Mengintegrasikan SentinelOne v2 dengan Google SecOps

Versi integrasi: 37.0

Dokumen ini menjelaskan cara mengonfigurasi dan mengintegrasikan SentinelOne v2 dengan Google Security Operations (Google SecOps).

Integrasi ini menggunakan SentinelOne API 2.0.

Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap yang di-zip dari integrasi ini dari bucket Cloud Storage.

Kasus penggunaan

Integrasi SentinelOne dapat membantu Anda menyelesaikan kasus penggunaan berikut:

  1. Membatasi endpoint yang terinfeksi: gunakan kemampuan Google SecOps untuk mengisolasi host yang terinfeksi dan mencegah pergerakan lateral serta eksfiltrasi data.

  2. Mendapatkan informasi endpoint mendetail: gunakan kemampuan Google SecOps untuk memperkaya data insiden dengan analisis host mendalam untuk konteks dan pengambilan keputusan yang lebih baik. Anda dapat secara otomatis membuat kueri SentinelOne untuk mendapatkan informasi mendetail tentang endpoint yang terlibat dalam pemberitahuan, termasuk versi agen, sistem operasi, dan antarmuka jaringan.

  3. Memulai pemindaian Visibilitas Mendalam: menggunakan kemampuan Google SecOps untuk memburu ancaman dan malware tersembunyi di mesin yang dicurigai dan memulai pemindaian disk penuh menggunakan SentinelOne saat aktivitas mencurigakan terdeteksi, seperti modifikasi file atau perubahan registri yang tidak biasa.

  4. Menyelidiki ancaman dengan intelijen ancaman: gunakan kemampuan Google SecOps untuk meningkatkan akurasi dengan mengorelasikan pemberitahuan SentinelOne dengan data intelijen ancaman, meneruskan hash, jalur file, atau alamat IP yang mencurigakan yang ditemukan dalam pemberitahuan SentinelOne ke platform intelijen ancaman.

  5. Menyeleksi malware: gunakan kemampuan Google SecOps untuk mengklasifikasikan malware secara otomatis dengan alat analisis statis untuk respons insiden yang lebih efisien. Anda dapat mengekstrak sampel dari endpoint yang terinfeksi, memicu analisis dalam lingkungan Anda, dan menerima klasifikasi untuk malware berdasarkan analisis statis.

Sebelum memulai

Untuk menggunakan integrasi SentinelOne v2, Anda memerlukan token API SentinelOne.

Untuk membuat token API, selesaikan langkah-langkah berikut:

  1. Di konsol pengelolaan SentinelOne, buka Settings > Users.

  2. Klik nama pengguna Anda.

  3. Buka Actions > API Token Operations.

  4. Klik Generate API Token. Salin token API dan gunakan untuk mengonfigurasi integrasi. Token API yang dihasilkan berlaku selama enam bulan.

Parameter integrasi

Integrasi SentinelOne v2 memerlukan parameter berikut:

Parameter Deskripsi
API root

Wajib.

Root SentinelOne API.

Nilai defaultnya adalah https://{server}.SentinelOne.net/.
API Token

Wajib.

Token SentinelOne API.

Untuk mempelajari lebih lanjut cara membuat token API untuk integrasi, lihat Sebelum memulai. Kebijakan keamanan SentinelOne mengharuskan Anda membuat token API baru setiap enam bulan.
Verify SSL

Wajib.

Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Sentinel.

Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Menambahkan Catatan Ancaman

Gunakan tindakan Tambahkan Catatan Ancaman untuk menambahkan catatan ke ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tambahkan Catatan Ancaman memerlukan parameter berikut:

Parameter Deskripsi
Threat ID

Wajib.

ID ancaman untuk menambahkan catatan.
Note

Wajib.

Catatan yang akan ditambahkan ke ancaman.

Output tindakan

Tindakan Tambahkan Catatan Ancaman memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Tambahkan Catatan Ancaman dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully added note to the threat THREAT_ID in SentinelOne.

Action wasn't able to add a note to the threat THREAT_ID in SentinelOne.

 Tindakan berhasil.
Error executing action "Add Threat Note". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Catatan Ancaman:

Nama hasil skrip Nilai
is_success True atau False

Buat Catatan Daftar Hitam Hash

Gunakan tindakan Create Hash Black List Record untuk menambahkan hash ke daftar yang tidak diizinkan di SentinelOne.

Tindakan ini hanya mendukung hash SHA-1.

Tindakan ini dijalankan pada entity Hash Google SecOps.

Input tindakan

Tindakan Create Hash Black List Record memerlukan parameter berikut:

Parameter Deskripsi
Operating System

Wajib.

Sistem operasi untuk hash.

Kemungkinan nilainya adalah sebagai berikut:

  • windows
  • windows_legacy
  • macos
  • linux

Nilai defaultnya adalah windows.
Site IDs

Opsional.

Daftar ID situs yang dipisahkan koma untuk dikirim ke daftar yang tidak diizinkan.
Group IDs

Opsional.

Daftar ID grup yang dipisahkan koma untuk dikirim ke daftar yang tidak diizinkan.
Account IDs

Opsional.

Daftar ID akun yang dipisahkan koma untuk dikirim ke daftar yang tidak diizinkan.
Description

Opsional.

Informasi tambahan terkait hash.

Nilai defaultnya adalah "".
Add to global blocklist

Wajib.

Jika dipilih, tindakan ini akan menambahkan hash ke daftar yang tidak diizinkan global.

Jika Anda memilih parameter ini, tindakan akan mengabaikan parameter Site IDs, Group IDs, dan Account IDs.

Output tindakan

Tindakan Create Hash Black List Record memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Create Hash Black List Record:

[
    {
        "Entity": "ENTITY_ID",
        "EntityResult": [{
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.678280Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.678690Z"
        }, {
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group 2",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.683858Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.684677Z"
        }]
    }
]
Pesan output

Tindakan Create Hash Black List Record dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully added the following hashes to the blocklist in SentinelOne: ENTITY_ID.

The following hashes were already a part of blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to add the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were added to the blocklist in SentinelOne.

 Tindakan berhasil.
Error executing action "Create Hash Black List Record". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Create Hash Black List Record:

Nama hasil skrip Nilai
is_success True atau False

Buat Hash Exclusion Record

Gunakan tindakan Create Hash Exclusion Record untuk menambahkan hash ke daftar pengecualian di SentinelOne.

Tindakan ini hanya mendukung hash SHA-1.

Tindakan ini dijalankan pada entity Hash Google SecOps.

Input tindakan

Tindakan Buat Rekaman Pengecualian Hash memerlukan parameter berikut:

Parameter Deskripsi
Operation System

Wajib.

Sistem operasi (OS) untuk hash.

Kemungkinan nilainya adalah sebagai berikut:

  • windows
  • windows_legacy
  • macos
  • linux

Nilai defaultnya adalah windows.
Site IDs

Opsional.

Daftar ID situs yang dipisahkan koma untuk mengirim hash ke daftar pengecualian.

Tindakan memerlukan setidaknya satu nilai yang valid.
Group IDs

Opsional.

Daftar ID grup yang dipisahkan koma untuk mengirim hash ke daftar pengecualian.

Tindakan memerlukan setidaknya satu nilai yang valid.
Account IDs

Opsional.

Daftar ID akun yang dipisahkan koma untuk mengirimkan hash ke daftar pengecualian.
Description

Opsional.

Informasi tambahan terkait hash.
Add to global exclusion list

Opsional.

Jika dipilih, tindakan ini akan menambahkan hash ke daftar pengecualian global.

Jika Anda memilih parameter ini, tindakan akan mengabaikan parameter Site IDs, Group IDs, dan Account IDs.

Output tindakan

Tindakan Create Hash Exclusion Record memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Buat Rekaman Pengecualian Hash:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
Pesan output

Tindakan Buat Record Pengecualian Hash dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully added the following hashes to the exclusion list in SentinelOne: HASH_ID

The following hashes were already a part of exclusion list in SentinelOne: HASH_ID

Action wasn't able to add the following hashes to the exclusion list in SentinelOne: HASH_ID

No hashes were added to the exclusion list in SentinelOne.

Tindakan berhasil.
Error executing action "Create Hash Exclusion Record". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Rekaman Pengecualian Hash:

Nama hasil skrip Nilai
is_success True atau False

Buat Catatan Pengecualian Jalur

Gunakan tindakan Create Path Exclusion Record untuk menambahkan jalur ke daftar pengecualian di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Buat Rekaman Pengecualian Jalur memerlukan parameter berikut:

Nilai defaultnya adalah Suppress Alerts.

Parameter Deskripsi
Path

Wajib.

Jalur yang akan ditambahkan ke daftar pengecualian.
Operation System

Wajib.

Sistem operasi (OS) untuk hash.

Kemungkinan nilainya adalah sebagai berikut:

  • windows
  • windows_legacy
  • macos
  • linux

Nilai defaultnya adalah windows.
Site IDs

Opsional.

Daftar ID situs yang dipisahkan koma untuk mengirim hash ke daftar pengecualian.

Tindakan memerlukan setidaknya satu nilai yang valid.
Group IDs

Opsional.

Daftar ID grup yang dipisahkan koma untuk mengirim hash ke daftar pengecualian.

Tindakan memerlukan setidaknya satu nilai yang valid.
Account IDs

Opsional.

Daftar ID akun yang dipisahkan koma untuk mengirimkan hash ke daftar pengecualian.
Description

Opsional.

Informasi tambahan terkait hash.
Add to global exclusion list

Opsional.

Jika dipilih, tindakan ini akan menambahkan hash ke daftar pengecualian global.

Jika Anda memilih parameter ini, tindakan akan mengabaikan parameter Site IDs, Group IDs, dan Account IDs.
Include Subfolders

Opsional.

Jika dipilih, tindakan ini akan menyertakan subfolder untuk jalur yang diberikan.

Parameter ini hanya berlaku jika Anda mengonfigurasi jalur folder di parameter Path.
Mode

Opsional.

Mode yang akan digunakan untuk jalur yang dikecualikan.

Kemungkinan nilainya adalah sebagai berikut:

  • Suppress Alerts
  • Interoperability
  • Interoperability - Extended
  • Performance Focus
  • Performance Focus - Extended

Output tindakan

Tindakan Create Path Exclusion Record memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Buat Kumpulan Data Pengecualian Jalur:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
Pesan output

Tindakan Create Path Exclusion Record dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully added the following path to the exclusion list in SentinelOne: PATH

The following paths were already a part of exclusion list in SentinelOne: PATH_LIST

Action wasn't able to add the following paths to the exclusion list in SentinelOne: PATH

No paths were added to the exclusion list in SentinelOne.

Tindakan berhasil.
Error executing action "Create Path Exclusion Record". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Rekaman Pengecualian Jalur:

Nama hasil skrip Nilai
is_success True atau False

Menghapus Rekaman Daftar Hitam Hash

Gunakan tindakan Hapus Hash Blacklist Record untuk menghapus hash dari daftar blokir di SentinelOne.

Tindakan ini hanya mendukung hash SHA-1.

Tindakan ini dijalankan pada entity Hash Google SecOps.

Input tindakan

Tindakan Hapus Catatan Daftar Hitam Hash memerlukan parameter berikut:

Parameter Deskripsi
Site IDs

Opsional.

Daftar ID situs yang dipisahkan koma untuk menghapus hash.
Group IDs

Opsional.

Daftar ID grup yang dipisahkan koma untuk menghapus hash.
Account IDs

Opsional.

Daftar ID akun yang dipisahkan koma untuk menghapus hash.
Remove from global black list

Opsional.

Jika dipilih, tindakan ini akan menghapus hash dari daftar blokir global.

Jika Anda memilih parameter ini, tindakan akan mengabaikan parameter Site IDs, Group IDs, dan Account IDs.

Output tindakan

Tindakan Delete Hash Blacklist Record memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Delete Hash Blacklist Record dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully removed the following hashes from the blocklist in SentinelOne: ENTITY_ID.

The following hashes were not found in a blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to remove the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were removed from the blocklist in SentinelOne.

Tindakan berhasil.
Error executing action "Delete Hash Blacklist Record". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Data Daftar Hitam Hash:

Nama hasil skrip Nilai
is_success True atau False

Memutus Koneksi Agen dari Jaringan

Gunakan tindakan Disconnect Agent From Network untuk memutuskan koneksi agen dari jaringan menggunakan nama host atau alamat IP agen.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tidak ada.

Output tindakan

Tindakan Disconnect Agent From Network memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Disconnect Agent From Network:

Nama hasil skrip Nilai
is_success True atau False

Download File Ancaman

Gunakan tindakan Download Threat File untuk mendownload file yang terkait dengan ancaman di SentinelOne.

Untuk mengambil file ancaman di SentinelOne, Anda memerlukan salah satu peran berikut:

  • Admin
  • IR Team
  • SOC

Tindakan ini tidak berjalan di entity Google SecOps.

Batasan tindakan

Tindakan Download File Ancaman dapat mencapai waktu tunggu habis saat SentinelOne mengambil file, tetapi tidak memberikan URL download.

Untuk menyelidiki penyebab waktu tunggu habis, buka linimasa ancaman.

Input tindakan

Tindakan Download Threat File memerlukan parameter berikut:

Parameter Deskripsi
Threat ID

Wajib.

ID ancaman untuk mendownload file.
Password

Wajib.

Sandi untuk folder terkompresi yang berisi file ancaman.

Persyaratan sandi adalah sebagai berikut:

  • Memiliki panjang minimal 10 karakter.
  • Mencakup huruf besar, huruf kecil, angka, dan simbol khusus.

Panjang maksimum sandi adalah 256 karakter.
Download Folder Path

Wajib.

Jalur ke folder untuk menyimpan file ancaman.
Overwrite

Wajib.

Jika dipilih, tindakan ini akan menimpa file dengan nama yang sama.

Tidak dipilih secara default.

Output tindakan

Tindakan Download File Ancaman memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Download Threat File:

{
    "absolute_path": "ABSOLUTE_PATH"
}
Pesan output

Tindakan Download File Ancaman dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully downloaded the file related to threat THREAT_ID in SentinelOne.

Action wasn't able to download the file related to threat THREAT_ID. Reason: The action was able to initiate the downloading of the file, but SentinelOne didn't return a download URL.

Waiting for the download link to appear in SentinelOne.

 Tindakan berhasil.
Error executing action "Download Threat File". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Download Threat File:

Nama hasil skrip Nilai
is_success True atau False

Endpoint Pengayaan

Gunakan tindakan Enrich Endpoints untuk memperkaya informasi tentang endpoint menggunakan alamat IP atau nama host.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tindakan Enrich Endpoints memerlukan parameter berikut:

Parameter Deskripsi
Create Insight

Opsional.

Jika dipilih, tindakan ini akan membuat insight dengan informasi tentang endpoint.
Only Infected Endpoints Insights

Opsional.

Jika dipilih, tindakan hanya membuat insight untuk endpoint yang terinfeksi.

Output tindakan

Tindakan Enrich Endpoints memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Endpoints:

{
    "accountId": "ACCOUNT_ID",
    "accountName": "SentinelOne",
    "activeDirectory": {
        "computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
        "computerMemberOf": [],
        "lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
        "lastUserMemberOf": [
            "CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
            "CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
        ]
    },
    "activeThreats": 0,
    "agentVersion": "4.1.4.82",
    "allowRemoteShell": false,
    "appsVulnerabilityStatus": "patch_required",
    "computerName": "LP-EXAMPLE",
    "consoleMigrationStatus": "N/A",
    "coreCount": 8,
    "cpuCount": 8,
    "cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
    "createdAt": "2020-05-31T07:22:14.695136Z",
    "domain": "EXAMPLE",
    "encryptedApplications": false,
    "externalId": "",
    "externalIp": "192.0.2.91",
    "groupId": "863712577864500060",
    "groupIp": "192.0.2.0",
    "groupName": "Test Group",
    "id": "ID",
    "inRemoteShellSession": false,
    "infected": false,
    "installerType": ".msi",
    "isActive": false,
    "isDecommissioned": false,
    "isPendingUninstall": false,
    "isUninstalled": false,
    "isUpToDate": true,
    "lastActiveDate": "2021-01-12T12:59:43.143066Z",
    "lastIpToMgmt": "192.0.2.20",
    "lastLoggedInUserName": "EXAMPLE",
    "licenseKey": "",
    "locationType": "fallback",
    "locations": [
        {
            "id": "ID",
            "name": "Fallback",
            "scope": "global"
        }
    ],
    "machineType": "laptop",
    "mitigationMode": "protect",
    "mitigationModeSuspicious": "protect",
    "modelName": "Dell Inc. - Latitude 7490",
    "networkInterfaces": [
        {
            "id": "ID",
            "inet": [
                "192.0.2.20"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2",
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "Wi-Fi",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "192.168.193.193"
            ],
            "inet6": [
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "vEthernet (Default Switch)",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "201.0.113.1"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2"
            ],
            "name": "vEthernet (DockerNAT)",
            "physical": "MAC_ADDRESS"
        }
    ],
    "networkStatus": "connecting",
    "osArch": "64 bit",
    "osName": "Windows 10 Pro",
    "osRevision": "18363",
    "osStartTime": "2021-01-03T15:38:32Z",
    "osType": "windows",
    "osUsername": null,
    "rangerStatus": "NotApplicable",
    "rangerVersion": null,
    "registeredAt": "2020-05-31T07:22:14.691561Z",
    "scanAbortedAt": null,
    "scanFinishedAt": "2020-05-31T09:28:53.867014Z",
    "scanStartedAt": "2020-05-31T07:25:37.814972Z",
    "scanStatus": "finished",
    "siteId": "SITE_ID",
    "siteName": "example.com",
    "threatRebootRequired": false,
    "totalMemory": 16263,
    "updatedAt": "2021-01-18T13:33:43.834618Z",
    "userActionsNeeded": [],
    "uuid": "UUID"
}
Pesan output

Tindakan Enrich Endpoints dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved information about the following endpoints from SentinelOne: ENTITY_ID

Action wasn't able to retrieve information about the following endpoints from SentinelOne: ENTITY_ID

No information was retrieved for provided entities.

 Tindakan berhasil.
Error executing action "Enrich Endpoints". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich Endpoints:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Status Agen

Gunakan tindakan Get Agent Status untuk mengambil informasi tentang status agen di endpoint berdasarkan entity yang diberikan.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tidak ada.

Output tindakan

Tindakan Get Agent Status memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Agent Status:

{
"status": "Not active"
}
Pesan output

Tindakan Get Agent Status dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved information about agent status for the following endpoints: ENTITY_ID

Action wasn't able to retrieve information about agent status for the following endpoints: ENTITY_ID

No information about agent status was found for the provided endpoints.

 Tindakan berhasil.
Error executing action "Get Agent Status". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Agent Status:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Daftar Aplikasi untuk Endpoint

Gunakan tindakan Get Application List for Endpoint untuk mengambil informasi tentang aplikasi yang tersedia di endpoint menggunakan entity yang diberikan.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tindakan Get Application List for Endpoint memerlukan parameter berikut:

Parameter Deskripsi
Max Applications To Return

Opsional.

Jumlah maksimum aplikasi yang akan ditampilkan.

Jika Anda tidak menetapkan angka, tindakan akan menampilkan semua aplikasi yang tersedia.

Output tindakan

Tindakan Get Application List for Endpoint memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Application List for Endpoint:

{
    "data": [
        {
            "installedDate": "2021-01-06T08:55:56.762000Z",
            "name": "Mozilla Firefox 84.0.1 (x64 en-US)",
            "publisher": "Mozilla",
            "size": 211562,
            "version": "84.0.1"
        }
    ]
}
Pesan output

Tindakan Get Application List for Endpoint dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved available applications for the following endpoints: ENTITY_ID.

Action wasn't able to retrieve available applications for the following endpoints: ENTITY_ID.

No applications were retrieved for provided endpoints.

 Tindakan berhasil.
Error executing action "Get Application List for Endpoint". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Application List for Endpoint:

Nama hasil skrip Nilai
is_success True atau False

Dapatkan Daftar Blokir

Gunakan tindakan Get Blacklist untuk mendapatkan daftar semua item yang tersedia dalam daftar yang tidak diizinkan di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Blacklist memerlukan parameter berikut:

Parameter Deskripsi
Hash

Opsional.

Daftar hash yang dipisahkan koma untuk diperiksa dalam daftar blokir.

Tindakan ini hanya menampilkan hash yang ditemukan.

Jika Anda menetapkan Hash, tindakan akan mengabaikan parameter Limit.
Site IDs

Opsional.

Daftar ID situs yang dipisahkan koma untuk menampilkan item yang tidak diizinkan.
Group IDs

Opsional.

Daftar ID grup yang dipisahkan koma untuk menampilkan item daftar blokir.
Account Ids

Opsional.

Daftar ID akun yang dipisahkan koma untuk menampilkan item daftar blokir.
Limit

Opsional.

Jumlah item daftar blokir yang akan ditampilkan.

Jika Anda menetapkan parameter Hash, tindakan akan mengabaikan parameter ini.

Nilai maksimum adalah 1000.

Nilai defaultnya adalah 50.
Query

Opsional.

Kueri untuk memfilter hasil.
Use Global Blacklist

Opsional.

Jika dipilih, tindakan ini akan menampilkan hash dari daftar blokir global.

Tidak dipilih secara default.

Output tindakan

Tindakan Get Blacklist memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan Get Blacklist dapat menampilkan tabel berikut:

Nama tabel: Hash Daftar Blokir

Kolom tabel:

  • Hash
  • Cakupan
  • Deskripsi
  • OS
  • User
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Blacklist:

[
    {
        "userName": "Example",
        "description": "test",
        "userId": "USER_ID",
        "scopeName": "Example.com",
        "value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
        "source": "user",
        "updatedAt": "2020-02-27T15:02:54.686991Z",
        "osType": "windows",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "8353960925573xxxxx",
        "createdAt": "2020-02-27T15:02:54.687675Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
        "source": "cloud",
        "updatedAt": "2020-03-18T14:42:02.730095Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-03-18T14:42:02.730449Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "df531d66173235167ac502b867f3cae2170xxxxx",
        "source": "cloud",
        "updatedAt": "2020-04-08T07:27:35.686775Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-04-08T07:27:35.687168Z"
    }
]
Pesan output

Tindakan Get Blacklist dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved blocklisted hashes based on the provided filter criteria in SentinelOne.

No blocklisted hashes were found for the provided criteria in SentinelOne.

 Tindakan berhasil.
Error executing action "Get Blacklist". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Blacklist:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Hasil Kueri Visibilitas Mendalam

Gunakan tindakan Dapatkan Hasil Kueri Visibilitas Mendalam untuk mengambil informasi tentang hasil kueri Visibilitas Mendalam.

Jalankan tindakan ini bersama dengan tindakan Mulai Kueri Visibilitas Mendalam.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Deep Visibility Query Result memerlukan parameter berikut:

Parameter Deskripsi
Query ID

Wajib.

ID kueri untuk menampilkan hasil.

Nilai ID tersedia di hasil JSON tindakan Mulai Kueri Visibilitas Mendalam sebagai parameter query_id.
Limit

Opsional.

Jumlah peristiwa yang akan ditampilkan.

Nilai maksimum adalah 100.

Nilai defaultnya adalah 50.

Output tindakan

Tindakan Get Deep Visibility Query Result memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan Get Deep Visibility Query Result dapat menampilkan tabel berikut:

Nama tabel: SentinelOne Events

Kolom tabel:

  • Jenis Peristiwa
  • Nama Situs
  • Waktu
  • OS Agen
  • ID Proses
  • UID Proses
  • Nama Proses
  • MD5
  • SHA256
Pesan output

Tindakan Get Deep Visibility Query Result dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan
Successfully found events for query: QUERY_ID. Tindakan berhasil.
Error executing action "Get Deep Visibility Query Result". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Deep Visibility Query Result:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Peristiwa untuk Endpoint Hours Back

Gunakan tindakan Get Events for Endpoint Hours Back untuk mengambil informasi tentang peristiwa terbaru di endpoint.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tindakan Get Events for Endpoint Hours Back memerlukan parameter berikut:

Parameter Deskripsi
Hours Back

Wajib.

Jumlah jam sebelum saat ini untuk mengambil peristiwa.
Events Amount Limit

Opsional.

Jumlah maksimum peristiwa yang akan ditampilkan untuk setiap jenis peristiwa.

Nilai defaultnya adalah 50.
Include File Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa file.
Include Indicator Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa indicator.
Include DNS Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa DNS.
Include Network Actions Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa network actions.
Include URL Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa URL.
Include Registry Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa registry.
Include Scheduled Task Events Information

Opsional.

Jika dipilih, tindakan akan meminta informasi tentang peristiwa scheduled task.

Output tindakan

Tindakan Get Events for Endpoint Hours Back memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Events for Endpoint Hours Back:

{
    "data": [
        {
            "activeContentFileId": null,
            "activeContentHash": null,
            "activeContentPath": null,
            "activeContentSignedStatus": null,
            "activeContentType": null,
            "agentDomain": "",
            "agentGroupId": "GROUP_ID",
            "agentId": "ID",
            "agentInfected": false,
            "agentIp": "192.0.2.160",
            "agentIsActive": true,
            "agentIsDecommissioned": false,
            "agentMachineType": "server",
            "agentName": "ip-203-0-113-205",
            "agentNetworkStatus": "connected",
            "agentOs": "linux",
            "agentTimestamp": "2020-03-19T08:17:01.575Z",
            "agentUuid": "UUID",
            "agentVersion": "3.3.1.14",
            "attributes": [
                {
                    "display": "Created At",
                    "display_attribute": false,
                    "field_id": "agentTimestamp",
                    "priority": 3,
                    "queryable": false,
                    "section": "Main Attributes",
                    "value": "2020-03-19T08:17:01.575Z"
                },{
                    "display": "Site ID",
                    "display_attribute": false,
                    "field_id": "siteId",
                    "priority": 7,
                    "queryable": true,
                    "section": "Endpoint Info",
                    "value": null
                }
            ],
            "containerId": null,
            "containerImage": null,
            "containerLabels": null,
            "containerName": null,
            "createdAt": "2020-03-19T08:17:01.575000Z",
            "eventType": "Process Creation",
            "hasParent": true,
            "id": "ID",
            "k8sCluame": null,
            "k8sControllerLabels": null,
            "k8sControllerName": null,
            "k8sControllerType": null,
            "k8sNamespace": null,
            "k8sNamespaceLabels": null,
            "k8sNode": null,
            "k8sPodLabels": null,
            "k8sPodName": null,
            "md5": null,
            "objectType": "process",
            "parentPid": "32461",
            "parentProcessName": "dash",
            "parentProcessStartTime": "2020-03-19T08:17:01.785Z",
            "parentProcessUniqueKey": "KEY",
            "pid": "32462",
            "processCmd": " run-parts --report /etc/cron.hourly",
            "processDisplayName": null,
            "processGroupId": "GROUP_ID",
            "processImagePath": "/bin/run-parts",
            "processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
            "processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
            "processIsRedirectedCommandProcessor": "False",
            "processIsWow64": "False",
            "processName": "run-parts",
            "processRoot": "False",
            "processSessionId": "0",
            "processStartTime": "2020-03-19T08:17:01.787Z",
            "processSubSystem": "SUBSYSTEM_UNKNOWN",
            "processUniqueKey": "KEY",
            "publisher": null,
            "relatedToThreat": "False",
            "sha256": null,
            "signatureSignedInvalidReason": null,
            "signedStatus": "unsigned",
            "siteName": "example.com",
            "trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
            "user": "unknown",
            "verifiedStatus": null
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 632
    }
}
Pesan output

Tindakan Get Events for Endpoint Hours Back dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved information about the events for the following endpoints: ENDPOINT_ID.

Action wasn't able to find any events for the following endpoints: ENDPOINT_ID.

No information events for the provided endpoints.

 Tindakan berhasil.
Error executing action "Get Events for Endpoint Hours Back". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Events for Endpoint Hours Back:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Detail Grup

Gunakan tindakan Dapatkan Detail Grup untuk mengambil informasi mendetail tentang grup yang diberikan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Group Details memerlukan parameter berikut:

Parameter Deskripsi
Group Names

Wajib.

Nama grup untuk mengambil detail. Parameter ini menerima beberapa nilai sebagai daftar yang dipisahkan koma.

Output tindakan

Tindakan Get Group Details memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan Get Group Details dapat menampilkan tabel berikut:

Nama tabel: SentinelOne Groups

Kolom tabel:

  • ID
  • Nama
  • Jenis
  • Peringkat
  • Kreator
  • Waktu Pembuatan
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Group Details:

[
    {
        "GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
    }
]
Pesan output

Tindakan Get Group Details dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved information about the following groups in SentinelOne: GROUP_NAME.

Action wasn't able to retrieve information about the following groups in SentinelOne: GROUP_NAME.

No information about provided groups was found.

 Tindakan berhasil.
Error executing action "Get Group Details". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Group Details:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Reputasi Hash

(Tidak digunakan lagi) Gunakan tindakan Get Hash Reputation untuk mengambil informasi tentang hash dari SentinelOne.

Tindakan ini dijalankan pada entity Hash Google SecOps.

Input tindakan

Tindakan Get Hash Reputation memerlukan parameter berikut:

Parameter Deskripsi
Reputation Threshold

Opsional.

Batas reputasi untuk menandai entitas sebagai mencurigakan.

Jika Anda tidak menetapkan nilai, tindakan tidak akan menandai entity apa pun sebagai mencurigakan.

Nilai maksimum adalah 10.

Nilai defaultnya adalah 5.
Create Insight

Opsional.

Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang reputasi.
Only Suspicious Hashes Insight

Opsional.

Jika dipilih, tindakan ini hanya membuat insight untuk hash dengan reputasi yang melebihi atau sama dengan nilai Reputation Threshold.

Output tindakan

Tindakan Get Hash Reputation memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tersedia
Hasil JSON Tidak tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Tabel pengayaan

Tindakan Get Hash Reputation dapat memperkaya kolom berikut:

Nama kolom pengayaan Penerapan
SENO_reputation Menampilkan apakah ada dalam hasil JSON.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Hash Reputation:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Daftar Proses untuk Endpoint - Tidak digunakan lagi

Mendapatkan Status Sistem

Gunakan tindakan Dapatkan Status Sistem untuk mengambil status sistem.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Get System Status memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get System Status:

{
    "system_status": {
        "data": {
            "health": "ok"
        }},
    "db_status": {
        "data": {
            "health": "ok"
        }},
    "cache_status": {
        "data": {
            "health": "ok"
        }
    }
}
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get System Status:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Versi Sistem

Gunakan tindakan Get System Version untuk mengambil versi sistem.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Get System Version memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get System Version:

Nama hasil skrip Nilai
is_success True atau False

Mendapatkan Ancaman

Gunakan tindakan Get Threats untuk mengambil informasi tentang ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Threats memerlukan parameter berikut:

Parameter Deskripsi
Mitigation Status

Opsional.

Daftar status ancaman yang dipisahkan koma.

Tindakan ini hanya menampilkan ancaman yang cocok dengan status yang dikonfigurasi.

Kemungkinan nilainya adalah sebagai berikut:

  • mitigated
  • active
  • blocked
  • suspicious
  • suspicious_resolved
Created until

Opsional.

Waktu berakhir untuk ancaman, seperti 2020-03-02T21:30:13.014874Z.
Created from

Opsional.

Waktu mulai ancaman, seperti 2020-03-02T21:30:13.014874Z.
Resolved Threats

Opsional.

Jika dipilih, tindakan hanya akan menampilkan ancaman yang telah diselesaikan.
Threat Display Name

Opsional.

Nama tampilan ancaman yang akan ditampilkan.
Limit

Opsional.

Jumlah ancaman yang akan ditampilkan.

Nilai defaultnya adalah 10.
API Version

Opsional.

Versi API yang akan digunakan dalam tindakan.

Jika Anda tidak menetapkan nilai, tindakan akan menggunakan versi 2.1.

Versi API memengaruhi struktur hasil JSON. Sebaiknya tetapkan versi API terbaru.

Kemungkinan nilainya adalah sebagai berikut:

  • 2.0
  • 2.1

Nilai defaultnya adalah 2.0.

Output tindakan

Tindakan Get Threats memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Threats:

{
            "accountId": "ACCOUNT_ID",
            "accountName": "ACCOUNT_NAME",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "192.0.2.176",
            "agentIsActive": false,
            "agentIsDecommissioned": false,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connected",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "838490132723152335",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "external_ticket_id": null,
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "THREAT_ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "0BB46E119EF0AE51",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": true,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": "sent"
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-07-07T17:19:48.260119Z",
            "username": "DESKTOP-example\\ddiserens",
            "whiteningOptions": []
}
Pesan output

Tindakan Get Threats dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved information about the available threats in SentinelOne.

No information about threats was found based on the provided criteria.

 Tindakan berhasil.
Error executing action "Get Threats". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Threats:

Nama hasil skrip Nilai
is_success True atau False

Mulai Kueri Visibilitas Mendalam

Gunakan tindakan Initiate Deep Visibility Query untuk memulai penelusuran kueri Deep Visibility.

Tindakan ini menampilkan nilai ID kueri yang diperlukan oleh tindakan Get Deep Visibility Query Result.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Initiate Deep Visibility Query memerlukan parameter berikut:

Parameter Deskripsi
Query

Wajib.

Kueri untuk penelusuran.

Untuk mengetahui informasi selengkapnya tentang sintaksis kueri, lihat SentinelOne Deep Visibility Cheat Sheet.
Start Date

Opsional.

Tanggal mulai penelusuran.

Jika Anda tidak menetapkan nilai, tindakan akan mengambil peristiwa 30 hari sebelum sekarang secara default.
End Date

Opsional.

Tanggal akhir penelusuran.

Jika Anda tidak menetapkan nilai, tindakan akan menggunakan waktu saat ini.

Output tindakan

Tindakan Mulai Kueri Visibilitas Mendalam memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Mulai Kueri Visibilitas Mendalam:

[
    {
        "query_id": "QUERY_ID"
    }
]
Pesan output

Tindakan Initiate Deep Visibility Query dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully created a Deep Visibility query. Query ID: QUERY_ID.

Failed to create a Deep Visibility query.

 Tindakan berhasil.
Error executing action "Initiate Deep Visibility Query". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Mulai Kueri Visibilitas Mendalam:

Nama hasil skrip Nilai
is_success True atau False

Mulai Pemindaian Penuh

Gunakan tindakan Mulai Pemindaian Penuh untuk memulai pemindaian disk penuh di endpoint di SentinelOne.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tidak ada.

Output tindakan

Tindakan Initiate Full Scan memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Mulai Pemindaian Penuh dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully started the full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

Action wasn't able to start a full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

No full disk scans were initiated.

 Tindakan berhasil.
Error executing action "Initiate Full Scan". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Mulai Pemindaian Penuh:

Nama hasil skrip Nilai
is_success True atau False

Mencantumkan Situs

Gunakan tindakan List Sites untuk mencantumkan situs yang tersedia di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Sites memerlukan parameter berikut:

Parameter Deskripsi
Filter Key

Opsional.

Kunci untuk memfilter situs.

Kemungkinan nilainya adalah sebagai berikut:

  • Select One
  • Name
  • ID

Nilai defaultnya adalah Select One.
Filter Logic

Opsional.

Logika filter yang akan diterapkan.

Logika filter menggunakan nilai yang ditetapkan dalam parameter Filter Key.

Kemungkinan nilainya adalah sebagai berikut:

  • Not Specified
  • Equal
  • Contains

Nilai defaultnya adalah Not Specified.
Filter Value

Opsional.

Nilai yang akan digunakan dalam filter.

Logika filter menggunakan nilai yang ditetapkan dalam parameter Filter Key.

Jika Anda memilih Equal di parameter Filter Logic, tindakan akan menelusuri kecocokan persis di antara hasil.

Jika Anda memilih Contains di parameter Filter Logic, tindakan akan menelusuri hasil yang berisi substring yang ditentukan.

Jika Anda tidak menetapkan nilai, tindakan akan mengabaikan filter.
Max Records To Return

Opsional.

Jumlah data yang akan ditampilkan.

Nilai defaultnya adalah 50.

Output tindakan

Tindakan List Sites memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan List Sites dapat menampilkan tabel berikut:

Nama tabel: Situs yang Tersedia

Kolom tabel:

  • Nama
  • ID
  • Kreator
  • Akhir masa berlaku
  • Jenis
  • Status
Pesan output

Tindakan List Sites dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully found sites for the provided criteria in SentinelOne.

No sites were found for the provided criteria in SentinelOne.

The filter was not applied, because parameter "Filter Value" has an empty value.

 Tindakan berhasil.
Error executing action "List Sites". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Sites:

Nama hasil skrip Nilai
is_success True atau False

Tandai sebagai Ancaman

Gunakan tindakan Tandai sebagai Ancaman untuk menandai ancaman mencurigakan sebagai ancaman positif sebenarnya di SentinelOne.

Untuk menandai ancaman di SentinelOne, Anda memerlukan salah satu peran berikut:

  • Admin
  • IR Team
  • SOC

Anda hanya dapat menandai deteksi yang mencurigakan sebagai ancaman.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tandai sebagai Ancaman memerlukan parameter berikut:

Parameter Deskripsi
Threat IDs

Wajib.

Daftar ID deteksi yang dipisahkan koma untuk ditandai sebagai ancaman.

Output tindakan

Tindakan Tandai sebagai Ancaman memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tandai sebagai Ancaman:

[
    {
        "ID": "DETECTION_ID",
        "marked_as_threat": "true"
    }
]
Pesan output

Tindakan Tandai sebagai Ancaman dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully marked the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mark the following threats in SentinelOne: THREAT_ID.

No threats were marked.

 Tindakan berhasil.
Error executing action "Mark as Threat". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tandai sebagai Ancaman:

Nama hasil skrip Nilai
is_success True atau False

Memitigasi Ancaman

Gunakan tindakan Mitigasi Ancaman untuk menjalankan tindakan mitigasi pada ancaman di SentinelOne.

Untuk mengurangi ancaman di SentinelOne, Anda memerlukan salah satu peran berikut:

  • Admin
  • IR Team
  • SOC

Rollback hanya berlaku untuk Windows. Perbaikan ancaman hanya berlaku untuk macOS dan Windows.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Mitigate Threat memerlukan parameter berikut:

Parameter Deskripsi
Mitigation action

Wajib.

Tindakan mitigasi untuk ancaman yang terdeteksi.

Kemungkinan nilainya adalah sebagai berikut:

  • quarantine
  • kill
  • un-quarantine
  • remediate
  • rollback-remediate

Nilai defaultnya adalah quarantine.
Threat IDs

Wajib.

Daftar ID ancaman yang dipisahkan koma untuk dimitigasi.

Output tindakan

Tindakan Mitigate Threat memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Mitigate Threat:

[
        {
            "mitigated": true,
            "mitigation_action": "quarantine",
            "Threat_ID": "THREAT_ID"
        }
]
Pesan output

Tindakan Mitigasi Ancaman dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully mitigated the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mitigate the following threats in SentinelOne: THREAT_ID.

No threats were mitigated.

 Tindakan berhasil.
Error executing action "Mitigate Threat". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Mitigasi Ancaman:

Nama hasil skrip Nilai
is_success True atau False

Memindahkan Agen

Gunakan tindakan Pindahkan Agen untuk memindahkan agen ke grup yang disediakan dari situs yang sama.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tindakan Pindahkan Agen memerlukan parameter berikut:

Parameter Deskripsi
Group ID

Opsional.

ID grup tempat agen akan dipindahkan.
Group Name

Opsional.

Nama grup tempat agen akan dipindahkan.

Jika Anda mengonfigurasi parameter Group ID dan parameter Group Name, tindakan akan memprioritaskan parameter Group ID.

Output tindakan

Tindakan Move Agents memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Move Agents dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully moved the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

Action wasn't able to move the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

No endpoints were moved to the group ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne.

Tindakan berhasil.
Error executing action "Move Agents". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Move Agents:

Nama hasil skrip Nilai
is_success True atau False

Ping

Gunakan tindakan Ping untuk menguji konektivitas.

Tindakan ini berjalan di semua entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip Nilai
is_success True atau False

Menghubungkan Kembali Agen ke Jaringan

Gunakan tindakan Hubungkan Kembali Agen ke Jaringan untuk menghubungkan kembali endpoint yang terputus ke jaringan.

Tindakan ini berjalan di entity Google SecOps berikut:

  • IP Address
  • Hostname

Input tindakan

Tidak ada.

Output tindakan

Tindakan Reconnect Agent to the Network memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tidak tersedia
Hasil skrip Tersedia
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Reconnect Agent to the Network:

Nama hasil skrip Nilai
is_success True atau False

Mengatasi Ancaman

Gunakan tindakan Selesaikan Ancaman untuk menyelesaikan ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Selesaikan Ancaman memerlukan parameter berikut:

Parameter Deskripsi
Threat IDs

Wajib.

Daftar ID ancaman yang dipisahkan koma untuk diselesaikan.
Annotation

Opsional.

Justifikasi untuk mengatasi ancaman.

Output tindakan

Tindakan Selesaikan Ancaman memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Selesaikan Ancaman:

[
    {
        "resolved": false,
        "Threat_ID": "THREAT_ID"
        }
]
Pesan output

Tindakan Selesaikan Ancaman dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully resolved the following threats in SentinelOne: THREAT_ID.

Action wasn't able to resolve the following threats in SentinelOne: THREAT_ID.

No threats were resolved.

 Tindakan berhasil.
Error executing action "Resolve Threat". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Selesaikan Ancaman:

Nama hasil skrip Nilai
is_success True atau False

Perbarui Notifikasi

Gunakan tindakan Perbarui Pemberitahuan untuk memperbarui pemberitahuan ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Alert memerlukan parameter berikut:

Parameter Deskripsi
Alert ID

Wajib.

ID pemberitahuan yang akan diperbarui.
Status

Opsional.

Status untuk pemberitahuan.

Kemungkinan nilainya adalah sebagai berikut:

  • Unresolved
  • In Progress
  • Resolved
Verdict

Opsional.

Putusan untuk pemberitahuan.

Kemungkinan nilainya adalah sebagai berikut:

  • True Positive
  • False Positive
  • Suspicious

Output tindakan

Tindakan Update Alert memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Perbarui Pemberitahuan:

{
           "agentDetectionInfo": {
               "accountId": "1727154225040260868",
               "machineType": "server",
               "name": "windows-server-20230913",
               "osFamily": "windows",
               "osName": "Windows Server 2019 Datacenter",
               "osRevision": "17763",
               "siteId": "1727154229628829519",
               "uuid": "da943d26318e46a8b3f6fc480c02636d",
               "version": "23.1.2.400"
           },
           "agentRealtimeInfo": {
               "id": "1896661984701699721",
               "infected": true,
               "isActive": true,
               "isDecommissioned": false,
               "machineType": "server",
               "name": "windows-server-20230913",
               "os": "windows",
               "uuid": "da943d26318e46a8b3f6fc480c02636d"
           },
           "alertInfo": {
               "alertId": "1947486263439640318",
               "analystVerdict": "Undefined",
               "createdAt": "2024-05-11T00:27:23.135000Z",
               "dnsRequest": null,
               "dnsResponse": null,
               "dstIp": null,
               "dstPort": null,
               "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
               "eventType": "REGVALUEMODIFIED",
               "hitType": "Events",
               "incidentStatus": "Unresolved",
               "indicatorCategory": null,
               "indicatorDescription": null,
               "indicatorName": null,
               "isEdr": true,
               "loginAccountDomain": null,
               "loginAccountSid": null,
               "loginIsAdministratorEquivalent": null,
               "loginIsSuccessful": null,
               "loginType": null,
               "loginsUserName": null,
               "modulePath": null,
               "moduleSha1": null,
               "netEventDirection": null,
               "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryOldValue": "0060030100000000",
               "registryOldValueType": "BINARY",
               "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryValue": "0070030100000000",
               "reportedAt": "2024-05-11T00:27:33.873767Z",
               "source": "STAR",
               "srcIp": null,
               "srcMachineIp": null,
               "srcPort": null,
               "tiIndicatorComparisonMethod": null,
               "tiIndicatorSource": null,
               "tiIndicatorType": null,
               "tiIndicatorValue": null,
               "updatedAt": "2025-05-12T18:41:08.366615Z"
           },
           "containerInfo": {
               "id": null,
               "image": null,
               "labels": null,
               "name": null
           },
           "kubernetesInfo": {
               "cluster": null,
               "controllerKind": null,
               "controllerLabels": null,
               "controllerName": null,
               "namespace": null,
               "namespaceLabels": null,
               "node": null,
               "pod": null,
               "podLabels": null
           },
           "ruleInfo": {
               "description": null,
               "id": "1763599692710649014",
               "name": "Registry Value Modified",
               "queryLang": "1.0",
               "queryType": "events",
               "s1ql": "EventType = \"Registry Value Modified\"",
               "scopeLevel": "account",
               "severity": "Critical",
               "treatAsThreat": "UNDEFINED"
           },
           "sourceParentProcessInfo": {
               "commandline": "C:\\Windows\\system32\\services.exe",
               "effectiveUser": null,
               "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
               "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
               "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
               "filePath": "C:\\Windows\\System32\\services.exe",
               "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "services.exe",
               "pid": "896",
               "pidStarttime": "2024-04-26T17:33:41.962000Z",
               "realUser": null,
               "storyline": "DD880F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "DC880F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "sourceProcessInfo": {
               "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
               "effectiveUser": null,
               "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
               "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
               "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
               "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
               "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "cyserver.exe",
               "pid": "3204",
               "pidStarttime": "2024-04-26T17:34:17.273000Z",
               "realUser": null,
               "storyline": "74890F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "73890F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "targetProcessInfo": {
               "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
               "tgtFileHashSha1": null,
               "tgtFileHashSha256": null,
               "tgtFileId": null,
               "tgtFileIsSigned": "signed",
               "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
               "tgtFileOldPath": null,
               "tgtFilePath": null,
               "tgtProcCmdLine": null,
               "tgtProcImagePath": null,
               "tgtProcIntegrityLevel": "unknown",
               "tgtProcName": null,
               "tgtProcPid": null,
               "tgtProcSignedStatus": null,
               "tgtProcStorylineId": null,
               "tgtProcUid": null,
               "tgtProcessStartTime": "1970-01-01T00:00:00Z"
           }
       }
Pesan output

Tindakan Update Alert dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan
Successfully updated alert with ID ALERT_ID in SentinelOne. Tindakan berhasil.
Error executing action "Update Alert". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Pemberitahuan:

Nama hasil skrip Nilai
is_success True atau False

Memperbarui Keputusan Analis

Gunakan tindakan Perbarui Keputusan Analis untuk memperbarui keputusan analis terkait ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Analyst Verdict memerlukan parameter berikut:

Parameter Deskripsi
Threat ID

Wajib.

Daftar ID ancaman yang dipisahkan koma untuk memperbarui putusan analis.
Analyst Verdict

Wajib.

Putusan analis.

Kemungkinan nilainya adalah sebagai berikut:

  • True Positive
  • False Positive
  • Suspicious
  • Undefined

Nilai defaultnya adalah Undefined.

Output tindakan

Tindakan Perbarui Keputusan Analis memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Update Analyst Verdict dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully updated analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the provided threats in SentinelOne.

 Tindakan berhasil.
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Keputusan Analis:

Nama hasil skrip Nilai
is_success True atau False

Memperbarui Status Insiden

Gunakan tindakan Perbarui Status Insiden untuk memperbarui status insiden ancaman di SentinelOne.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Incident Status memerlukan parameter berikut:

Parameter Deskripsi
Threat ID

Wajib.

Daftar ID ancaman yang dipisahkan koma untuk memperbarui status insiden.
Status

Wajib.

Status insiden.

Kemungkinan nilainya adalah sebagai berikut:

  • Unresolved
  • In Progress
  • Resolved

Nilai defaultnya adalah Resolved.

Output tindakan

Tindakan Update Incident Status memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Perbarui Status Insiden dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully updated incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the provided threats in SentinelOne.

 Tindakan berhasil.
Error executing action "Update Incident Status". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Update Incident Status:

Nama hasil skrip Nilai
is_success True atau False

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

SentinelOne - Konektor Pemberitahuan

Gunakan SentinelOne - Alerts Connector untuk menyerap pemberitahuan dari SentinelOne.

Konektor memungkinkan Anda memfilter pemberitahuan menggunakan daftar dinamis berdasarkan parameter ruleInfo.name. Perilaku daftar ini bergantung pada parameter Use dynamic list as a blocklist.

  • Jika Anda tidak memilih Use dynamic list as a blocklist:

    Daftar dinamis berfungsi sebagai daftar yang diizinkan. Konektor hanya menyerap pemberitahuan yang ruleInfo.name-nya cocok dengan nilai dalam daftar. Jika daftar kosong, tidak ada pemberitahuan yang diproses.

  • Jika Anda memilih Use dynamic list as a blocklist:

    Daftar dinamis berfungsi sebagai daftar blokir. Konektor menyerap semua pemberitahuan, kecuali pemberitahuan yang ruleInfo.name-nya cocok dengan nilai dalam daftar. Jika daftar kosong, semua pemberitahuan akan diproses.

Parameter konektor

SentinelOne - Alerts Connector memerlukan parameter berikut:

Parameter Deskripsi
Product Field Name

Wajib.

Nama kolom tempat nama produk disimpan.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.

Nilai defaultnya adalah Product Name.
Event Field Name

Wajib.

Nama kolom yang menentukan nama peristiwa (subjenis).

Nilai defaultnya adalah ruleInfo_name.
Environment Field Name

Opsional.

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.

Nilai defaultnya adalah "".
Environment Regex Pattern

Opsional.

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.

Nilai defaultnya adalah .*.
PythonProcessTimeout

Wajib.

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.

Nilai defaultnya adalah 180.
API Root

Wajib.

Root API instance SentinelOne.
API Token

Wajib.

Token SentinelOne API.
Status Filter

Opsional.

Daftar status pemberitahuan yang dipisahkan koma untuk diproses.

Kemungkinan nilainya adalah sebagai berikut:

  • Unresolved
  • In Progress
  • Resolved

Jika tidak ada nilai yang diberikan, konektor akan mengambil pemberitahuan dengan status Unresolved dan In Progress.
Case Name Template

Opsional.

Template untuk menentukan nama kasus kustom. Konektor menambahkan kunci custom_case_name ke acara.

Anda dapat menggunakan placeholder dalam format FIELD_NAME, yang diisi dari nilai string peristiwa pertama.

Contoh: Phishing - EVENT_MAILBOX.
Alert Name Template

Opsional.

Template untuk menentukan nama pemberitahuan.

Anda dapat menggunakan placeholder dalam format FIELD_NAME, yang diisi dari nilai string peristiwa pertama.

Contoh: Phishing - EVENT_MAILBOX.

Jika nilai tidak diberikan atau template tidak valid, konektor akan menggunakan nama pemberitahuan default.
Lowest Severity To Fetch

Opsional.

Tingkat keparahan terendah dari pemberitahuan yang akan diambil.

Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.

Kemungkinan nilainya adalah sebagai berikut:

  • Info
  • Low
  • Medium
  • High
  • Critical

Jika tidak ada nilai yang diberikan, semua tingkat keparahan akan diproses.
Max Hours Backwards

Wajib.

Jumlah jam sebelum waktu saat ini untuk mengambil pemberitahuan.

Nilai defaultnya adalah 24.
Max Alerts To Fetch

Wajib.

Jumlah maksimum pemberitahuan yang akan diproses di setiap iterasi konektor.

Nilai maksimum adalah 100.

Nilai defaultnya adalah 10.
Use dynamic list as a blocklist

Wajib.

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.

Tidak diaktifkan secara default.
Disable Overflow

Opsional.

Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps.

Tidak diaktifkan secara default.
Verify SSL

Wajib.

Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server SentinelOne.

Diaktifkan secara default.
Proxy Server Address

Opsional.

Alamat server proxy yang akan digunakan.
Proxy Username

Opsional.

Nama pengguna proxy untuk melakukan autentikasi.
Proxy Password

Opsional.

Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Struktur pemberitahuan

Tabel berikut menjelaskan pemetaan kolom pemberitahuan SentinelOne ke kolom pemberitahuan Google SecOps:

Kolom Pemberitahuan Siemplify Kolom Pemberitahuan SentinelOne (kunci JSON dari API)
SourceSystemName Diisi oleh framework.
TicketId alertInfo.alertId
DisplayId SentinelOne_Alert_{alertInfo.alertId}
Name SentinelOne Alert: {ruleInfo.name}
Reason ruleInfo.s1q1
Description ruleInfo.description
DeviceVendor Hardcode: SentinelOne
DeviceProduct Nilai penggantian: Alerts
Priority Dipetakan dari ruleInfo.severity
RuleGenerator SentinelOne Alert: {ruleInfo.name}
SourceGroupingIdentifier ruleInfo.name
Severity Dipetakan dari ruleInfo.severity
Risk Score Representasi bilangan bulat tingkat keparahan
StartTime Dikonversi dari alertInfo.createdAt
EndTime Dikonversi dari alertInfo.createdAt
Siemplify Alert - Extensions T/A
Siemplify Alert - Attachments T/A

Peristiwa Konektor

Contoh peristiwa konektor adalah sebagai berikut:

{
    "agentDetectionInfo": {
        "accountId": "1727154225040260868",
        "machineType": "server",
        "name": "windows-server-20230913",
        "osFamily": "windows",
        "osName": "Windows Server 2019 Datacenter",
        "osRevision": "17763",
        "siteId": "1727154229628829519",
        "uuid": "da943d26318e46a8b3f6fc480c02636d",
        "version": "23.1.2.400"
    },
    "agentRealtimeInfo": {
        "id": "1896661984701699721",
        "infected": true,
        "isActive": true,
        "isDecommissioned": false,
        "machineType": "server",
        "name": "windows-server-20230913",
        "os": "windows",
        "uuid": "da943d26318e46a8b3f6fc480c02636d"
    },
    "alertInfo": {
        "alertId": "1947486263439640318",
        "analystVerdict": "Undefined",
        "createdAt": "2024-05-11T00:27:23.135000Z",
        "dnsRequest": null,
        "dnsResponse": null,
        "dstIp": null,
        "dstPort": null,
        "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
        "eventType": "REGVALUEMODIFIED",
        "hitType": "Events",
        "incidentStatus": "Unresolved",
        "indicatorCategory": null,
        "indicatorDescription": null,
        "indicatorName": null,
        "isEdr": true,
        "loginAccountDomain": null,
        "loginAccountSid": null,
        "loginIsAdministratorEquivalent": null,
        "loginIsSuccessful": null,
        "loginType": null,
        "loginsUserName": null,
        "modulePath": null,
        "moduleSha1": null,
        "netEventDirection": null,
        "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryOldValue": "0060030100000000",
        "registryOldValueType": "BINARY",
        "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryValue": "0070030100000000",
        "reportedAt": "2024-05-11T00:27:33.873767Z",
        "source": "STAR",
        "srcIp": null,
        "srcMachineIp": null,
        "srcPort": null,
        "tiIndicatorComparisonMethod": null,
        "tiIndicatorSource": null,
        "tiIndicatorType": null,
        "tiIndicatorValue": null,
        "updatedAt": "2025-05-12T18:41:08.366615Z"
    },
    "containerInfo": {
        "id": null,
        "image": null,
        "labels": null,
        "name": null
    },
    "kubernetesInfo": {
        "cluster": null,
        "controllerKind": null,
        "controllerLabels": null,
        "controllerName": null,
        "namespace": null,
        "namespaceLabels": null,
        "node": null,
        "pod": null,
        "podLabels": null
    },
    "ruleInfo": {
        "description": null,
        "id": "1763599692710649014",
        "name": "Registry Value Modified",
        "queryLang": "1.0",
        "queryType": "events",
        "s1ql": "EventType = \"Registry Value Modified\"",
        "scopeLevel": "account",
        "severity": "Critical",
        "treatAsThreat": "UNDEFINED"
    },
    "sourceParentProcessInfo": {
        "commandline": "C:\\Windows\\system32\\services.exe",
        "effectiveUser": null,
        "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
        "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
        "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
        "filePath": "C:\\Windows\\System32\\services.exe",
        "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "services.exe",
        "pid": "896",
        "pidStarttime": "2024-04-26T17:33:41.962000Z",
        "realUser": null,
        "storyline": "DD880F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "DC880F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "sourceProcessInfo": {
        "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
        "effectiveUser": null,
        "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
        "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
        "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
        "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
        "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "cyserver.exe",
        "pid": "3204",
        "pidStarttime": "2024-04-26T17:34:17.273000Z",
        "realUser": null,
        "storyline": "74890F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "73890F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "targetProcessInfo": {
        "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
        "tgtFileHashSha1": null,
        "tgtFileHashSha256": null,
        "tgtFileId": null,
        "tgtFileIsSigned": "signed",
        "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
        "tgtFileOldPath": null,
        "tgtFilePath": null,
        "tgtProcCmdLine": null,
        "tgtProcImagePath": null,
        "tgtProcIntegrityLevel": "unknown",
        "tgtProcName": null,
        "tgtProcPid": null,
        "tgtProcSignedStatus": null,
        "tgtProcStorylineId": null,
        "tgtProcUid": null,
        "tgtProcessStartTime": "1970-01-01T00:00:00Z"
    }
}

SentinelOne - Threats Connector

Gunakan SentinelOne - Threats Connector untuk menyerap ancaman dari SentinelOne.

Konektor ini memungkinkan Anda memfilter pemberitahuan berdasarkan daftar dinamis.

SentinelOne - Threats Connector memfilter pemberitahuan menggunakan parameter alert_name.

Jika Anda memilih parameter Use whitelist as a blacklist, konektor hanya menyerap pemberitahuan yang alert_name-nya tidak cocok dengan nilai apa pun dalam daftar dinamis.

Jika Anda tidak mengonfigurasi nilai alert_name dalam daftar dinamis, konektor akan menyerap semua pemberitahuan.

Jika Anda tidak memilih parameter Use whitelist as a blacklist, konektor hanya menyerap pemberitahuan yang alert_name-nya cocok dengan nilai dalam daftar dinamis.

Input konektor

SentinelOne - Threats Connector memerlukan parameter berikut:

Parameter Deskripsi
Product Field Name

Wajib.

Nama kolom tempat nama produk disimpan.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default siemplify_event di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.

Nilai defaultnya adalah siemplify_event.
Event Field Name

Wajib.

Nama kolom yang menentukan nama peristiwa (subjenis).

Nilai defaultnya adalah threatinfo_classification.
Environment Field Name

Opsional.

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.

Nilai defaultnya adalah "".
Environment Regex Pattern

Opsional.

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Script Timeout

Wajib.

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.

Nilai defaultnya adalah 180.
API Root

Wajib.

Root SentinelOne API.

Nilai defaultnya adalah https://usea1-partners.sentinelone.net/.
API Token

Wajib.

Token SentinelOne API.
API Version

Opsional.

Versi SentinelOne API yang akan digunakan konektor.

Jika Anda tidak menetapkan nilai, konektor akan menggunakan versi API 2.0 secara default.
Fetch Max Days Backwards

Opsional.

Jumlah hari sebelum saat ini untuk mengambil pemberitahuan.

Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.

Nilai defaultnya adalah 1.
Max Alerts Per Cycle

Opsional.

Jumlah maksimum pemberitahuan yang akan diproses di setiap iterasi konektor.

Nilai defaultnya adalah 25.
Disable Overflow

Opsional.

Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps.

Tidak dipilih secara default.
Use whitelist as a blacklist

Wajib.

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.

Tidak dipilih secara default.
Verify SSL

Wajib.

Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server SentinelOne.

Dipilih secara default.
Proxy Server Address

Opsional.

Alamat server proxy yang akan digunakan.
Proxy Username

Opsional.

Nama pengguna proxy untuk melakukan autentikasi.
Proxy Password

Opsional.

Sandi proxy untuk mengautentikasi.
Event Object Type Filter

Opsional.

Daftar objek peristiwa yang dipisahkan koma untuk ditampilkan dengan informasi ancaman.

Konektor menggunakan parameter ini sebagai filter untuk hanya menampilkan objek tertentu, seperti process, ip, indicators.

Jika Anda tidak menetapkan nilai, konektor akan menyerap semua jenis objek peristiwa.
Event Type Filter

Opsional.

Daftar jenis peristiwa yang dipisahkan koma untuk ditampilkan dengan informasi ancaman.

Konektor menggunakan parameter ini sebagai filter untuk hanya menampilkan jenis peristiwa tertentu, seperti Process Creation, Behavioral Indicators.
Max Events To Return

Opsional.

Jumlah peristiwa yang akan ditampilkan untuk setiap ancaman.

Nilai maksimum adalah 199.

Nilai defaultnya adalah 199.

Aturan konektor

Konektor mendukung proxy.

Konektor mendukung daftar yang diizinkan dan daftar yang tidak diizinkan.

Peristiwa konektor

Contoh peristiwa konektor adalah sebagai berikut:

{
    "data": [
        {
            "accountId": "ACCOUNT_ID",
            "accountName": "SentinelOne",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "203.0.113.180",
            "agentIsActive": false,
            "agentIsDecommissioned": true,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connecting",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "annotationUrl": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "COLLECTION_ID",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "MALICED_GROUP_ID",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": false,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": null
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-04-02T14:51:21.901754Z",
            "username": "DESKTOP-example\\username",
            "whiteningOptions": [
                "hash"
            ]
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 161
    }
}

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.