamischen Liste konfigurieren, werden alle Benachrichtigungen vom Connector aufgenommen.

Wenn Sie den Parameter Use whitelist as a blacklist nicht auswählen, werden über den Connector nur Benachrichtigungen erfasst, deren alert_name mit einem Wert in der dynamischen Liste übereinstimmt.

Connector-Eingaben

Für den SentinelOne – Threats Connector sind die folgenden Parameter erforderlich:

Connector-Regeln

Der Connector unterstützt Proxys.

Der Connector unterstützt Zulassungs- und Sperrlisten.

Connector-Ereignisse

Hier ist ein Beispiel für ein Connector-Ereignis:

{
    "data": [
        {
            "accountId": "ACCOUNT_ID",
            "accountName": "SentinelOne",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "203.0.113.180",
            "agentIsActive": false,
            "agentIsDecommissioned": true,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connecting",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "annotationUrl": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "COLLECTION_ID",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "MALICED_GROUP_ID",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": false,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": null
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-04-02T14:51:21.901754Z",
            "username": "DESKTOP-example\\username",
            "whiteningOptions": [
                "hash"
            ]
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 161
    }
}