Integra SentinelOne v2 con Google SecOps
Versione integrazione: 37.0
Questo documento spiega come configurare e integrare SentinelOne v2 con Google Security Operations (Google SecOps).
Questa integrazione utilizza l'API SentinelOne 2.0.
Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia compressa del codice sorgente completo di questa integrazione dal bucket Cloud Storage.
Casi d'uso
L'integrazione di SentinelOne può aiutarti a risolvere i seguenti casi d'uso:
Contenere gli endpoint infetti: utilizza le funzionalità di Google SecOps per isolare un host infetto e impedire il movimento laterale e l'esfiltrazione di dati.
Recupera informazioni dettagliate sugli endpoint: utilizza le funzionalità di Google SecOps per arricchire i dati sugli incidenti con un'analisi approfondita degli host per un contesto e un processo decisionale migliori. Puoi eseguire automaticamente query su SentinelOne per informazioni dettagliate su un endpoint coinvolto in un avviso, tra cui versione dell'agente, sistema operativo e interfacce di rete.
Avviare scansioni di visibilità approfondita: utilizza le funzionalità di Google SecOps per rilevare minacce e malware nascosti su macchine sospette e avvia una scansione completa del disco utilizzando SentinelOne quando viene rilevata attività sospetta, ad esempio modifiche insolite ai file o modifiche al registro.
Indaga sulle minacce con la threat intelligence: utilizza le funzionalità di Google SecOps per migliorare l'accuratezza correlando gli avvisi di SentinelOne con i dati di threat intelligence, inoltra gli hash sospetti, i percorsi dei file o gli indirizzi IP trovati negli avvisi di SentinelOne alle piattaforme di threat intelligence.
Triage del malware: utilizza le funzionalità di Google SecOps per classificare automaticamente il malware con strumenti di analisi statica per una risposta agli incidenti semplificata. Puoi estrarre campioni dagli endpoint infetti, attivare l'analisi all'interno del tuo ambiente e ricevere la classificazione del malware in base all'analisi statica.
Prima di iniziare
Per utilizzare l'integrazione SentinelOne v2, è necessario un token API SentinelOne.
Per generare il token API, completa i seguenti passaggi:
Nella console di gestione SentinelOne, vai a Impostazioni > Utenti.
Fai clic sul tuo nome utente.
Vai ad Actions (Azioni) > API Token Operations (Operazioni token API).
Fai clic su Genera token API. Copia il token API e utilizzalo per configurare l'integrazione. Il token API generato è valido per sei mesi.
Parametri di integrazione
L'integrazione di SentinelOne v2 richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API root |
Obbligatorio. La radice dell'API SentinelOne. Il valore predefinito è
|
API Token |
Obbligatorio. Il token API di SentinelOne. Per scoprire di più su come generare il token API per l'integrazione, consulta Prima di iniziare. Il criterio di sicurezza SentinelOne richiede di creare un nuovo token API ogni sei mesi. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Sentinel. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Aggiungere una nota sulla minaccia
Utilizza l'azione Aggiungi nota minaccia per aggiungere una nota alla minaccia in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiungi nota sulla minaccia richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat ID |
Obbligatorio. L'ID della minaccia a cui aggiungere una nota. |
Note |
Obbligatorio. Una nota da aggiungere alla minaccia. |
Output dell'azione
L'azione Aggiungi nota minaccia fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiungi nota minaccia può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiungi nota sulla minaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Crea record di lista nera di hash
Utilizza l'azione Crea record di lista nera hash per aggiungere hash a una lista bloccata in SentinelOne.
Questa azione supporta solo gli hash SHA-1.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Input azione
L'azione Crea record di lista nera hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Operating System |
Obbligatorio. Un sistema operativo per l'hash. I valori possibili sono:
Il valore predefinito è
|
Site IDs |
Facoltativo. Un elenco separato da virgole di ID sito da inviare alla lista bloccata. |
Group IDs |
Facoltativo. Un elenco separato da virgole di ID gruppo da inviare alla lista bloccata. |
Account IDs |
Facoltativo. Un elenco separato da virgole di ID account da inviare alla lista bloccata. |
Description |
Facoltativo. Informazioni aggiuntive relative a un hash. Il valore
predefinito è |
Add to global blocklist |
Obbligatorio. Se selezionata, l'azione aggiunge un hash a una lista bloccata globale. Se selezioni questo parametro, l'azione ignora i parametri
|
Output dell'azione
L'azione Crea record di elenco bloccato hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Create Hash Black List Record:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Messaggi di output
L'azione Crea record di elenco bloccato hash può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea record di lista nera hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Crea record di esclusione hash
Utilizza l'azione Crea record di esclusione hash per aggiungere un hash all'elenco di esclusione in SentinelOne.
Questa azione supporta solo gli hash SHA-1.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Input azione
L'azione Crea record di esclusione hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Operation System |
Obbligatorio. Un sistema operativo per l'hash. I valori possibili sono:
Il valore
predefinito è |
Site IDs |
Facoltativo. Un elenco separato da virgole di ID sito a cui inviare l'hash all'elenco di esclusione. L'azione richiede almeno un valore valido. |
Group IDs |
Facoltativo. Un elenco separato da virgole di ID gruppo a cui inviare l'hash all'elenco di esclusione. L'azione richiede almeno un valore valido. |
Account IDs |
Facoltativo. Un elenco separato da virgole di ID account a cui inviare l'hash all'elenco di esclusione. |
Description |
Facoltativo. Informazioni aggiuntive relative all'hash. |
Add to global exclusion list |
Facoltativo. Se selezionata, l'azione aggiunge un hash all'elenco di esclusione globale. Se selezioni questo parametro, l'azione ignora i parametri |
Output dell'azione
L'azione Crea record di esclusione hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Crea record di esclusione hash:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Messaggi di output
L'azione Crea record di esclusione hash può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea record di esclusione hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Crea record di esclusione del percorso
Utilizza l'azione Crea record di esclusione del percorso per aggiungere un percorso all'elenco di esclusioni in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Crea record di esclusione del percorso richiede i seguenti parametri:
Il valore
predefinito è Suppress Alerts.
| Parametro | Descrizione |
|---|---|
Path |
Obbligatorio. Un percorso da aggiungere all'elenco di esclusione. |
Operation System |
Obbligatorio. Un sistema operativo per l'hash. I valori possibili sono:
Il valore
predefinito è |
Site IDs |
Facoltativo. Un elenco separato da virgole di ID sito a cui inviare l'hash all'elenco di esclusione. L'azione richiede almeno un valore valido. |
Group IDs |
Facoltativo. Un elenco separato da virgole di ID gruppo a cui inviare l'hash all'elenco di esclusione. L'azione richiede almeno un valore valido. |
Account IDs |
Facoltativo. Un elenco separato da virgole di ID account a cui inviare l'hash all'elenco di esclusione. |
Description |
Facoltativo. Informazioni aggiuntive relative all'hash. |
Add to global exclusion list |
Facoltativo. Se selezionata, l'azione aggiunge un hash all'elenco di esclusione globale. Se selezioni questo parametro, l'azione ignora i parametri |
Include Subfolders |
Facoltativo. Se selezionata, l'azione include le sottocartelle del percorso fornito. Questo parametro si applica solo se configuri un percorso della cartella nel parametro |
Mode |
Facoltativo. Una modalità da utilizzare per il percorso escluso. I valori possibili sono:
|
Output dell'azione
L'azione Crea record di esclusione del percorso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Crea record di esclusione del percorso:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Messaggi di output
L'azione Crea record di esclusione del percorso può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea record di esclusione del percorso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elimina record della lista nera degli hash
Utilizza l'azione Elimina record della lista nera di hash per eliminare gli hash da una blocklist in SentinelOne.
Questa azione supporta solo gli hash SHA-1.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Input azione
L'azione Elimina record della blacklist degli hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Site IDs |
Facoltativo. Un elenco separato da virgole di ID sito per rimuovere l'hash. |
Group IDs |
Facoltativo. Un elenco separato da virgole di ID gruppo per rimuovere l'hash. |
Account IDs |
Facoltativo. Un elenco separato da virgole di ID account per rimuovere l'hash. |
Remove from global black list |
Facoltativo. Se selezionata, l'azione rimuove l'hash dall'elenco di blocco globale. Se selezioni questo parametro, l'azione ignora i parametri
|
Output dell'azione
L'azione Elimina record della blacklist degli hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Elimina record della blacklist degli hash può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elimina record della lista nera di hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scollega l'agente dalla rete
Utilizza l'azione Disconnetti agente dalla rete per disconnettere un agente da una rete utilizzando il nome host o l'indirizzo IP dell'agente.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Disconnetti agente dalla rete fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Disconnetti agente dalla rete:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scarica file minaccia
Utilizza l'azione Scarica file minaccia per scaricare un file correlato a una minaccia in SentinelOne.
Per recuperare i file di minaccia in SentinelOne, devi disporre di uno dei seguenti ruoli:
AdminIR TeamSOC
Questa azione non viene eseguita sulle entità Google SecOps.
Limitazioni delle azioni
L'azione Scarica file minaccia può raggiungere il timeout quando SentinelOne recupera un file, ma non fornisce un URL di download.
Per esaminare la causa del timeout, vai alla cronologia delle minacce.
Input azione
L'azione Scarica file di minaccia richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat ID |
Obbligatorio. L'ID della minaccia per scaricare un file. |
Password |
Obbligatorio. Una password per la cartella compressa che contiene il file della minaccia. I requisiti per le password sono i seguenti:
La lunghezza massima della password è di 256 caratteri. |
Download Folder Path |
Obbligatorio. Un percorso a una cartella in cui archiviare il file di minaccia. |
Overwrite |
Obbligatorio. Se selezionata, l'azione sovrascrive un file con lo stesso nome. Non selezionato per impostazione predefinita. |
Output dell'azione
L'azione Scarica file di minaccia fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica file minaccia:
{
"absolute_path": "ABSOLUTE_PATH"
}
Messaggi di output
L'azione Scarica file di minaccia può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Scarica file di minaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci endpoint
Utilizza l'azione Arricchisci endpoint per arricchire le informazioni sull'endpoint utilizzando l'indirizzo IP o il nome host.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
L'azione Arricchisci endpoint richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento con informazioni sugli endpoint. |
Only Infected Endpoints Insights |
Facoltativo. Se selezionata, l'azione crea insight solo per gli endpoint infetti. |
Output dell'azione
L'azione Arricchisci endpoint fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci endpoint:
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Messaggi di output
L'azione Arricchisci endpoint può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupero stato agente
Utilizza l'azione Ottieni stato agente per recuperare informazioni sullo stato degli agenti sugli endpoint in base all'entità fornita.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Get Agent Status (Ottieni stato agente) fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni stato agente:
{
"status": "Not active"
}
Messaggi di output
L'azione Ottieni stato agente può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni stato agente:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera l'elenco delle applicazioni per l'endpoint
Utilizza l'azione Recupera elenco applicazioni per endpoint per recuperare informazioni sulle applicazioni disponibili su un endpoint utilizzando le entità fornite.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
L'azione Get Application List for Endpoint (Ottieni elenco applicazioni per endpoint) richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Max Applications To Return |
Facoltativo. Il numero massimo di applicazioni da restituire. Se non imposti un numero, l'azione restituisce tutte le applicazioni disponibili. |
Output dell'azione
L'azione Recupera elenco applicazioni per endpoint fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Application List for Endpoint:
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Messaggi di output
L'azione Get Application List for Endpoint può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni elenco applicazioni per endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottieni lista nera
Utilizza l'azione Ottieni lista nera per ottenere un elenco di tutti gli elementi disponibili nella lista bloccata in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni lista nera richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Hash |
Facoltativo. Un elenco separato da virgole di hash da controllare nella blocklist. L'azione restituisce solo gli hash trovati. Se
imposti |
Site IDs |
Facoltativo. Un elenco separato da virgole di ID sito per restituire gli elementi della blocklist. |
Group IDs |
Facoltativo. Un elenco separato da virgole di ID gruppo per restituire gli elementi della blocklist. |
Account Ids |
Facoltativo. Un elenco separato da virgole di ID account per restituire gli elementi della blocklist. |
Limit |
Facoltativo. Il numero di elementi della blocklist da restituire. Se
imposti il parametro Il valore massimo è Il valore predefinito è
|
Query |
Facoltativo. Una query per filtrare i risultati. |
Use Global Blacklist |
Facoltativo. Se selezionata, l'azione restituisce hash da una lista bloccata globale. Non selezionato per impostazione predefinita. |
Output dell'azione
L'azione Ottieni lista nera fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni lista nera può restituire la seguente tabella:
Nome tabella: Hash della blocklist
Colonne della tabella:
- Hash
- Ambito
- Descrizione
- Sistema operativo
- Utente
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni lista nera:
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Messaggi di output
L'azione Get Blacklist può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni lista nera:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottieni il risultato della query di visibilità approfondita
Utilizza l'azione Ottieni risultato query di visibilità profonda per recuperare informazioni sui risultati della query di visibilità profonda.
Esegui questa azione in combinazione con l'azione Avvia query di visibilità approfondita.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni risultato query di visibilità approfondita richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query ID |
Obbligatorio. L'ID della query per restituire i risultati. Il valore ID
è disponibile nel risultato JSON dell'azione Avvia query
di visibilità profonda come parametro |
Limit |
Facoltativo. Il numero di eventi da restituire. Il valore
massimo è Il valore predefinito è |
Output dell'azione
L'azione Ottieni risultati della query di visibilità approfondita fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni risultato query di visibilità approfondita può restituire la seguente tabella:
Nome tabella: SentinelOne Events
Colonne della tabella:
- Tipo di evento
- Nome del sito
- Ora
- Agent OS
- ID processo
- UID processo
- Nome processo
- MD5
- SHA256
Messaggi di output
L'azione Ottieni risultato query visibilità approfondita può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully found events for query: QUERY_ID. |
L'azione è riuscita. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni risultato query di visibilità approfondita:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupero degli eventi per le ore precedenti dell'endpoint
Utilizza l'azione Recupera eventi per ore di endpoint precedenti per recuperare informazioni sugli eventi più recenti su un endpoint.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
L'azione Recupera eventi per ore precedenti dell'endpoint richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Hours Back |
Obbligatorio. Il numero di ore prima di ora per recuperare gli eventi. |
Events Amount Limit |
Facoltativo. Il numero massimo di eventi da restituire per ogni tipo di evento. Il valore predefinito è |
Include File Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Include Indicator Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Include DNS Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Include Network Actions Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli
eventi |
Include URL Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Include Registry Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Include Scheduled Task Events Information |
Facoltativo. Se selezionata, l'azione esegue query sulle informazioni relative agli eventi |
Output dell'azione
L'azione Recupera eventi per ore di endpoint precedenti fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Events for Endpoint Hours Back:
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Messaggi di output
L'azione Recupera eventi per ore di endpoint precedenti può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera eventi per ore precedenti dell'endpoint:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera dettagli gruppo
Utilizza l'azione Ottieni dettagli gruppo per recuperare informazioni dettagliate sui gruppi forniti.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Recupera dettagli gruppo richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Group Names |
Obbligatorio. Nomi dei gruppi per recuperare i dettagli. Questo parametro accetta più valori come elenco separato da virgole. |
Output dell'azione
L'azione Recupera dettagli gruppo fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni dettagli gruppo può restituire la seguente tabella:
Nome tabella: SentinelOne Groups
Colonne della tabella:
- ID
- Nome
- Tipo
- Rank
- Creator
- Ora creazione
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli gruppo:
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Messaggi di output
L'azione Ottieni dettagli gruppo può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ottieni dettagli gruppo:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottenere la reputazione dell'hash
(Obsoleto) Utilizza l'azione Ottieni reputazione hash per recuperare informazioni sugli hash da SentinelOne.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Input azione
L'azione Ottieni reputazione hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Reputation Threshold |
Facoltativo. Una soglia di reputazione per contrassegnare l'entità come sospetta. Se non imposti un valore, l'azione non contrassegna alcuna entità come sospetta. Il valore massimo è Il valore
predefinito è |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento che contiene informazioni sulla reputazione. |
Only Suspicious Hashes Insight |
Facoltativo. Se selezionata, l'azione crea un insight solo per
gli hash con reputazione superiore o uguale al valore |
Output dell'azione
L'azione Ottieni reputazione hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Tabella di arricchimento
L'azione Ottieni reputazione hash può arricchire i seguenti campi:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
SENO_reputation |
Restituisce il valore se esiste nel risultato JSON. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Get Hash Reputation:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera elenco di processi per l'endpoint - Ritirato
Recupera lo stato del sistema
Utilizza l'azione Ottieni stato sistema per recuperare lo stato di un sistema.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni stato sistema fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni stato del sistema:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni stato del sistema:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera versione del sistema
Utilizza l'azione Ottieni versione sistema per recuperare la versione di un sistema.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni versione del sistema fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni versione di sistema:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera minacce
Utilizza l'azione Recupera minacce per recuperare informazioni sulle minacce in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Recupera minacce richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Mitigation Status |
Facoltativo. Un elenco separato da virgole di stati delle minacce. L'azione restituisce solo le minacce che corrispondono agli stati configurati. I valori possibili sono:
|
Created until |
Facoltativo. L'ora di fine delle minacce, ad esempio
|
Created from |
Facoltativo. L'ora di inizio delle minacce, ad esempio
|
Resolved Threats |
Facoltativo. Se selezionata, l'azione restituisce solo le minacce risolte. |
Threat Display Name |
Facoltativo. Un nome visualizzato della minaccia da restituire. |
Limit |
Facoltativo. Un numero di minacce da restituire. Il valore
predefinito è |
API Version |
Facoltativo. Una versione dell'API da utilizzare nell'azione. Se non imposti un valore, l'azione utilizza la versione 2.1. La versione dell'API influisce sulla struttura dei risultati JSON. Ti consigliamo di impostare l'ultima versione dell'API. I valori possibili sono:
Il valore
predefinito è |
Output dell'azione
L'azione Recupera minacce fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Threats:
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Messaggi di output
L'azione Get Threats può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Threats". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera minacce:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Avviare la query di visibilità approfondita
Utilizza l'azione Avvia query di visibilità approfondita per avviare una ricerca di query di visibilità approfondita.
Questa azione restituisce il valore dell'ID query richiesto dall'azione Ottieni risultato query di visibilità approfondita.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Avvia query di visibilità profonda richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. Una query per la ricerca. Per saperne di più sulla sintassi delle query, consulta il prospetto riassuntivo di SentinelOne Deep Visibility. |
Start Date |
Facoltativo. Una data di inizio per la ricerca. Se non imposti un valore, l'azione recupera gli eventi 30 giorni prima di oggi per impostazione predefinita. |
End Date |
Facoltativo. Una data di fine per la ricerca. Se non imposti un valore, l'azione utilizza l'ora corrente. |
Output dell'azione
L'azione Avvia query di visibilità approfondita fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Avvia query di visibilità profonda:
[
{
"query_id": "QUERY_ID"
}
]
Messaggi di output
L'azione Avvia query di visibilità approfondita può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Avvia query di visibilità approfondita:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Avvia scansione completa
Utilizza l'azione Avvia scansione completa per avviare una scansione completa del disco su un endpoint in SentinelOne.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Avvia scansione completa fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Avvia scansione completa può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Avvia scansione completa:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco siti
Utilizza l'azione Elenca siti per elencare i siti disponibili in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Elenca siti richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Filter Key |
Facoltativo. La chiave per filtrare i siti. I valori possibili sono i seguenti:
Il valore predefinito è |
Filter Logic |
Facoltativo. La logica di filtro da applicare. La logica del filtro
utilizza il valore impostato nel parametro I valori possibili sono:
Il valore
predefinito è |
Filter Value |
Facoltativo. Il valore da utilizzare nel filtro. La logica del filtro
utilizza il valore impostato nel parametro Se selezioni
Se selezioni
Se non imposti un valore, l'azione ignora il filtro. |
Max Records To Return |
Facoltativo. Il numero di record da restituire. Il valore
predefinito è |
Output dell'azione
L'azione Elenca siti fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Elenca siti può restituire la seguente tabella:
Nome tabella: Available Sites
Colonne della tabella:
- Nome
- ID
- Creator
- Scadenza
- Tipo
- Stato
Messaggi di output
L'azione Elenca siti può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "List Sites". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca siti:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Contrassegna come minaccia
Utilizza l'azione Contrassegna come minaccia per contrassegnare le minacce sospette come minacce di tipo vero positivo in SentinelOne.
Per contrassegnare le minacce in SentinelOne, devi disporre di uno dei seguenti ruoli:
AdminIR TeamSOC
Puoi contrassegnare come minacce solo i rilevamenti sospetti.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Contrassegna come minaccia richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat IDs |
Obbligatorio. Un elenco separato da virgole di ID rilevamento da contrassegnare come minacce. |
Output dell'azione
L'azione Contrassegna come minaccia fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Contrassegna come minaccia:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Messaggi di output
L'azione Contrassegna come minaccia può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Contrassegna come minaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Mitigare la minaccia
Utilizza l'azione Mitiga minaccia per eseguire azioni di mitigazione sulle minacce in SentinelOne.
Per mitigare le minacce in SentinelOne, devi disporre di uno dei seguenti ruoli:
AdminIR TeamSOC
Il rollback si applica solo a Windows. La correzione delle minacce si applica solo a macOS e Windows.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Mitiga minaccia richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Mitigation action |
Obbligatorio. Un'azione di mitigazione per le minacce rilevate. I valori possibili sono:
Il valore predefinito è
|
Threat IDs |
Obbligatorio. Un elenco separato da virgole di ID minaccia da mitigare. |
Output dell'azione
L'azione Attenua minaccia fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Mitigate Threat:
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Messaggi di output
L'azione Mitiga minaccia può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Mitiga minaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Spostare gli agenti
Utilizza l'azione Sposta agenti per spostare gli agenti nel gruppo fornito dallo stesso sito.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
L'azione Sposta agenti richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Group ID |
Facoltativo. L'ID del gruppo in cui spostare gli agenti. |
Group Name |
Facoltativo. Il nome del gruppo in cui spostare gli agenti. Se configuri sia il parametro |
Output dell'azione
L'azione Sposta agenti fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Sposta agenti può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Sposta agenti:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Riconnetti l'agente alla rete
Utilizza l'azione Riconnetti agente alla rete per riconnettere un endpoint disconnesso a una rete.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP AddressHostname
Input azione
Nessuno.
Output dell'azione
L'azione Riconnetti agente alla rete fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Non disponibile |
| Risultato dello script | Disponibile |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Riconnetti l'agente alla rete:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Risolvi minaccia
Utilizza l'azione Risolvi minaccia per risolvere le minacce in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Risolvi minaccia richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat IDs |
Obbligatorio. Un elenco separato da virgole di ID minaccia da risolvere. |
Annotation |
Facoltativo. Una motivazione per la risoluzione della minaccia. |
Output dell'azione
L'azione Risolvi minaccia fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Risolvi minaccia:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Messaggi di output
L'azione Risolvi minaccia può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Risolvi minaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna avviso
Utilizza l'azione Aggiorna avviso per aggiornare l'avviso della minaccia in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna avviso richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Alert ID |
Obbligatorio. L'ID dell'avviso da aggiornare. |
Status |
Facoltativo. Lo stato dell'avviso. I valori possibili sono:
|
Verdict |
Facoltativo. Il verdetto per l'avviso. I valori possibili sono:
|
Output dell'azione
L'azione Aggiorna avviso fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Aggiorna avviso:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Messaggi di output
L'azione Aggiorna avviso può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
L'azione è riuscita. |
Error executing action "Update Alert". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiorna avviso:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna il verdetto dell'analista
Utilizza l'azione Aggiorna giudizio analista per aggiornare il giudizio dell'analista sulla minaccia in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna giudizio analista richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat ID |
Obbligatorio. Un elenco separato da virgole di ID minaccia per aggiornare il verdetto dell'analista. |
Analyst Verdict |
Obbligatorio. Un verdetto dell'analista. I valori possibili sono:
Il valore predefinito è
|
Output dell'azione
L'azione Aggiorna verdetto analista fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiorna giudizio analista può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna giudizio analista:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiorna stato incidente
Utilizza l'azione Aggiorna stato incidente per aggiornare lo stato dell'incidente di minaccia in SentinelOne.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Aggiorna stato incidente richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Threat ID |
Obbligatorio. Un elenco separato da virgole di ID minaccia per aggiornare lo stato dell'incidente. |
Status |
Obbligatorio. Uno stato dell'incidente. I valori possibili sono:
Il valore predefinito è
|
Output dell'azione
L'azione Aggiorna stato incidente fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Aggiorna stato incidente può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna stato incidente:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
SentinelOne - Connettore avvisi
Utilizza il connettore SentinelOne - Avvisi per importare gli avvisi da SentinelOne.
Il connettore consente di filtrare gli avvisi utilizzando un elenco dinamico basato sul parametro
ruleInfo.name. Il comportamento di questo elenco dipende dal parametro
Use dynamic list as a blocklist.
Se non selezioni
Use dynamic list as a blocklist:L'elenco dinamico funge da lista consentita. Il connettore importa solo gli avvisi il cui
ruleInfo.namecorrisponde a un valore nell'elenco. Se l'elenco è vuoto, non vengono inseriti avvisi.Se selezioni
Use dynamic list as a blocklist:L'elenco dinamico funge da blocklist. Il connettore acquisisce tutti gli avvisi esclusi quelli il cui
ruleInfo.namecorrisponde a un valore nell'elenco. Se l'elenco è vuoto, vengono importati tutti gli avvisi.
Parametri del connettore
Il connettore SentinelOne - Avvisi richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. Il valore predefinito è |
PythonProcessTimeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio. La radice API dell'istanza SentinelOne. |
API Token |
Obbligatorio. Il token API di SentinelOne. |
Status Filter |
Facoltativo. Un elenco separato da virgole di stati di avviso da importare. I valori possibili sono:
Se non viene fornito alcun valore, il connettore recupera gli avvisi con gli stati
|
Case Name Template |
Facoltativo. Un modello per definire un nome personalizzato per la richiesta. Il connettore aggiunge una
chiave Puoi utilizzare i segnaposto nel formato FIELD_NAME, che vengono compilati con i valori stringa del primo evento. Esempio: |
Alert Name Template |
Facoltativo. Un modello per definire il nome dell'avviso. Puoi utilizzare i segnaposto nel formato FIELD_NAME, che vengono compilati con i valori stringa del primo evento. Esempio: Se non viene fornito un valore o il modello non è valido, il connettore utilizza un nome di avviso predefinito. |
Lowest Severity To Fetch |
Facoltativo. La gravità minima degli avvisi da recuperare. Se non configuri questo parametro, il connettore acquisisce gli avvisi con tutti i livelli di gravità. I valori possibili sono:
Se non viene fornito alcun valore, vengono inserite tutte le gravità. |
Max Hours Backwards |
Obbligatorio. Il numero di ore prima dell'ora corrente per recuperare gli avvisi. Il valore predefinito è |
Max Alerts To Fetch |
Obbligatorio. Il numero massimo di avvisi da elaborare in ogni iterazione del connettore. Il valore massimo è Il valore predefinito è |
Use dynamic list as a blocklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non è abilitata per impostazione predefinita. |
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Non è abilitata per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server SentinelOne. Abilitato per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore supporta i proxy.
Struttura dell'avviso
La tabella seguente descrive il mapping dei campi degli avvisi di SentinelOne con i campi degli avvisi di Google SecOps:
| Campo di avviso Siemplify | Campo avviso SentinelOne (chiave JSON dell'API) |
|---|---|
SourceSystemName |
Compilato dal framework. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Codificato: SentinelOne |
DeviceProduct |
Valore di riserva: Alerts |
Priority |
Mappato da ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Mappato da ruleInfo.severity |
Risk Score |
Rappresentazione numerica della gravità |
StartTime |
Conversione da alertInfo.createdAt |
EndTime |
Conversione da alertInfo.createdAt |
Siemplify Alert - Extensions |
N/D |
Siemplify Alert - Attachments |
N/D |
Eventi del connettore
Di seguito è riportato un esempio di evento connettore:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - Threats Connector
Utilizza il connettore SentinelOne - Threats per importare le minacce da SentinelOne.
Il connettore ti consente di filtrare gli avvisi in base a elenchi dinamici.
Il connettore SentinelOne - Threats filtra gli avvisi utilizzando il parametro alert_name.
Se selezioni il parametro Use whitelist as a blacklist, il connettore
inserisce solo gli avvisi il cui alert_name non corrisponde ad alcun valore nell'elenco
dinamico.
Se non configuri i valori alert_name nell'elenco dinamico, il connettore
inserisce tutti gli avvisi.
Se non selezioni il parametro Use whitelist as a blacklist, il connettore
inserisce solo gli avvisi il cui alert_name corrisponde a un valore nell'elenco dinamico.
Input del connettore
Il connettore SentinelOne - Threats richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare il processo di mapping per il connettore, il valore predefinito Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è
|
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è
|
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è
|
API Root |
Obbligatorio. La radice dell'API SentinelOne. Il valore predefinito è
|
API Token |
Obbligatorio. Il token API di SentinelOne. |
API Version |
Facoltativo. La versione dell'API SentinelOne da utilizzare per il connettore. Se non imposti un valore, il connettore utilizza la versione 2.0 dell'API per impostazione predefinita. |
Fetch Max Days Backwards |
Facoltativo. Il numero di giorni precedenti a oggi per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Alerts Per Cycle |
Facoltativo. Il numero massimo di avvisi da elaborare in ogni iterazione del connettore. Il valore predefinito è |
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Non selezionato per impostazione predefinita. |
Use whitelist as a blacklist |
Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Non selezionato per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server SentinelOne. Selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Event Object Type Filter |
Facoltativo. Un elenco separato da virgole di oggetti evento da restituire con le informazioni sulle minacce. Il connettore utilizza questo parametro come
filtro per restituire solo determinati oggetti, ad esempio Se non imposti un valore, il connettore acquisisce tutti i tipi di oggetti evento. |
Event Type Filter |
Facoltativo. Un elenco separato da virgole di tipi di eventi da restituire con le informazioni sulle minacce. Il connettore utilizza questo parametro come filtro
per restituire solo determinati tipi di eventi, ad esempio |
Max Events To Return |
Facoltativo. Il numero di eventi da restituire per ogni minaccia. Il valore massimo è Il valore predefinito è
|
Regole del connettore
Il connettore supporta i proxy.
Il connettore supporta le liste consentite e bloccate.
Eventi del connettore
L'esempio di evento del connettore è il seguente:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.