Intégrer SentinelOne v2 à Google SecOps
Version de l'intégration : 37.0
Ce document explique comment configurer et intégrer SentinelOne v2 à Google Security Operations (Google SecOps).
Cette intégration utilise l'API SentinelOne 2.0.
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie compressée du code source complet de cette intégration à partir du bucket Cloud Storage.
Cas d'utilisation
L'intégration SentinelOne peut vous aider à résoudre les cas d'utilisation suivants :
Contenez les points de terminaison infectés : utilisez les fonctionnalités Google SecOps pour isoler un hôte infecté et empêcher les déplacements latéraux et l'exfiltration de données.
Récupérer des informations détaillées sur les points de terminaison : utilisez les fonctionnalités Google SecOps pour enrichir les données des incidents avec une analyse approfondie des hôtes afin d'obtenir un meilleur contexte et de prendre de meilleures décisions. Vous pouvez interroger automatiquement SentinelOne pour obtenir des informations détaillées sur un point de terminaison impliqué dans une alerte, y compris la version de l'agent, le système d'exploitation et les interfaces réseau.
Lancer des analyses de visibilité approfondie : utilisez les fonctionnalités Google SecOps pour rechercher les menaces et les logiciels malveillants cachés sur les machines suspectes, et lancez une analyse complète du disque à l'aide de SentinelOne lorsqu'une activité suspecte est détectée, comme des modifications de fichiers ou du registre inhabituelles.
Enquêter sur les menaces grâce au renseignement sur les menaces : utilisez les fonctionnalités de Google SecOps pour améliorer la précision en corrélant les alertes SentinelOne avec les données de renseignement sur les menaces, transférez les hachages, les chemins d'accès aux fichiers ou les adresses IP suspects trouvés dans les alertes SentinelOne vers les plates-formes de renseignement sur les menaces.
Trier les logiciels malveillants : utilisez les fonctionnalités Google SecOps pour classer automatiquement les logiciels malveillants à l'aide d'outils d'analyse statique afin de rationaliser la réponse aux incidents. Vous pouvez extraire des échantillons à partir de points de terminaison infectés, déclencher l'analyse dans votre environnement et recevoir une classification du logiciel malveillant en fonction de l'analyse statique.
Avant de commencer
Pour utiliser l'intégration SentinelOne v2, vous avez besoin d'un jeton d'API SentinelOne.
Pour générer le jeton d'API, procédez comme suit :
Dans la console de gestion SentinelOne, accédez à Settings > Users (Paramètres > Utilisateurs).
Cliquez sur votre nom d'utilisateur.
Accédez à Actions > API Token Operations (Actions > Opérations sur les jetons d'API).
Cliquez sur Generate API Token (Générer un jeton d'API). Copiez le jeton API et utilisez-le pour configurer l'intégration. Le jeton d'API généré est valable six mois.
Paramètres d'intégration
L'intégration SentinelOne v2 nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API root |
Obligatoire. Racine de l'API SentinelOne. La valeur par défaut est |
API Token |
Obligatoire. Jeton d'API SentinelOne. Pour savoir comment générer le jeton d'API pour l'intégration, consultez Avant de commencer. La règle de sécurité SentinelOne vous oblige à créer un jeton API tous les six mois. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Sentinel. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ajouter une note sur les menaces
Utilisez l'action Ajouter une note sur la menace pour ajouter une note à la menace dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Ajouter une note de menace nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat ID |
Obligatoire. ID de la menace à laquelle ajouter une note. |
Note |
Obligatoire. Note à ajouter à la menace. |
Sorties d'action
L'action Ajouter une note sur la menace fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ajouter une note sur la menace peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ajouter une note sur la menace :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Créer un enregistrement de hachage sur la liste noire
Utilisez l'action Create Hash Black List Record (Créer un enregistrement de liste noire de hachages) pour ajouter des hachages à une liste de blocage dans SentinelOne.
Cette action n'accepte que les hachages SHA-1.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Entrées d'action
L'action Créer un enregistrement de hachage sur la liste noire nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Operating System |
Obligatoire. Système d'exploitation du hachage. Voici les valeurs possibles :
La valeur par défaut est |
Site IDs |
Facultatif. Liste d'ID de sites à envoyer à la liste de blocage, séparés par une virgule. |
Group IDs |
Facultatif. Liste d'ID de groupes séparés par une virgule à envoyer à la liste de blocage. |
Account IDs |
Facultatif. Liste d'ID de compte à ajouter à la liste de blocage, séparés par une virgule. |
Description |
Facultatif. Informations supplémentaires associées à un hachage. La valeur par défaut est |
Add to global blocklist |
Obligatoire. Si cette option est sélectionnée, l'action ajoute un hachage à une liste de blocage globale. Si vous sélectionnez ce paramètre, l'action ignore les paramètres |
Sorties d'action
L'action Créer un enregistrement de liste noire de hachages fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Create Hash Black List Record (Créer un enregistrement de hachage sur la liste noire) :
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Messages de sortie
L'action Create Hash Black List Record (Créer un enregistrement de hachage sur la liste noire) peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Create Hash Black List Record (Créer un enregistrement de hachage sur la liste noire) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Créer un enregistrement d'exclusion de hachage
Utilisez l'action Create Hash Exclusion Record (Créer un enregistrement d'exclusion de hachage) pour ajouter un hachage à la liste d'exclusion dans SentinelOne.
Cette action n'accepte que les hachages SHA-1.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Entrées d'action
L'action Créer un enregistrement d'exclusion de hachage nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Operation System |
Obligatoire. Système d'exploitation pour le hachage. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Site IDs |
Facultatif. Liste d'ID de sites séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. L'action nécessite au moins une valeur valide. |
Group IDs |
Facultatif. Liste d'ID de groupes séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. L'action nécessite au moins une valeur valide. |
Account IDs |
Facultatif. Liste d'ID de comptes séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. |
Description |
Facultatif. Informations supplémentaires liées au hachage. |
Add to global exclusion list |
Facultatif. Si cette option est sélectionnée, l'action ajoute un hachage à la liste d'exclusion globale. Si vous sélectionnez ce paramètre, l'action ignore les paramètres |
Sorties d'action
L'action Créer un enregistrement d'exclusion de hachage fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Créer un enregistrement d'exclusion de hachage :
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Messages de sortie
L'action Créer un enregistrement d'exclusion de hachage peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer un enregistrement d'exclusion de hachage :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Créer un enregistrement d'exclusion de chemin d'accès
Utilisez l'action Create Path Exclusion Record (Créer un enregistrement d'exclusion de chemin d'accès) pour ajouter un chemin d'accès à la liste d'exclusion dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Créer un enregistrement d'exclusion de chemin d'accès nécessite les paramètres suivants :
La valeur par défaut est Suppress Alerts.
| Paramètre | Description |
|---|---|
Path |
Obligatoire. Chemin à ajouter à la liste d'exclusion. |
Operation System |
Obligatoire. Système d'exploitation pour le hachage. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Site IDs |
Facultatif. Liste d'ID de sites séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. L'action nécessite au moins une valeur valide. |
Group IDs |
Facultatif. Liste d'ID de groupes séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. L'action nécessite au moins une valeur valide. |
Account IDs |
Facultatif. Liste d'ID de comptes séparés par une virgule auxquels envoyer le hachage à la liste d'exclusion. |
Description |
Facultatif. Informations supplémentaires liées au hachage. |
Add to global exclusion list |
Facultatif. Si cette option est sélectionnée, l'action ajoute un hachage à la liste d'exclusion globale. Si vous sélectionnez ce paramètre, l'action ignore les paramètres |
Include Subfolders |
Facultatif. Si cette option est sélectionnée, l'action inclut les sous-dossiers du chemin fourni. Ce paramètre ne s'applique que si vous configurez un chemin d'accès à un dossier dans le paramètre |
Mode |
Facultatif. Mode à utiliser pour le chemin exclu. Les valeurs possibles sont les suivantes :
|
Sorties d'action
L'action Create Path Exclusion Record (Créer un enregistrement d'exclusion de chemin) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Créer un enregistrement d'exclusion de chemin d'accès :
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Messages de sortie
L'action Create Path Exclusion Record (Créer un enregistrement d'exclusion de chemin) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer un enregistrement d'exclusion de chemin :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer un enregistrement de la liste noire des hachages
Utilisez l'action Supprimer un enregistrement de hachage de la liste noire pour supprimer des hachages d'une liste de blocage dans SentinelOne.
Cette action n'est compatible qu'avec les hachages SHA-1.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Entrées d'action
L'action Supprimer un enregistrement de la liste noire des hachages nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Site IDs |
Facultatif. Liste d'ID de sites séparés par une virgule pour supprimer le hachage. |
Group IDs |
Facultatif. Liste d'ID de groupe séparés par une virgule pour supprimer le hachage. |
Account IDs |
Facultatif. Liste d'ID de compte séparés par une virgule pour supprimer le hachage. |
Remove from global black list |
Facultatif. Si cette option est sélectionnée, l'action supprime le hachage de la liste de blocage globale. Si vous sélectionnez ce paramètre, l'action ignore les paramètres |
Sorties d'action
L'action Delete Hash Blacklist Record (Supprimer l'enregistrement de la liste noire des hachages) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Delete Hash Blacklist Record (Supprimer l'enregistrement de la liste noire des hachages) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer l'enregistrement de la liste noire des hachages :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Déconnecter l'agent du réseau
Utilisez l'action Disconnect Agent From Network (Déconnecter l'agent du réseau) pour déconnecter un agent d'un réseau à l'aide de son nom d'hôte ou de son adresse IP.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Déconnecter l'agent du réseau fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Déconnecter l'agent du réseau :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Télécharger le fichier de menace
Utilisez l'action Télécharger le fichier de menace pour télécharger un fichier lié à une menace dans SentinelOne.
Pour récupérer des fichiers de menaces dans SentinelOne, vous devez disposer de l'un des rôles suivants :
AdminIR TeamSOC
Cette action ne s'applique pas aux entités Google SecOps.
Limites d'action
L'action Télécharger le fichier de menace peut atteindre le délai d'expiration lorsque SentinelOne récupère un fichier, mais ne fournit pas d'URL de téléchargement.
Pour identifier la cause du délai avant expiration, accédez à la chronologie des menaces.
Entrées d'action
L'action Télécharger le fichier de menace nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat ID |
Obligatoire. ID de la menace permettant de télécharger un fichier. |
Password |
Obligatoire. Mot de passe du dossier compressé contenant le fichier de menace. Voici les exigences à respecter pour créer un mot de passe :
Le mot de passe ne doit pas comporter plus de 256 caractères. |
Download Folder Path |
Obligatoire. Chemin d'accès à un dossier dans lequel stocker le fichier de menace. |
Overwrite |
Obligatoire. Si cette option est sélectionnée, l'action écrase un fichier portant le même nom. (non sélectionnée par défaut). |
Sorties d'action
L'action Télécharger le fichier de menace fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Télécharger le fichier de menace :
{
"absolute_path": "ABSOLUTE_PATH"
}
Messages de sortie
L'action Télécharger le fichier de menace peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Télécharger le fichier de menace :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Points de terminaison d'enrichissement
Utilisez l'action Enrichir les points de terminaison pour enrichir les informations sur le point de terminaison à l'aide de l'adresse IP ou du nom d'hôte.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Enrichir les points de terminaison nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur les points de terminaison. |
Only Infected Endpoints Insights |
Facultatif. Si cette option est sélectionnée, l'action ne crée des insights que pour les points de terminaison infectés. |
Sorties d'action
L'action Enrichir les points de terminaison fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les points de terminaison :
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Messages de sortie
L'action Enrichir les points de terminaison peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les points de terminaison :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir l'état de l'agent
Utilisez l'action Obtenir l'état de l'agent pour récupérer des informations sur l'état des agents sur les points de terminaison en fonction de l'entité fournie.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir l'état de l'agent fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir l'état de l'agent :
{
"status": "Not active"
}
Messages de sortie
L'action Obtenir l'état de l'agent peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'état de l'agent :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la liste des applications pour un point de terminaison
Utilisez l'action Obtenir la liste des applications pour le point de terminaison pour récupérer des informations sur les applications disponibles sur un point de terminaison à l'aide des entités fournies.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Get Application List for Endpoint (Obtenir la liste des applications pour le point de terminaison) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Max Applications To Return |
Facultatif. Nombre maximal de demandes à renvoyer. Si vous ne définissez pas de nombre, l'action renvoie toutes les applications disponibles. |
Sorties d'action
L'action Get Application List for Endpoint (Obtenir la liste des applications pour le point de terminaison) fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Application List for Endpoint (Obtenir la liste des applications pour le point de terminaison) :
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Messages de sortie
L'action Obtenir la liste des applications pour le point de terminaison peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la liste des applications pour le point de terminaison :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la liste noire
Utilisez l'action Get Blacklist (Obtenir la liste noire) pour obtenir la liste de tous les éléments disponibles dans la liste de blocage de SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Blacklist (Obtenir la liste noire) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hash |
Facultatif. Liste de hachages séparés par une virgule à vérifier dans la liste de blocage. L'action ne renvoie que les hachages trouvés. Si vous définissez |
Site IDs |
Facultatif. Liste d'ID de sites séparés par une virgule pour renvoyer les éléments de la liste de blocage. |
Group IDs |
Facultatif. Liste d'ID de groupe séparés par une virgule pour renvoyer les éléments de la liste de blocage. |
Account Ids |
Facultatif. Liste d'ID de compte séparés par une virgule pour renvoyer les éléments de la liste de blocage. |
Limit |
Facultatif. Nombre d'éléments de la liste de blocage à renvoyer. Si vous définissez le paramètre La valeur maximale est de La valeur par défaut est |
Query |
Facultatif. Requête permettant de filtrer les résultats. |
Use Global Blacklist |
Facultatif. Si cette option est sélectionnée, l'action renvoie des hachages à partir d'une liste de blocage globale. (non sélectionnée par défaut). |
Sorties d'action
L'action Get Blacklist (Obtenir la liste noire) fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Get Blacklist peut renvoyer le tableau suivant :
Nom de la table : Blocklist Hashes
Colonnes du tableau :
- Hachage
- Scope (Portée)
- Description
- OS
- Utilisateur
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Blacklist (Obtenir la liste noire) :
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Messages de sortie
L'action Get Blacklist peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Blacklist (Obtenir la liste noire) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir le résultat de la requête de visibilité approfondie
Utilisez l'action Get Deep Visibility Query Result (Obtenir le résultat de la requête Deep Visibility) pour récupérer des informations sur les résultats de la requête Deep Visibility.
Exécutez cette action en combinaison avec l'action Initier une requête de visibilité approfondie.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Deep Visibility Query Result (Obtenir le résultat de la requête sur la visibilité approfondie) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query ID |
Obligatoire. ID de la requête pour laquelle renvoyer les résultats. La valeur de l'ID est disponible dans le résultat JSON de l'action Initier une requête de visibilité approfondie en tant que paramètre |
Limit |
Facultatif. Nombre d'événements à renvoyer. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Obtenir le résultat de la requête sur la visibilité approfondie fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Obtenir le résultat de la requête sur la visibilité approfondie peut renvoyer le tableau suivant :
Nom de la table : SentinelOne Events
Colonnes du tableau :
- Type d'événement
- Nom du site
- Heure
- OS de l'agent
- ID du processus
- UID du processus
- Nom du processus
- MD5
- SHA256
Messages de sortie
L'action Obtenir le résultat de la requête sur la visibilité approfondie peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully found events for query: QUERY_ID. |
L'action a réussi. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur de la sortie des résultats du script lorsque vous utilisez l'action Obtenir le résultat de la requête "Visibilité approfondie" :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les événements pour le point de terminaison (heures écoulées)
Utilisez l'action Get Events for Endpoint Hours Back (Obtenir les événements pour les heures précédentes du point de terminaison) pour récupérer des informations sur les derniers événements sur un point de terminaison.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Get Events for Endpoint Hours Back nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Hours Back |
Obligatoire. Nombre d'heures avant l'heure actuelle pour récupérer les événements. |
Events Amount Limit |
Facultatif. Nombre maximal d'événements à renvoyer pour chaque type d'événement. La valeur par défaut est |
Include File Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include Indicator Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include DNS Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include Network Actions Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include URL Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include Registry Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Include Scheduled Task Events Information |
Facultatif. Si cette option est sélectionnée, l'action interroge les informations sur les événements |
Sorties d'action
L'action Obtenir les événements pour le nombre d'heures du point de terminaison fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Events for Endpoint Hours Back :
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Messages de sortie
L'action Get Events for Endpoint Hours Back peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Events for Endpoint Hours Back (Obtenir les événements pour les heures de point de terminaison) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'un groupe
Utilisez l'action Obtenir les détails du groupe pour récupérer des informations détaillées sur les groupes fournis.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du groupe nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Group Names |
Obligatoire. Noms des groupes pour lesquels récupérer les détails. Ce paramètre accepte plusieurs valeurs sous forme de liste d'éléments séparés par une virgule. |
Sorties d'action
L'action Obtenir les détails du groupe fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Get Group Details (Obtenir les détails du groupe) peut renvoyer le tableau suivant :
Nom de la table : SentinelOne Groups
Colonnes du tableau :
- ID
- Nom
- Type
- Fonction RANK
- Créateur
- Heure de création
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du groupe :
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Messages de sortie
L'action Obtenir les détails du groupe peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails du groupe :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la réputation du hachage
(Obsolète) Utilisez l'action Obtenir la réputation du hachage pour récupérer des informations sur les hachages à partir de SentinelOne.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Entrées d'action
L'action Obtenir la réputation du hachage nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Reputation Threshold |
Facultatif. Seuil de réputation permettant de marquer une entité comme suspecte. Si vous ne définissez pas de valeur, l'action ne marque aucune entité comme suspecte. La valeur maximale est de La valeur par défaut est |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur la réputation. |
Only Suspicious Hashes Insight |
Facultatif. Si cette option est sélectionnée, l'action ne crée un insight que pour les hachages dont la réputation est supérieure ou égale à la valeur |
Sorties d'action
L'action Obtenir la réputation du hachage fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Table d'enrichissement
L'action Obtenir la réputation du hachage peut enrichir les champs suivants :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
SENO_reputation |
Renvoie si elle existe dans le résultat JSON. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Obtenir la réputation du hachage :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la liste des processus pour le point de terminaison (obsolète)
Obtenir l'état du système
Utilisez l'action Obtenir l'état du système pour récupérer l'état d'un système.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir l'état du système fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get System Status (Obtenir l'état du système) :
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'état du système :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir la version du système
Utilisez l'action Obtenir la version du système pour récupérer la version d'un système.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Obtenir la version du système fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la version du système :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les menaces
Utilisez l'action Get Threats pour récupérer des informations sur les menaces dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les menaces nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Mitigation Status |
Facultatif. Liste d'états de menace séparés par une virgule. L'action ne renvoie que les menaces correspondant aux états configurés. Les valeurs possibles sont les suivantes :
|
Created until |
Facultatif. Heure de fin des menaces, par exemple |
Created from |
Facultatif. Heure de début des menaces, par exemple |
Resolved Threats |
Facultatif. Si cette option est sélectionnée, l'action ne renvoie que les menaces résolues. |
Threat Display Name |
Facultatif. Nom à afficher de la menace à renvoyer. |
Limit |
Facultatif. Nombre de menaces à renvoyer. La valeur par défaut est |
API Version |
Facultatif. Version de l'API à utiliser dans l'action. Si vous ne définissez pas de valeur, l'action utilise la version 2.1. La version de l'API a un impact sur la structure des résultats JSON. Nous vous recommandons de définir la dernière version de l'API. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Obtenir les menaces fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Threats (Obtenir les menaces) :
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Messages de sortie
L'action Get Threats (Obtenir les menaces) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Threats". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Obtenir les menaces :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lancer une requête de visibilité approfondie
Utilisez l'action Initier une requête Deep Visibility pour lancer une recherche de requête Deep Visibility.
Cette action renvoie la valeur de l'ID de requête requise par l'action Get Deep Visibility Query Result.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Initier une requête de visibilité approfondie nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Requête de recherche. Pour en savoir plus sur la syntaxe des requêtes, consultez la fiche mémo SentinelOne Deep Visibility. |
Start Date |
Facultatif. Date de début de la recherche. Si vous ne définissez pas de valeur, l'action récupère par défaut les événements survenus 30 jours avant la date actuelle. |
End Date |
Facultatif. Date de fin de la recherche. Si vous ne définissez pas de valeur, l'action utilise l'heure actuelle. |
Sorties d'action
L'action Initier une requête de visibilité approfondie fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Initiate Deep Visibility Query (Lancer une requête de visibilité approfondie) :
[
{
"query_id": "QUERY_ID"
}
]
Messages de sortie
L'action Initier une requête de visibilité approfondie peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur du résultat du script lorsque vous utilisez l'action Initier une requête de visibilité approfondie :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lancer une analyse complète
Utilisez l'action Initiate Full Scan (Lancer une analyse complète) pour lancer une analyse complète du disque sur un point de terminaison dans SentinelOne.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Initiate Full Scan (Lancer une analyse complète) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Lancer une analyse complète peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Initiate Full Scan (Lancer une analyse complète) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les sites
Utilisez l'action List Sites pour lister les sites disponibles dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Lister les sites nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Filter Key |
Facultatif. Clé permettant de filtrer les sites. Voici les valeurs possibles :
La valeur par défaut est |
Filter Logic |
Facultatif. Logique de filtre à appliquer. La logique de filtrage utilise la valeur définie dans le paramètre Voici les valeurs possibles :
La valeur par défaut est |
Filter Value |
Facultatif. Valeur à utiliser dans le filtre. La logique de filtrage utilise la valeur définie dans le paramètre Si vous sélectionnez Si vous sélectionnez Si vous ne définissez pas de valeur, l'action ignore le filtre. |
Max Records To Return |
Facultatif. Nombre d'enregistrements à renvoyer. La valeur par défaut est |
Sorties d'action
L'action Lister les sites fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action List Sites peut renvoyer le tableau suivant :
Nom de la table : Available Sites (Sites disponibles)
Colonnes du tableau :
- Nom
- ID
- Créateur
- Expiration
- Type
- État
Messages de sortie
L'action List Sites (Lister les sites) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "List Sites". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les sites :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Marquer comme menace
Utilisez l'action Marquer comme menace pour marquer les menaces suspectes comme des menaces avérées dans SentinelOne.
Pour marquer des menaces dans SentinelOne, vous devez disposer de l'un des rôles suivants :
AdminIR TeamSOC
Vous ne pouvez marquer que les détections suspectes comme menaces.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Marquer comme menace nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat IDs |
Obligatoire. Liste d'ID de détection à marquer comme menaces, séparés par une virgule. |
Sorties d'action
L'action Marquer comme menace fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Marquer comme menace :
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Messages de sortie
L'action Marquer comme menace peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Marquer comme menace :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Atténuer la menace
Utilisez l'action Atténuer la menace pour exécuter des actions d'atténuation sur les menaces dans SentinelOne.
Pour atténuer les menaces dans SentinelOne, vous devez disposer de l'un des rôles suivants :
AdminIR TeamSOC
La restauration ne s'applique qu'à Windows. La correction des menaces ne s'applique qu'à macOS et Windows.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mitigate Threat (Atténuer la menace) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Mitigation action |
Obligatoire. Action d'atténuation pour les menaces détectées. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Threat IDs |
Obligatoire. Liste d'ID de menaces à atténuer, séparés par une virgule. |
Sorties d'action
L'action Atténuer la menace fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Mitigate Threat (Atténuer la menace) :
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Messages de sortie
L'action Atténuer la menace peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Atténuer la menace :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Déplacer des agents
Utilisez l'action Déplacer des agents pour déplacer des agents vers le groupe fourni depuis le même site.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
L'action Déplacer des agents nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Group ID |
Facultatif. ID du groupe vers lequel déplacer les agents. |
Group Name |
Facultatif. Nom du groupe vers lequel déplacer les agents. Si vous configurez à la fois le paramètre |
Sorties d'action
L'action Move Agents (Déplacer des agents) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Move Agents peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Move Agents (Déplacer les agents) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Reconnecter l'agent au réseau
Utilisez l'action Reconnecter l'agent au réseau pour reconnecter un point de terminaison déconnecté à un réseau.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP AddressHostname
Entrées d'action
Aucun
Sorties d'action
L'action Reconnecter l'agent au réseau fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Non disponible |
| Résultat du script | Disponible |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Reconnecter l'agent au réseau :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Résoudre la menace
Utilisez l'action Résoudre la menace pour résoudre les menaces dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Résoudre la menace nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat IDs |
Obligatoire. Liste d'ID de menaces à résoudre, séparés par des virgules. |
Annotation |
Facultatif. Justification de la résolution de la menace. |
Sorties d'action
L'action Résoudre la menace fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Résoudre la menace :
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Messages de sortie
L'action Résoudre la menace peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Résoudre la menace :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour l'alerte
Utilisez l'action Mettre à jour l'alerte pour mettre à jour l'alerte de la menace dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour l'alerte nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Alert ID |
Obligatoire. ID de l'alerte à modifier. |
Status |
Facultatif. État de l'alerte. Les valeurs possibles sont les suivantes :
|
Verdict |
Facultatif. Résultat de l'alerte. Les valeurs possibles sont les suivantes :
|
Sorties d'action
L'action Alerte de mise à jour fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Mettre à jour l'alerte :
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Messages de sortie
L'action Mettre à jour l'alerte peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
L'action a réussi. |
Error executing action "Update Alert". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour l'alerte :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour le verdict de l'analyste
Utilisez l'action Mettre à jour le verdict de l'analyste pour mettre à jour le verdict de l'analyste concernant la menace dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Update Analyst Verdict (Mettre à jour le verdict de l'analyste) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat ID |
Obligatoire. Liste d'ID de menaces pour lesquelles mettre à jour le verdict de l'analyste, séparés par des virgules. |
Analyst Verdict |
Obligatoire. Verdict d'un analyste. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Mettre à jour le verdict de l'analyste fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Update Analyst Verdict peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour le verdict de l'analyste :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Mettre à jour l'état d'un incident
Utilisez l'action Mettre à jour l'état de l'incident pour mettre à jour l'état des incidents de menace dans SentinelOne.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Mettre à jour l'état de l'incident nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Threat ID |
Obligatoire. Liste d'ID de menaces, séparés par une virgule, pour mettre à jour l'état de l'incident. |
Status |
Obligatoire. État d'un incident. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Mettre à jour l'état de l'incident fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Mettre à jour l'état de l'incident peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour l'état de l'incident :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
SentinelOne : connecteur d'alertes
Utilisez le connecteur d'alertes SentinelOne pour ingérer les alertes de SentinelOne.
Le connecteur vous permet de filtrer les alertes à l'aide d'une liste dynamique basée sur le paramètre ruleInfo.name. Le comportement de cette liste dépend du paramètre Use dynamic list as a blocklist.
Si vous ne sélectionnez pas
Use dynamic list as a blocklist:La liste dynamique fonctionne comme une liste blanche. Le connecteur n'ingère que les alertes dont le
ruleInfo.namecorrespond à une valeur de la liste. Si la liste est vide, aucune alerte n'est ingérée.Si vous sélectionnez
Use dynamic list as a blocklist:La liste dynamique fonctionne comme une liste de blocage. Le connecteur ingère toutes les alertes, à l'exception de celles dont le
ruleInfo.namecorrespond à une valeur de la liste. Si la liste est vide, toutes les alertes sont ingérées.
Paramètres du connecteur
Le connecteur d'alertes SentinelOne nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. La valeur par défaut est |
PythonProcessTimeout |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance SentinelOne. |
API Token |
Obligatoire. Jeton d'API SentinelOne. |
Status Filter |
Facultatif. Liste des états d'alerte à ingérer, séparés par une virgule. Les valeurs possibles sont les suivantes :
Si aucune valeur n'est fournie, le connecteur récupère les alertes avec les états |
Case Name Template |
Facultatif. Modèle permettant de définir un nom de demande personnalisé. Le connecteur ajoute une clé Vous pouvez utiliser des espaces réservés au format FIELD_NAME, qui sont renseignés à partir des valeurs de chaîne du premier événement. Exemple : |
Alert Name Template |
Facultatif. Modèle permettant de définir le nom de l'alerte. Vous pouvez utiliser des espaces réservés au format FIELD_NAME, qui sont renseignés à partir des valeurs de chaîne du premier événement. Exemple : Si aucune valeur n'est fournie ou si le modèle n'est pas valide, le connecteur utilise un nom d'alerte par défaut. |
Lowest Severity To Fetch |
Facultatif. Gravité la plus faible des alertes à récupérer. Si vous ne configurez pas ce paramètre, le connecteur ingère les alertes de tous les niveaux de gravité. Les valeurs possibles sont les suivantes :
Si aucune valeur n'est fournie, tous les niveaux de gravité sont ingérés. |
Max Hours Backwards |
Obligatoire. Nombre d'heures avant l'heure actuelle pour récupérer les alertes. La valeur par défaut est |
Max Alerts To Fetch |
Obligatoire. Nombre maximal d'alertes à traiter à chaque itération du connecteur. La valeur maximale est de La valeur par défaut est |
Use dynamic list as a blocklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. Cette option n'est pas activée par défaut. |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option n'est pas activée par défaut. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur SentinelOne. Cette option est activée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Le connecteur est compatible avec les proxys.
Structure des alertes
Le tableau suivant décrit le mappage des champs d'alerte SentinelOne avec les champs d'alerte Google SecOps :
| Champ d'alerte Siemplify | Champ d'alerte SentinelOne (clé JSON de l'API) |
|---|---|
SourceSystemName |
Rempli par le framework. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Codé en dur : SentinelOne |
DeviceProduct |
Valeur de remplacement : Alerts |
Priority |
Mappé à partir de ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Mappé à partir de ruleInfo.severity |
Risk Score |
Représentation de la gravité sous forme d'entier |
StartTime |
Converti depuis alertInfo.createdAt |
EndTime |
Converti depuis alertInfo.createdAt |
Siemplify Alert - Extensions |
N/A |
Siemplify Alert - Attachments |
N/A |
Événements de connecteur
Voici un exemple d'événement de connecteur :
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne : connecteur de menaces
Utilisez le connecteur SentinelOne – Menaces pour ingérer les menaces provenant de SentinelOne.
Le connecteur vous permet de filtrer les alertes en fonction de listes dynamiques.
Le connecteur SentinelOne – Menaces filtre les alertes à l'aide du paramètre alert_name.
Si vous sélectionnez le paramètre Use whitelist as a blacklist, le connecteur n'ingère que les alertes dont le alert_name ne correspond à aucune valeur de la liste dynamique.
Si vous ne configurez pas les valeurs alert_name dans la liste dynamique, le connecteur ingère toutes les alertes.
Si vous ne sélectionnez pas le paramètre Use whitelist as a blacklist, le connecteur n'ingère que les alertes dont le alert_name correspond à une valeur de la liste dynamique.
Entrées du connecteur
Le connecteur SentinelOne – Menaces nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
Script Timeout |
Obligatoire. Délai limite, en secondes, pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API SentinelOne. La valeur par défaut est |
API Token |
Obligatoire. Jeton d'API SentinelOne. |
API Version |
Facultatif. Version de l'API SentinelOne à utiliser par le connecteur. Si vous ne définissez pas de valeur, le connecteur utilise la version 2.0 de l'API par défaut. |
Fetch Max Days Backwards |
Facultatif. Nombre de jours précédant la date actuelle pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Alerts Per Cycle |
Facultatif. Nombre maximal d'alertes à traiter à chaque itération du connecteur. La valeur par défaut est |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. (non sélectionnée par défaut). |
Use whitelist as a blacklist |
Obligatoire. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. (non sélectionnée par défaut). |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur SentinelOne. Cette option est sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Event Object Type Filter |
Facultatif. Liste d'objets d'événement à renvoyer avec les informations sur les menaces, séparés par une virgule. Le connecteur utilise ce paramètre comme filtre pour ne renvoyer que certains objets, tels que Si vous ne définissez pas de valeur, le connecteur ingère tous les types d'objets d'événement. |
Event Type Filter |
Facultatif. Liste de types d'événements à renvoyer avec les informations sur les menaces, séparés par une virgule. Le connecteur utilise ce paramètre comme filtre pour ne renvoyer que certains types d'événements, tels que |
Max Events To Return |
Facultatif. Nombre d'événements à renvoyer pour chaque menace. La valeur maximale est de La valeur par défaut est |
Règles du connecteur
Le connecteur est compatible avec les proxys.
Le connecteur est compatible avec les listes d'autorisation et de blocage.
Événements de connecteur
Voici un exemple d'événement de connecteur :
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.