Integra SentinelOne v2 con Google SecOps
Versión de integración: 37.0
En este documento, se explica cómo configurar e integrar SentinelOne v2 con Google Security Operations (Google SecOps).
Esta integración usa la API de SentinelOne 2.0.
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.
Casos de uso
La integración de SentinelOne puede ayudarte a resolver los siguientes casos de uso:
Contén los extremos infectados: Usa las capacidades de Google SecOps para aislar un host infectado y evitar el movimiento lateral y la filtración de datos.
Recupera información detallada del endpoint: Usa las capacidades de Google SecOps para enriquecer los datos de incidentes con análisis detallados del host para mejorar el contexto y la toma de decisiones. Puedes consultar automáticamente SentinelOne para obtener información detallada sobre un extremo involucrado en una alerta, incluida la versión del agente, el sistema operativo y las interfaces de red.
Inicia análisis de visibilidad profunda: Usa las capacidades de SecOps de Google para buscar amenazas y software malicioso oculto en máquinas sospechosas, y para iniciar un análisis de disco completo con SentinelOne cuando se detecte actividad sospechosa, como modificaciones inusuales de archivos o cambios en el registro.
Investiga amenazas con inteligencia sobre amenazas: Usa las capacidades de Google SecOps para mejorar la precisión correlacionando las alertas de SentinelOne con los datos de inteligencia sobre amenazas, y reenvía los hashes, las rutas de acceso a archivos o las direcciones IP sospechosos que se encuentren en las alertas de SentinelOne a las plataformas de inteligencia sobre amenazas.
Clasifica el software malicioso: Usa las capacidades de Google SecOps para clasificar automáticamente el software malicioso con herramientas de análisis estático y optimizar la respuesta ante incidentes. Puedes extraer muestras de endpoints infectados, activar el análisis en tu entorno y recibir la clasificación del malware según el análisis estático.
Antes de comenzar
Para usar la integración de SentinelOne v2, necesitas un token de API de SentinelOne.
Para generar el token de API, completa los siguientes pasos:
En la consola de administración de SentinelOne, ve a Configuración > Usuarios.
Haz clic en tu nombre de usuario.
Ve a Actions > API Token Operations.
Haz clic en Generar token de API. Copia el token de API y úsalo para configurar la integración. El token de API generado es válido durante seis meses.
Parámetros de integración
La integración de SentinelOne v2 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API root |
Obligatorio. Es la raíz de la API de SentinelOne. El valor predeterminado es |
API Token |
Obligatorio. Es el token de la API de SentinelOne. Para obtener más información sobre cómo generar el token de API para la integración, consulta Antes de comenzar. La política de seguridad de SentinelOne requiere que crees un token de API nuevo cada seis meses. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Sentinel. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Agregar nota de amenaza
Usa la acción Add Threat Note para agregar una nota a la amenaza en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Add Threat Note requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. ID de la amenaza a la que se agregará una nota. |
Note |
Obligatorio. Es una nota que se agrega a la amenaza. |
Resultados de la acción
La acción Add Threat Note proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Threat Note puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Add Threat Note:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Crea un registro de lista negra de hash
Usa la acción Create Hash Black List Record para agregar hashes a una lista de bloqueo en SentinelOne.
Esta acción solo admite hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acción
La acción Create Hash Black List Record requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Operating System |
Obligatorio. Es un sistema operativo para el hash. Los valores posibles son los siguientes:
El valor predeterminado es |
Site IDs |
Opcional. Es una lista separada por comas de los IDs de sitios que se enviarán a la lista de bloqueo. |
Group IDs |
Opcional. Es una lista separada por comas de los IDs de grupo que se enviarán a la lista de bloqueo. |
Account IDs |
Opcional. Es una lista de los IDs de las cuentas que se enviarán a la lista de bloqueo, separados por comas. |
Description |
Opcional. Es información adicional relacionada con un hash. El valor predeterminado es |
Add to global blocklist |
Obligatorio. Si se selecciona, la acción agrega un hash a una lista de bloqueo global. Si seleccionas este parámetro, la acción ignorará los parámetros |
Resultados de la acción
La acción Create Hash Black List Record proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Hash Black List Record:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Mensajes de salida
La acción Create Hash Black List Record puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Hash Black List Record:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Crea un registro de exclusión de hash
Usa la acción Create Hash Exclusion Record para agregar un hash a la lista de exclusiones en SentinelOne.
Esta acción solo admite hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acción
La acción Create Hash Exclusion Record requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Operation System |
Obligatorio. Es un sistema operativo (SO) para el hash. Los valores posibles son los siguientes:
El valor predeterminado es |
Site IDs |
Opcional. Es una lista de IDs de sitios separados por comas a los que se enviará el hash para la lista de exclusión. La acción requiere al menos un valor válido. |
Group IDs |
Opcional. Es una lista separada por comas de los IDs de grupo a los que se enviará el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Account IDs |
Opcional. Es una lista de IDs de cuentas separados por comas a los que se enviará el hash para la lista de exclusión. |
Description |
Opcional. Es información adicional relacionada con el hash. |
Add to global exclusion list |
Opcional. Si se selecciona, la acción agrega un hash a la lista de exclusión global. Si seleccionas este parámetro, la acción ignorará los parámetros |
Resultados de la acción
La acción Create Hash Exclusion Record proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Hash Exclusion Record:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensajes de salida
La acción Create Hash Exclusion Record puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Hash Exclusion Record:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Crea un registro de exclusión de ruta de acceso
Usa la acción Create Path Exclusion Record para agregar una ruta a la lista de exclusión en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Create Path Exclusion Record requiere los siguientes parámetros:
El valor predeterminado es Suppress Alerts.
| Parámetro | Descripción |
|---|---|
Path |
Obligatorio. Es una ruta de acceso que se agregará a la lista de exclusiones. |
Operation System |
Obligatorio. Es un sistema operativo (SO) para el hash. Los valores posibles son los siguientes:
El valor predeterminado es |
Site IDs |
Opcional. Es una lista de IDs de sitios separados por comas a los que se enviará el hash para la lista de exclusión. La acción requiere al menos un valor válido. |
Group IDs |
Opcional. Es una lista separada por comas de los IDs de grupo a los que se enviará el hash a la lista de exclusión. La acción requiere al menos un valor válido. |
Account IDs |
Opcional. Es una lista de IDs de cuentas separados por comas a los que se enviará el hash para la lista de exclusión. |
Description |
Opcional. Es información adicional relacionada con el hash. |
Add to global exclusion list |
Opcional. Si se selecciona, la acción agrega un hash a la lista de exclusión global. Si seleccionas este parámetro, la acción ignorará los parámetros |
Include Subfolders |
Opcional. Si se selecciona, la acción incluye las subcarpetas de la ruta proporcionada. Este parámetro solo se aplica si configuras una ruta de acceso a la carpeta en el parámetro |
Mode |
Opcional. Es un modo que se usará para la ruta excluida. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Create Path Exclusion Record proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Path Exclusion Record:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensajes de salida
La acción Create Path Exclusion Record puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Path Exclusion Record:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Borra el registro de la lista negra de hash
Usa la acción Delete Hash Blacklist Record para borrar hashes de una lista de bloqueo en SentinelOne.
Esta acción solo admite hashes SHA-1.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acción
La acción Delete Hash Blacklist Record requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Site IDs |
Opcional. Es una lista de IDs de sitios separados por comas para quitar el hash. |
Group IDs |
Opcional. Es una lista de IDs de grupos separados por comas para quitar el hash. |
Account IDs |
Opcional. Es una lista de IDs de cuentas separados por comas para quitar el hash. |
Remove from global black list |
Opcional. Si se selecciona, la acción quita el hash de la lista de bloqueo global. Si seleccionas este parámetro, la acción ignorará los parámetros |
Resultados de la acción
La acción Delete Hash Blacklist Record proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Delete Hash Blacklist Record puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Delete Hash Blacklist Record:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Desconectar el agente de la red
Usa la acción Disconnect Agent From Network para desconectar un agente de una red con el nombre de host o la dirección IP del agente.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Disconnect Agent From Network proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Disconnect Agent From Network:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Descargar archivo de amenaza
Usa la acción Download Threat File para descargar un archivo relacionado con una amenaza en SentinelOne.
Para recuperar archivos de amenazas en SentinelOne, necesitas cualquiera de los siguientes roles:
AdminIR TeamSOC
Esta acción no se ejecuta en las entidades de Google SecOps.
Limitaciones de acción
La acción Download Threat File puede alcanzar el tiempo de espera cuando SentinelOne recupera un archivo, pero no proporciona una URL de descarga.
Para investigar la causa del tiempo de espera agotado, ve a la línea de tiempo de amenazas.
Entradas de acción
La acción Download Threat File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. Es el ID de la amenaza para descargar un archivo. |
Password |
Obligatorio. Contraseña de la carpeta comprimida que contiene el archivo de amenaza. Los requisitos de la contraseña son los siguientes:
La longitud máxima de la contraseña es de 256 caracteres. |
Download Folder Path |
Obligatorio. Es la ruta de acceso a una carpeta para almacenar el archivo de amenazas. |
Overwrite |
Obligatorio. Si se selecciona, la acción reemplaza un archivo con el mismo nombre. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Download Threat File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Download Threat File:
{
"absolute_path": "ABSOLUTE_PATH"
}
Mensajes de salida
La acción Download Threat File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Download Threat File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Endpoints de enriquecimiento
Usa la acción Enrich Endpoints para enriquecer la información sobre el extremo con la dirección IP o el nombre de host.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
La acción Enrich Endpoints requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística con información sobre los extremos. |
Only Infected Endpoints Insights |
Opcional. Si se selecciona, la acción solo crea estadísticas para los endpoints infectados. |
Resultados de la acción
La acción Enrich Endpoints proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Endpoints:
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Mensajes de salida
La acción Enrich Endpoints puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Endpoints:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener el estado del agente
Usa la acción Get Agent Status para recuperar información sobre el estado de los agentes en los extremos según la entidad proporcionada.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Agent Status proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Agent Status:
{
"status": "Not active"
}
Mensajes de salida
La acción Get Agent Status puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Get Agent Status:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén la lista de aplicaciones para el extremo
Usa la acción Get Application List for Endpoint para recuperar información sobre las aplicaciones disponibles en un extremo con las entidades proporcionadas.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
La acción Get Application List for Endpoint requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Applications To Return |
Opcional. Es la cantidad máxima de aplicaciones que se devolverán. Si no estableces un número, la acción devolverá todas las aplicaciones disponibles. |
Resultados de la acción
La acción Get Application List for Endpoint proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Application List for Endpoint:
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Mensajes de salida
La acción Get Application List for Endpoint puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Get Application List for Endpoint:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener lista negra
Usa la acción Get Blacklist para obtener una lista de todos los elementos disponibles en la lista de bloqueo de SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Blacklist requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hash |
Opcional. Es una lista de hashes separados por comas que se deben verificar en la lista de bloqueo. La acción solo devuelve los hashes que se encontraron. Si configuras |
Site IDs |
Opcional. Es una lista de IDs de sitios separados por comas para devolver elementos de la lista de bloqueo. |
Group IDs |
Opcional. Es una lista separada por comas de los IDs de grupo para devolver elementos de la lista de bloqueo. |
Account Ids |
Opcional. Es una lista de IDs de cuentas separados por comas para devolver elementos de la lista de bloqueo. |
Limit |
Opcional. Es la cantidad de elementos de la lista de bloqueo que se devolverán. Si configuras el parámetro El valor máximo es El valor predeterminado es |
Query |
Opcional. Es una consulta para filtrar los resultados. |
Use Global Blacklist |
Opcional. Si se selecciona, la acción devuelve hashes de una lista de bloqueo global. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Get Blacklist proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Blacklist puede devolver la siguiente tabla:
Nombre de la tabla: Hashes de la lista de bloqueo
Columnas de la tabla:
- Hash
- Alcance
- Descripción
- SO
- User
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Blacklist:
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Mensajes de salida
La acción Get Blacklist puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Blacklist:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén el resultado de la consulta de visibilidad detallada
Usa la acción Get Deep Visibility Query Result para recuperar información sobre los resultados de la consulta de Visibilidad detallada.
Ejecuta esta acción en combinación con la acción Iniciar consulta de visibilidad detallada.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Deep Visibility Query Result requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query ID |
Obligatorio. Es el ID de la búsqueda para devolver resultados. El valor del ID está disponible en el resultado JSON de la acción Initiate Deep Visibility Query como el parámetro |
Limit |
Opcional. Es la cantidad de eventos que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Get Deep Visibility Query Result proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Deep Visibility Query Result puede devolver la siguiente tabla:
Nombre de la tabla: SentinelOne Events
Columnas de la tabla:
- Tipo de evento
- Nombre del sitio
- Hora
- SO del agente
- ID del proceso
- UID del proceso
- Nombre del proceso
- MD5
- SHA256
Mensajes de salida
La acción Get Deep Visibility Query Result puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully found events for query: QUERY_ID. |
La acción se completó correctamente. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Deep Visibility Query Result:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén eventos para las horas de cierre del extremo
Usa la acción Get Events for Endpoint Hours Back para recuperar información sobre los eventos más recientes en un extremo.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
La acción Get Events for Endpoint Hours Back requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Hours Back |
Obligatorio. Cantidad de horas previas al momento actual para recuperar eventos. |
Events Amount Limit |
Opcional. Es la cantidad máxima de eventos que se devolverán para cada tipo de evento. El valor predeterminado es |
Include File Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Include Indicator Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Include DNS Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Include Network Actions Events Information |
Opcional. Si se selecciona, la acción consulta información sobre los eventos de |
Include URL Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Include Registry Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Include Scheduled Task Events Information |
Opcional. Si se selecciona, la acción consulta información sobre eventos de |
Resultados de la acción
La acción Get Events for Endpoint Hours Back proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Events for Endpoint Hours Back:
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Mensajes de salida
La acción Get Events for Endpoint Hours Back puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Events for Endpoint Hours Back:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del grupo
Usa la acción Get Group Details para recuperar información detallada sobre los grupos proporcionados.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Group Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Group Names |
Obligatorio. Nombres de grupos para recuperar detalles. Este parámetro acepta varios valores como una lista separada por comas. |
Resultados de la acción
La acción Get Group Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Group Details puede devolver la siguiente tabla:
Nombre de la tabla: SentinelOne Groups
Columnas de la tabla:
- ID
- Nombre
- Tipo
- Clasificación
- Creador
- Hora de creación
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado en JSON que se recibe cuando se usa la acción Get Group Details:
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Mensajes de salida
La acción Get Group Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Group Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener reputación de hash
(Obsoleto) Usa la acción Get Hash Reputation para recuperar información sobre hashes de SentinelOne.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Entradas de acción
La acción Get Hash Reputation requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reputation Threshold |
Opcional. Es un umbral de reputación para marcar la entidad como sospechosa. Si no estableces un valor, la acción no marcará ninguna entidad como sospechosa. El valor máximo es El valor predeterminado es |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre la reputación. |
Only Suspicious Hashes Insight |
Opcional. Si se selecciona, la acción solo crea una estadística para los hashes con una reputación superior o igual al valor de |
Resultados de la acción
La acción Get Hash Reputation proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla de enriquecimiento
La acción Get Hash Reputation puede enriquecer los siguientes campos:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
SENO_reputation |
Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Hash Reputation:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén la lista de procesos del endpoint (obsoleto)
Obtén el estado del sistema
Usa la acción Get System Status para recuperar el estado de un sistema.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get System Status proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get System Status:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Get System Status:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener la versión del sistema
Usa la acción Get System Version para recuperar la versión de un sistema.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get System Version proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get System Version:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén amenazas
Usa la acción Get Threats para recuperar información sobre las amenazas en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Threats requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Mitigation Status |
Opcional. Es una lista separada por comas de los estados de amenazas. La acción solo devuelve las amenazas que coinciden con los estados configurados. Los valores posibles son los siguientes:
|
Created until |
Opcional. Es la hora de finalización de las amenazas, como |
Created from |
Opcional. Es la hora de inicio de las amenazas, por ejemplo, |
Resolved Threats |
Opcional. Si se selecciona, la acción solo devuelve las amenazas resueltas. |
Threat Display Name |
Opcional. Es el nombre visible de la amenaza que se devolverá. |
Limit |
Opcional. Es la cantidad de amenazas que se devolverán. El valor predeterminado es |
API Version |
Opcional. Es una versión de la API que se usará en la acción. Si no estableces un valor, la acción usa la versión 2.1. La versión de la API afecta la estructura del resultado JSON. Te recomendamos que establezcas la versión de API más reciente. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Get Threats proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Threats:
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Mensajes de salida
La acción Get Threats puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Threats". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Threats:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Inicia la consulta de visibilidad detallada
Usa la acción Initiate Deep Visibility Query para iniciar una búsqueda de consulta de Visibilidad detallada.
Esta acción devuelve el valor del ID de la consulta que requiere la acción Get Deep Visibility Query Result.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Initiate Deep Visibility Query requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es una consulta para la búsqueda. Para obtener más información sobre la sintaxis de las consultas, consulta la Hoja de referencia rápida de Deep Visibility de SentinelOne. |
Start Date |
Opcional. Es la fecha de inicio de la búsqueda. Si no estableces un valor, la acción recupera eventos de 30 días antes de la fecha actual de forma predeterminada. |
End Date |
Opcional. Es la fecha de finalización de la búsqueda. Si no estableces un valor, la acción usa la hora actual. |
Resultados de la acción
La acción Initiate Deep Visibility Query proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Initiate Deep Visibility Query:
[
{
"query_id": "QUERY_ID"
}
]
Mensajes de salida
La acción Initiate Deep Visibility Query puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Initiate Deep Visibility Query:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo iniciar un análisis completo
Usa la acción Initiate Full Scan para iniciar un análisis completo del disco en un endpoint de SentinelOne.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Initiate Full Scan proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Iniciar análisis completo puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Iniciar análisis completo:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera sitios
Usa la acción List Sites para enumerar los sitios disponibles en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción List Sites requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Opcional. Es la clave para filtrar sitios. Los valores posibles son los siguientes:
El valor predeterminado es |
Filter Logic |
Opcional. Es la lógica del filtro que se aplicará. La lógica del filtro usa el valor establecido en el parámetro Los valores posibles son los siguientes:
El valor predeterminado es |
Filter Value |
Opcional. Es el valor que se usará en el filtro. La lógica del filtro usa el valor establecido en el parámetro Si seleccionas Si seleccionas Si no estableces un valor, la acción ignorará el filtro. |
Max Records To Return |
Opcional. Es la cantidad de registros que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción List Sites proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción List Sites puede devolver la siguiente tabla:
Nombre de la tabla: Available Sites
Columnas de la tabla:
- Nombre
- ID
- Creador
- Vencimiento
- Tipo
- Estado
Mensajes de salida
La acción List Sites puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "List Sites". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Sites:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Marcar como amenaza
Usa la acción Marcar como amenaza para marcar las amenazas sospechosas como amenazas de verdadero positivo en SentinelOne.
Para marcar amenazas en SentinelOne, necesitas cualquiera de los siguientes roles:
AdminIR TeamSOC
Solo puedes marcar como amenazas las detecciones sospechosas.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Marcar como amenaza requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat IDs |
Obligatorio. Es una lista separada por comas de los IDs de detección que se marcarán como amenazas. |
Resultados de la acción
La acción Marcar como amenaza proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Marcar como amenaza:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Mensajes de salida
La acción Marcar como amenaza puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Marcar como amenaza:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Mitigar la amenaza
Usa la acción Mitigate Threat para ejecutar acciones de mitigación en las amenazas de SentinelOne.
Para mitigar amenazas en SentinelOne, necesitas cualquiera de los siguientes roles:
AdminIR TeamSOC
La reversión solo se aplica a Windows. La corrección de amenazas solo se aplica a macOS y Windows.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Mitigate Threat requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Mitigation action |
Obligatorio. Es una acción de mitigación para las amenazas detectadas. Los valores posibles son los siguientes:
El valor predeterminado es |
Threat IDs |
Obligatorio. Es una lista de IDs de amenazas separados por comas que se deben mitigar. |
Resultados de la acción
La acción Mitigate Threat proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Mitigate Threat:
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Mensajes de salida
La acción Mitigate Threat puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Mitigate Threat:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Mover agentes
Usa la acción Move Agents para mover agentes al grupo proporcionado desde el mismo sitio.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
La acción Move Agents requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Group ID |
Opcional. Es el ID del grupo al que se trasladarán los agentes. |
Group Name |
Opcional. Es el nombre del grupo al que se moverán los agentes. Si configuras el parámetro |
Resultados de la acción
La acción Move Agents proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Move Agents puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Move Agents:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Vuelve a conectar el agente a la red
Usa la acción Reconnect Agent to the Network para volver a conectar un extremo desconectado a una red.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP AddressHostname
Entradas de acción
Ninguno
Resultados de la acción
La acción Reconnect Agent to the Network proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | No disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Reconnect Agent to the Network:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Resolver la amenaza
Usa la acción Resolve Threat para resolver amenazas en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Resolve Threat requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat IDs |
Obligatorio. Es una lista separada por comas de los IDs de amenazas que se deben resolver. |
Annotation |
Opcional. Es una justificación para resolver la amenaza. |
Resultados de la acción
La acción Resolve Threat proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Resolve Threat:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Mensajes de salida
La acción Resolve Threat puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Resolver amenaza:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar alerta
Usa la acción Update Alert para actualizar la alerta de la amenaza en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Alert requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Alert ID |
Obligatorio. Es el ID de la alerta que se actualizará. |
Status |
Opcional. Es el estado de la alerta. Los valores posibles son los siguientes:
|
Verdict |
Opcional. Es el veredicto de la alerta. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Update Alert proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Update Alert:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Mensajes de salida
La acción Update Alert puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
La acción se completó correctamente. |
Error executing action "Update Alert". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Update Alert:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualizar el veredicto del analista
Usa la acción Update Analyst Verdict para actualizar el veredicto del analista sobre la amenaza en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Analyst Verdict requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. Es una lista separada por comas de los IDs de amenazas para actualizar el veredicto del analista. |
Analyst Verdict |
Obligatorio. Es el veredicto de un analista. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update Analyst Verdict proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Analyst Verdict puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Update Analyst Verdict:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Actualiza el estado del incidente
Usa la acción Update Incident Status para actualizar el estado del incidente de amenaza en SentinelOne.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Update Incident Status requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Threat ID |
Obligatorio. Es una lista de IDs de amenazas separados por comas para actualizar el estado del incidente. |
Status |
Obligatorio. Es el estado de un incidente. Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Update Incident Status proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Update Incident Status puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Update Incident Status:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
SentinelOne: conector de alertas
Usa el conector de alertas de SentinelOne para transferir alertas desde SentinelOne.
El conector te permite filtrar alertas con una lista dinámica basada en el parámetro ruleInfo.name. El comportamiento de esta lista depende del parámetro Use dynamic list as a blocklist.
Si no seleccionas
Use dynamic list as a blocklist, ocurrirá lo siguiente:La lista dinámica funciona como una lista de entidades permitidas. El conector solo ingiere las alertas cuyo
ruleInfo.namecoincide con un valor de la lista. Si la lista está vacía, no se incorporan alertas.Si seleccionas
Use dynamic list as a blocklist, ocurrirá lo siguiente:La lista dinámica funciona como una lista de bloqueo. El conector ingiere todas las alertas, excepto aquellas cuyo
ruleInfo.namecoincide con un valor de la lista. Si la lista está vacía, se transfieren todas las alertas.
Parámetros del conector
El conector de alertas de SentinelOne requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. El valor predeterminado es |
PythonProcessTimeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de SentinelOne. |
API Token |
Obligatorio. Es el token de la API de SentinelOne. |
Status Filter |
Opcional. Es una lista separada por comas de los estados de alerta que se deben transferir. Los valores posibles son los siguientes:
Si no se proporciona ningún valor, el conector recupera las alertas con los estados |
Case Name Template |
Opcional. Es una plantilla para definir un nombre de caso personalizado. El conector agrega una clave Puedes usar marcadores de posición en el formato FIELD_NAME, que se completan con los valores de cadena del primer evento. Ejemplo: |
Alert Name Template |
Opcional. Es una plantilla para definir el nombre de la alerta. Puedes usar marcadores de posición en el formato FIELD_NAME, que se completan con los valores de cadena del primer evento. Ejemplo: Si no se proporciona un valor o la plantilla no es válida, el conector usa un nombre de alerta predeterminado. |
Lowest Severity To Fetch |
Opcional. Es la gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector transferirá alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
Si no se proporciona ningún valor, se incorporan todos los niveles de gravedad. |
Max Hours Backwards |
Obligatorio. Cantidad de horas anteriores a la hora actual para recuperar alertas. El valor predeterminado es |
Max Alerts To Fetch |
Obligatorio. Es la cantidad máxima de alertas que se pueden procesar en cada iteración del conector. El valor máximo es El valor predeterminado es |
Use dynamic list as a blocklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está habilitado de forma predeterminada. |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. No está habilitado de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de SentinelOne. Habilitados de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Reglas del conector
El conector admite proxies.
Estructura de la alerta
En la siguiente tabla, se describe la asignación de los campos de alerta de SentinelOne a los campos de alerta de SecOps de Google:
| Campo de alerta de Siemplify | Campo de alerta de SentinelOne (clave JSON de la API) |
|---|---|
SourceSystemName |
El framework lo completa. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Codificado: SentinelOne |
DeviceProduct |
Valor de resguardo: Alerts |
Priority |
Asignado desde ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Asignado desde ruleInfo.severity |
Risk Score |
Representación de números enteros de la gravedad |
StartTime |
Se convirtió de alertInfo.createdAt |
EndTime |
Se convirtió de alertInfo.createdAt |
Siemplify Alert - Extensions |
N/A |
Siemplify Alert - Attachments |
N/A |
Eventos del conector
El siguiente es un ejemplo de un evento de conector:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne: conector de amenazas
Usa el conector de amenazas de SentinelOne para transferir amenazas desde SentinelOne.
El conector te permite filtrar las alertas según listas dinámicas.
El conector de amenazas de SentinelOne filtra las alertas con el parámetro alert_name.
Si seleccionas el parámetro Use whitelist as a blacklist, el conector solo transferirá las alertas cuyo alert_name no coincida con ningún valor de la lista dinámica.
Si no configuras valores de alert_name en la lista dinámica, el conector ingerirá todas las alertas.
Si no seleccionas el parámetro Use whitelist as a blacklist, el conector solo transferirá las alertas cuyo alert_name coincida con un valor de la lista dinámica.
Entradas del conector
El conector de amenazas de SentinelOne requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de SentinelOne. El valor predeterminado es |
API Token |
Obligatorio. Es el token de la API de SentinelOne. |
API Version |
Opcional. Es la versión de la API de SentinelOne que usará el conector. Si no estableces un valor, el conector usa la versión 2.0 de la API de forma predeterminada. |
Fetch Max Days Backwards |
Opcional. Cantidad de días anteriores al momento actual para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Alerts Per Cycle |
Opcional. Es la cantidad máxima de alertas que se pueden procesar en cada iteración del conector. El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. No está seleccionada de forma predeterminada. |
Use whitelist as a blacklist |
Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de SentinelOne. Esta opción se selecciona de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Event Object Type Filter |
Opcional. Es una lista separada por comas de los objetos de eventos que se devolverán con la información sobre amenazas. El conector usa este parámetro como filtro para devolver solo ciertos objetos, como Si no estableces un valor, el conector transferirá todos los tipos de objetos de eventos. |
Event Type Filter |
Opcional. Es una lista separada por comas de los tipos de eventos que se devolverán con la información sobre amenazas. El conector usa este parámetro como filtro para devolver solo ciertos tipos de eventos, como |
Max Events To Return |
Opcional. Es la cantidad de eventos que se devolverán para cada amenaza. El valor máximo es El valor predeterminado es |
Reglas del conector
El conector admite proxies.
El conector admite listas de entidades permitidas y bloqueadas.
Eventos del conector
A continuación, se muestra un ejemplo del evento del conector:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.