Integrar SentinelOne v2 con Google SecOps
Versión de integración: 37.0
En este documento se explica cómo configurar e integrar SentinelOne v2 con Google Security Operations (Google SecOps).
Esta integración usa la API 2.0 de SentinelOne.
Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el segmento de Cloud Storage.
Casos prácticos
La integración de SentinelOne puede ayudarte a resolver los siguientes casos prácticos:
Contener los endpoints infectados: usa las funciones de Google SecOps para aislar un host infectado y evitar el movimiento lateral y la exfiltración de datos.
Obtener información detallada sobre los endpoints: usa las funciones de Google SecOps para enriquecer los datos de los incidentes con análisis detallados de los hosts y, así, mejorar el contexto y la toma de decisiones. Puedes consultar automáticamente SentinelOne para obtener información detallada sobre un endpoint implicado en una alerta, como la versión del agente, el sistema operativo y las interfaces de red.
Iniciar análisis de visibilidad profunda: usa las funciones de Google SecOps para buscar amenazas y malware oculto en máquinas sospechosas e iniciar un análisis completo del disco con SentinelOne cuando se detecte actividad sospechosa, como modificaciones inusuales de archivos o cambios en el registro.
Investiga amenazas con inteligencia sobre amenazas: usa las funciones de Google SecOps para mejorar la precisión correlacionando las alertas de SentinelOne con datos de inteligencia sobre amenazas, reenvía hashes, rutas de archivos o direcciones IP sospechosos encontrados en las alertas de SentinelOne a plataformas de inteligencia sobre amenazas.
Triaje de malware: usa las funciones de Google SecOps para clasificar automáticamente el malware con herramientas de análisis estático y agilizar la respuesta a incidentes. Puedes extraer muestras de endpoints infectados, activar el análisis en tu entorno y recibir la clasificación del malware en función del análisis estático.
Antes de empezar
Para usar la integración de SentinelOne v2, necesitas un token de API de SentinelOne.
Para generar el token de API, sigue estos pasos:
En la consola de gestión de SentinelOne, vaya a Configuración > Usuarios.
Haz clic en tu nombre de usuario.
Ve a Acciones > Operaciones con tokens de API.
Haz clic en Generar token de API. Copia el token de la API y úsalo para configurar la integración. El token de API generado tiene una validez de seis meses.
Parámetros de integración
La integración de SentinelOne v2 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API root |
Obligatorio. La raíz de la API de SentinelOne. El valor predeterminado es |
API Token |
Obligatorio. Token de API de SentinelOne. Para obtener más información sobre cómo generar el token de API para la integración, consulta la sección Antes de empezar. La política de seguridad de SentinelOne requiere que crees un nuevo token de API cada seis meses. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor Sentinel. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Añadir nota de amenaza
Usa la acción Añadir nota de amenaza para añadir una nota a la amenaza en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Añadir nota de amenaza requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. ID de la amenaza a la que se va a añadir una nota. |
Note |
Obligatorio. Una nota que añadir a la amenaza. |
Resultados de la acción
La acción Añadir nota de amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Añadir nota de amenaza puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir nota de amenaza:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Crear registro de lista negra de hashes
Usa la acción Crear registro de lista negra de hashes para añadir hashes a una lista de bloqueo en SentinelOne.
Esta acción solo admite hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acciones
La acción Crear registro de lista negra de hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Operating System |
Obligatorio. Un sistema operativo para el hash. Los valores posibles son los siguientes:
El valor predeterminado es |
Site IDs |
Opcional. Lista de IDs de sitios separados por comas que se enviarán a la lista de bloqueo. |
Group IDs |
Opcional. Lista de IDs de grupos separados por comas que se van a enviar a la lista de bloqueo. |
Account IDs |
Opcional. Lista de IDs de cuenta separados por comas que se enviarán a la lista de bloqueo. |
Description |
Opcional. Información adicional relacionada con un hash. El valor predeterminado es |
Add to global blocklist |
Obligatorio. Si se selecciona, la acción añade un hash a una lista de bloqueo global. Si selecciona este parámetro, la acción ignora los parámetros |
Resultados de la acción
La acción Crear registro de lista negra de hashes proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Crear registro de lista negra de hashes:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Mensajes de salida
La acción Crear registro de lista negra de hashes puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Crear registro de lista negra de hashes:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Crear registro de exclusión de hash
Utilice la acción Crear registro de exclusión de hash para añadir un hash a la lista de exclusión de SentinelOne.
Esta acción solo admite hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acciones
La acción Crear registro de exclusión de hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Operation System |
Obligatorio. Un sistema operativo para el hash. Estos son los valores posibles:
El valor predeterminado es |
Site IDs |
Opcional. Lista de IDs de sitios separados por comas a los que enviar el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Group IDs |
Opcional. Lista de IDs de grupos separados por comas para enviar el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Account IDs |
Opcional. Lista de IDs de cuenta separados por comas a los que se enviará el hash a la lista de exclusión. |
Description |
Opcional. Información adicional relacionada con el hash. |
Add to global exclusion list |
Opcional. Si se selecciona, la acción añade un hash a la lista de exclusión global. Si selecciona este parámetro, la acción ignora los parámetros |
Resultados de la acción
La acción Crear registro de exclusión de hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Create Hash Exclusion Record (Crear registro de exclusión de hash):
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensajes de salida
La acción Crear registro de exclusión de hash puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Crear registro de exclusión de hash:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Crear registro de exclusión de ruta
Usa la acción Create Path Exclusion Record (Crear registro de exclusión de ruta) para añadir una ruta a la lista de exclusiones de SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Crear registro de exclusión de ruta requiere los siguientes parámetros:
El valor predeterminado es Suppress Alerts.
| Parámetro | Descripción |
|---|---|
Path |
Obligatorio. Ruta que se va a añadir a la lista de exclusión. |
Operation System |
Obligatorio. Un sistema operativo para el hash. Estos son los valores posibles:
El valor predeterminado es |
Site IDs |
Opcional. Lista de IDs de sitios separados por comas a los que enviar el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Group IDs |
Opcional. Lista de IDs de grupos separados por comas para enviar el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Account IDs |
Opcional. Lista de IDs de cuenta separados por comas a los que se enviará el hash a la lista de exclusión. |
Description |
Opcional. Información adicional relacionada con el hash. |
Add to global exclusion list |
Opcional. Si se selecciona, la acción añade un hash a la lista de exclusión global. Si selecciona este parámetro, la acción ignora los parámetros |
Include Subfolders |
Opcional. Si se selecciona, la acción incluye las subcarpetas de la ruta proporcionada. Este parámetro solo se aplica si configura una ruta de carpeta en el parámetro |
Mode |
Opcional. Modo que se va a usar en la ruta excluida. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Crear registro de exclusión de ruta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Crear registro de exclusión de ruta:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensajes de salida
La acción Crear registro de exclusión de ruta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Crear registro de exclusión de ruta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Eliminar registro de lista negra de hashes
Usa la acción Eliminar registro de lista negra de hashes para eliminar hashes de una lista de bloqueo en SentinelOne.
Esta acción solo admite los hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acciones
La acción Eliminar registro de lista negra de hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Site IDs |
Opcional. Lista de IDs de sitios separados por comas para quitar el hash. |
Group IDs |
Opcional. Lista de IDs de grupos separados por comas para quitar el hash. |
Account IDs |
Opcional. Lista de IDs de cuenta separados por comas para eliminar el hash. |
Remove from global black list |
Opcional. Si se selecciona esta opción, la acción elimina el hash de la lista de bloqueo global. Si selecciona este parámetro, la acción ignora los parámetros |
Resultados de la acción
La acción Eliminar registro de lista negra de hashes proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Eliminar registro de lista negra de hashes puede devolver los siguientes mensajes:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar registro de lista negra de hashes:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Desconectar agente de la red
Usa la acción Desconectar agente de la red para desconectar un agente de una red mediante el nombre de host o la dirección IP del agente.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Desconectar agente de la red proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Desconectar agente de la red:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Descargar archivo de amenaza
Usa la acción Descargar archivo de amenaza para descargar un archivo relacionado con una amenaza en SentinelOne.
Para recuperar archivos de amenazas en SentinelOne, necesitas uno de los siguientes roles:
AdminIR TeamSOC
Esta acción no se ejecuta en entidades de Google SecOps.
Limitaciones de las acciones
La acción Descargar archivo de amenaza puede agotar el tiempo de espera cuando SentinelOne obtiene un archivo, pero no proporciona una URL de descarga.
Para investigar la causa del tiempo de espera, ve a la cronología de amenazas.
Entradas de acciones
La acción Descargar archivo de amenaza requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. ID de la amenaza para descargar un archivo. |
Password |
Obligatorio. Una contraseña para la carpeta comprimida que contiene el archivo de amenaza. Estos son los requisitos de las contraseñas:
La longitud máxima de la contraseña es de 256 caracteres. |
Download Folder Path |
Obligatorio. Ruta a una carpeta donde almacenar el archivo de amenazas. |
Overwrite |
Obligatorio. Si se selecciona esta opción, la acción sobrescribe un archivo con el mismo nombre. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo de amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Descargar archivo de amenaza:
{
"absolute_path": "ABSOLUTE_PATH"
}
Mensajes de salida
La acción Descargar archivo de amenaza puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Descargar archivo de amenazas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Endpoints de enriquecimiento
Usa la acción Enrich Endpoints (Enriquecer endpoints) para ampliar la información sobre el endpoint con la dirección IP o el nombre de host.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción Enrich Endpoints requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística con información sobre los endpoints. |
Only Infected Endpoints Insights |
Opcional. Si se selecciona, la acción solo crea estadísticas de los endpoints infectados. |
Resultados de la acción
La acción Enrich Endpoints (Enriquecer endpoints) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich Endpoints (Enriquecer puntos finales):
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Mensajes de salida
La acción Enrich Endpoints puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich Endpoints (Enriquecer endpoints):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener estado del agente
Usa la acción Get Agent Status (Obtener estado del agente) para obtener información sobre el estado de los agentes en los endpoints en función de la entidad proporcionada.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener estado del agente proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Obtener estado del agente:
{
"status": "Not active"
}
Mensajes de salida
La acción Obtener estado del agente puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener estado del agente:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener lista de aplicaciones de un endpoint
Usa la acción Get Application List for Endpoint (Obtener lista de aplicaciones de un endpoint) para recuperar información sobre las aplicaciones disponibles en un endpoint mediante las entidades proporcionadas.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción Get Application List for Endpoint (Obtener lista de aplicaciones de un endpoint) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Applications To Return |
Opcional. Número máximo de aplicaciones que se devolverán. Si no defines ningún número, la acción devuelve todas las aplicaciones disponibles. |
Resultados de la acción
La acción Obtener lista de aplicaciones de un endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Application List for Endpoint (Obtener lista de aplicaciones de un endpoint):
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Mensajes de salida
La acción Get Application List for Endpoint (Obtener lista de aplicaciones de un endpoint) puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener lista de aplicaciones del endpoint:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Blacklist
Usa la acción Get Blacklist para obtener una lista de todos los elementos disponibles en la lista de bloqueo de SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Blacklist requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hash |
Opcional. Lista separada por comas de los hashes que se van a comprobar en la lista de bloqueadas. La acción solo devuelve los hashes que se han encontrado. Si
define |
Site IDs |
Opcional. Lista de IDs de sitio separados por comas para devolver elementos de la lista de bloqueadas. |
Group IDs |
Opcional. Lista de IDs de grupos separados por comas para devolver elementos de la lista de bloqueadas. |
Account Ids |
Opcional. Lista de IDs de cuentas separados por comas para devolver elementos de la lista de bloqueo. |
Limit |
Opcional. Número de elementos de la lista de bloqueo que se van a devolver. Si define el parámetro El valor máximo es El valor predeterminado es |
Query |
Opcional. Una consulta para filtrar los resultados. |
Use Global Blacklist |
Opcional. Si se selecciona esta opción, la acción devuelve los hashes de una lista de bloqueo global. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Obtener lista negra proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Get Blacklist puede devolver la siguiente tabla:
Nombre de la tabla: Blocklist Hashes
Columnas de la tabla:
- Hash
- Ámbito
- Descripción
- Sistema operativo
- Usuario
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Blacklist (Obtener lista negra):
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Mensajes de salida
La acción Get Blacklist puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Blacklist (Obtener lista negra):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Deep Visibility Query Result
Usa la acción Get Deep Visibility Query Result para obtener información sobre los resultados de las consultas de Visibilidad profunda.
Ejecuta esta acción junto con la acción Iniciar consulta de visibilidad profunda.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Deep Visibility Query Result requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query ID |
Obligatorio. ID de la consulta de la que se devolverán los resultados. El valor de ID está disponible en el resultado JSON de la acción Iniciar consulta de visibilidad profunda como el parámetro |
Limit |
Opcional. Número de eventos que se van a devolver. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Get Deep Visibility Query Result (Obtener resultado de consulta de visibilidad detallada) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener resultado de consulta de visibilidad detallada puede devolver la siguiente tabla:
Nombre de la tabla: Eventos de SentinelOne
Columnas de la tabla:
- Tipo de evento
- Nombre del sitio
- Hora
- SO del agente
- ID de proceso
- UID de proceso
- Nombre del proceso
- MD5
- SHA256
Mensajes de salida
La acción Get Deep Visibility Query Result puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully found events for query: QUERY_ID. |
La acción se ha realizado correctamente. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener resultado de consulta de visibilidad profunda:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener eventos de las horas de retroceso del endpoint
Usa la acción Get Events for Endpoint Hours Back para obtener información sobre los eventos más recientes de un endpoint.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción Get Events for Endpoint Hours Back requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hours Back |
Obligatorio. Número de horas anteriores a la hora actual para obtener eventos. |
Events Amount Limit |
Opcional. El número máximo de eventos que se devolverán por cada tipo de evento. El valor predeterminado es |
Include File Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Include Indicator Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Include DNS Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Include Network Actions Events Information |
Opcional. Si se selecciona, la acción consulta información sobre los eventos |
Include URL Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Include Registry Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Include Scheduled Task Events Information |
Opcional. Si se selecciona, la acción consulta información sobre
|
Resultados de la acción
La acción Obtener eventos de las horas anteriores del endpoint proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Get Events for Endpoint Hours Back (Obtener eventos de las últimas horas de un endpoint):
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Mensajes de salida
La acción Get Events for Endpoint Hours Back puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Get Events for Endpoint Hours Back (Obtener eventos de las horas anteriores del endpoint):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del grupo
Usa la acción Get Group Details para obtener información detallada sobre los grupos proporcionados.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles del grupo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Group Names |
Obligatorio. Nombres de los grupos de los que quieres obtener los detalles. Este parámetro acepta varios valores en una lista separada por comas. |
Resultados de la acción
La acción Obtener detalles del grupo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Get Group Details puede devolver la siguiente tabla:
Nombre de la tabla: SentinelOne Groups
Columnas de la tabla:
- ID
- Nombre
- Tipo
- Clasificación
- Creator
- Hora de creación
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Group Details (Obtener detalles del grupo):
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Mensajes de salida
La acción Get Group Details (Obtener detalles del grupo) puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del grupo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Hash Reputation
(Obsoleto) Usa la acción Get Hash Reputation para obtener información sobre hashes de SentinelOne.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acciones
La acción Obtener reputación de hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reputation Threshold |
Opcional. Umbral de reputación para marcar una entidad como sospechosa. Si no define ningún valor, la acción no marcará ninguna entidad como sospechosa. El valor máximo es El valor predeterminado es |
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene información sobre la reputación. |
Only Suspicious Hashes Insight |
Opcional. Si se selecciona esta opción, la acción solo crea una estadística para los hashes cuya reputación sea igual o superior al valor |
Resultados de la acción
La acción Obtener reputación de hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla de enriquecimiento
La acción Obtener reputación de hash puede enriquecer los siguientes campos:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
SENO_reputation |
Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener reputación de hash:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener lista de procesos de un endpoint (obsoleto)
Obtener estado del sistema
Usa la acción Obtener estado del sistema para consultar el estado de un sistema.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener estado del sistema proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Obtener estado del sistema:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener estado del sistema:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener versión del sistema
Usa la acción Obtener versión del sistema para obtener la versión de un sistema.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener versión del sistema proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener versión del sistema:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Threats
Usa la acción Get Threats para obtener información sobre las amenazas en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Threats requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Mitigation Status |
Opcional. Lista de estados de amenazas separados por comas. La acción solo devuelve las amenazas que coinciden con los estados configurados. Estos son los valores posibles:
|
Created until |
Opcional. La hora de finalización de las amenazas, como
|
Created from |
Opcional. La hora de inicio de las amenazas, como
|
Resolved Threats |
Opcional. Si se selecciona esta opción, la acción solo devuelve las amenazas resueltas. |
Threat Display Name |
Opcional. Nombre visible de la amenaza que se va a devolver. |
Limit |
Opcional. Número de amenazas que se van a devolver. El valor predeterminado es |
API Version |
Opcional. Versión de la API que se usará en la acción. Si no define ningún valor, la acción usará la versión 2.1. La versión de la API influye en la estructura del resultado JSON. Te recomendamos que definas la versión más reciente de la API. Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Obtener amenazas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Get Threats (Obtener amenazas):
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Mensajes de salida
La acción Get Threats puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Threats". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener amenazas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Iniciar una consulta de visibilidad detallada
Usa la acción Iniciar consulta de visibilidad profunda para iniciar una búsqueda de consulta de visibilidad profunda.
Esta acción devuelve el valor del ID de consulta que requiere la acción Get Deep Visibility Query Result.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Iniciar consulta de visibilidad profunda requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Consulta de la búsqueda. Para obtener más información sobre la sintaxis de las consultas, consulta la hoja de referencia de Deep Visibility de SentinelOne. |
Start Date |
Opcional. Fecha de inicio de la búsqueda. Si no define ningún valor, la acción recupera los eventos de los 30 días anteriores a la fecha actual de forma predeterminada. |
End Date |
Opcional. Fecha de finalización de la búsqueda. Si no define ningún valor, la acción usará la hora actual. |
Resultados de la acción
La acción Iniciar consulta de visibilidad profunda proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Iniciar consulta de visibilidad detallada:
[
{
"query_id": "QUERY_ID"
}
]
Mensajes de salida
La acción Initiate Deep Visibility Query puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Iniciar consulta de visibilidad profunda:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Iniciar análisis completo
Usa la acción Iniciar análisis completo para iniciar un análisis completo del disco en un endpoint de SentinelOne.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Iniciar análisis completo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Iniciar análisis completo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Iniciar análisis completo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar sitios
Usa la acción List Sites para enumerar los sitios disponibles en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List Sites requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Opcional. La clave para filtrar sitios. Estos son los valores posibles:
El valor predeterminado es |
Filter Logic |
Opcional. La lógica de filtro que se va a aplicar. La lógica del filtro usa el valor definido en el parámetro Los valores posibles son los siguientes:
El valor predeterminado es |
Filter Value |
Opcional. El valor que se debe usar en el filtro. La lógica del filtro usa el valor definido en el parámetro Si seleccionas Si selecciona
Si no define ningún valor, la acción ignora el filtro. |
Max Records To Return |
Opcional. Número de registros que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Sites (Mostrar sitios) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción List Sites puede devolver la siguiente tabla:
Nombre de la tabla: Available Sites
Columnas de la tabla:
- Nombre
- ID
- Creator
- Caducidad
- Tipo
- Estado
Mensajes de salida
La acción List Sites puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "List Sites". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Sites (Listar sitios):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Marcar como amenaza
Usa la acción Marcar como amenaza para marcar las amenazas sospechosas como amenazas verdaderas en SentinelOne.
Para marcar amenazas en SentinelOne, necesitas uno de los siguientes roles:
AdminIR TeamSOC
Solo puedes marcar como amenazas las detecciones sospechosas.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Marcar como amenaza requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat IDs |
Obligatorio. Lista de IDs de detecciones separadas por comas que se van a marcar como amenazas. |
Resultados de la acción
La acción Marcar como amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Marcar como amenaza:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Mensajes de salida
La acción Marcar como amenaza puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Marcar como amenaza:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mitigar la amenaza
Usa la acción Mitigar amenaza para ejecutar acciones de mitigación en las amenazas de SentinelOne.
Para mitigar las amenazas en SentinelOne, necesitas uno de los siguientes roles:
AdminIR TeamSOC
La restauración solo se aplica a Windows. La corrección de amenazas solo se aplica a macOS y Windows.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Mitigate Threat requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Mitigation action |
Obligatorio. Una acción de mitigación para las amenazas detectadas. Estos son los valores posibles:
El valor predeterminado es |
Threat IDs |
Obligatorio. Lista separada por comas de IDs de amenazas que se van a mitigar. |
Resultados de la acción
La acción Mitigar amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Mitigate Threat (Mitigar amenaza):
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Mensajes de salida
La acción Mitigate Threat (Mitigar amenaza) puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Mitigate Threat (Mitigar amenaza):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mover agentes
Usa la acción Mover agentes para mover agentes al grupo proporcionado desde el mismo sitio.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
La acción Mover agentes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Group ID |
Opcional. El ID del grupo al que se van a mover los agentes. |
Group Name |
Opcional. El nombre del grupo al que se van a mover los agentes. Si configura tanto el parámetro |
Resultados de la acción
La acción Mover agentes proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Mover agentes puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Mover agentes:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Volver a conectar el agente a la red
Usa la acción Volver a conectar el agente a la red para volver a conectar un endpoint desconectado a una red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acciones
Ninguno
Resultados de la acción
La acción Volver a conectar el agente a la red proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Volver a conectar el agente a la red:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Resolver amenaza
Usa la acción Resolver amenaza para resolver amenazas en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Resolver amenaza requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat IDs |
Obligatorio. Lista de IDs de amenazas separadas por comas que se van a resolver. |
Annotation |
Opcional. Una justificación para resolver la amenaza. |
Resultados de la acción
La acción Resolver amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Resolver amenaza:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Mensajes de salida
La acción Resolver amenaza puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Resolver amenaza:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Actualizar alerta para actualizar la alerta de la amenaza en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Actualizar alerta requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. ID de la alerta que se va a actualizar. |
Status |
Opcional. Estado de la alerta. Estos son los valores posibles:
|
Verdict |
Opcional. El veredicto de la alerta. Estos son los valores posibles:
|
Resultados de la acción
La acción Actualizar alerta proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se reciben al usar la acción Update Alert (Actualizar alerta):
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Mensajes de salida
La acción Actualizar alerta puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
La acción se ha realizado correctamente. |
Error executing action "Update Alert". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Actualizar alerta:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Update Analyst Verdict
Usa la acción Update Analyst Verdict (Actualizar veredicto del analista) para actualizar el veredicto del analista de la amenaza en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Update Analyst Verdict requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. Lista separada por comas de IDs de amenazas para actualizar el veredicto del analista. |
Analyst Verdict |
Obligatorio. Un veredicto de analista. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Actualizar veredicto del analista proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Actualizar veredicto del analista puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Actualizar veredicto del analista:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Actualizar estado de incidente
Usa la acción Actualizar estado del incidente para actualizar el estado del incidente de amenaza en SentinelOne.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Actualizar estado del incidente requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. Lista separada por comas de IDs de amenazas para actualizar el estado del incidente. |
Status |
Obligatorio. Estado del incidente. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update Incident Status (Actualizar estado del incidente) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Actualizar estado del incidente puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Update Incident Status (Actualizar estado del incidente):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
SentinelOne - Conector de alertas
Usa el conector de alertas de SentinelOne para ingerir alertas de SentinelOne.
El conector le permite filtrar las alertas mediante una lista dinámica basada en el parámetro ruleInfo.name. El comportamiento de esta lista depende del parámetro Use dynamic list as a blocklist.
Si no seleccionas
Use dynamic list as a blocklist:La lista dinámica funciona como una lista blanca. El conector solo ingiere alertas cuyo
ruleInfo.namecoincide con un valor de la lista. Si la lista está vacía, no se ingiere ninguna alerta.Si seleccionas
Use dynamic list as a blocklist:La lista dinámica funciona como una lista de bloqueo. El conector ingiere todas las alertas, excepto aquellas cuyo
ruleInfo.namecoincida con un valor de la lista. Si la lista está vacía, se ingieren todas las alertas.
Parámetros del conector
El conector de alertas de SentinelOne requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. El valor predeterminado es |
PythonProcessTimeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de SentinelOne. |
API Token |
Obligatorio. Token de API de SentinelOne. |
Status Filter |
Opcional. Lista separada por comas de los estados de las alertas que se van a ingerir. Estos son los valores posibles:
Si no se proporciona ningún valor, el conector obtiene las alertas con los estados |
Case Name Template |
Opcional. Plantilla para definir un nombre de caso personalizado. El conector añade una clave Puede usar marcadores de posición con el formato FIELD_NAME, que se rellenan con los valores de cadena del primer evento. Ejemplo: |
Alert Name Template |
Opcional. Plantilla para definir el nombre de la alerta. Puede usar marcadores de posición con el formato FIELD_NAME, que se rellenan con los valores de cadena del primer evento. Ejemplo: Si no se proporciona ningún valor o la plantilla no es válida, el conector utiliza un nombre de alerta predeterminado. |
Lowest Severity To Fetch |
Opcional. La gravedad más baja de las alertas que se van a obtener. Si no configura este parámetro, el conector ingiere alertas con todos los niveles de gravedad. Estos son los valores posibles:
Si no se proporciona ningún valor, se ingieren todas las gravedades. |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a la hora actual para obtener alertas. El valor predeterminado es |
Max Alerts To Fetch |
Obligatorio. Número máximo de alertas que se procesarán en cada iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está habilitada de forma predeterminada. |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está habilitada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de SentinelOne. Esta opción está habilitada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
Estructura de las alertas
En la siguiente tabla se describe la asignación de campos de alertas de SentinelOne a campos de alertas de Google SecOps:
| Campo de alerta de Siemplify | Campo de alerta de SentinelOne (clave JSON de la API) |
|---|---|
SourceSystemName |
Rellenado por el framework. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Codificado: SentinelOne |
DeviceProduct |
Valor alternativo: Alerts |
Priority |
Mapeado de ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Mapeado de ruleInfo.severity |
Risk Score |
Representación entera de la gravedad |
StartTime |
Convertida de alertInfo.createdAt |
EndTime |
Convertida de alertInfo.createdAt |
Siemplify Alert - Extensions |
N/A |
Siemplify Alert - Attachments |
N/A |
Eventos del conector
A continuación, se muestra un ejemplo de evento de conector:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - Threats Connector
Usa el conector SentinelOne - Threats para ingerir amenazas de SentinelOne.
El conector le permite filtrar las alertas en función de listas dinámicas.
El conector SentinelOne - Amenazas filtra las alertas mediante el parámetro alert_name.
Si selecciona el parámetro Use whitelist as a blacklist, el conector solo ingiere las alertas cuyo alert_name no coincida con ningún valor de la lista dinámica.
Si no configura los valores de alert_name en la lista dinámica, el conector ingiere todas las alertas.
Si no selecciona el parámetro Use whitelist as a blacklist, el conector solo ingiere alertas cuyo alert_name coincida con un valor de la lista dinámica.
Entradas de conectores
El conector SentinelOne - Threats requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de SentinelOne. El valor predeterminado es |
API Token |
Obligatorio. Token de API de SentinelOne. |
API Version |
Opcional. La versión de la API de SentinelOne que debe usar el conector. Si no define ningún valor, el conector usará la versión 2.0 de la API de forma predeterminada. |
Fetch Max Days Backwards |
Opcional. Número de días anteriores a la fecha actual para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Alerts Per Cycle |
Opcional. Número máximo de alertas que se van a procesar en cada iteración del conector. El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está seleccionada de forma predeterminada. |
Use whitelist as a blacklist |
Obligatorio. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de SentinelOne. Esta opción está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Event Object Type Filter |
Opcional. Lista de objetos de evento separados por comas que se devolverán con la información sobre la amenaza. El conector usa este parámetro como filtro para devolver solo determinados objetos, como Si no define ningún valor, el conector ingiere todos los tipos de objetos de evento. |
Event Type Filter |
Opcional. Lista de tipos de eventos separados por comas que se devolverán con la información sobre la amenaza. El conector usa este parámetro como filtro
para devolver solo determinados tipos de eventos, como |
Max Events To Return |
Opcional. Número de eventos que se devolverán por cada amenaza. El valor máximo es El valor predeterminado es |
Reglas de conectores
El conector admite proxies.
El conector admite listas de URLs permitidas y bloqueadas.
Eventos del conector
A continuación, se muestra un ejemplo de evento de conector:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.