SentinelOne v2 を Google SecOps と統合する

統合バージョン: 37.0

このドキュメントでは、SentinelOne v2 を Google Security Operations(Google SecOps)と構成して統合する方法について説明します。

この統合では SentinelOne API 2.0 を使用します。

この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。

ユースケース

SentinelOne の統合は、次のユースケースの解決に役立ちます。

  1. 感染したエンドポイントを封じ込める: Google SecOps の機能を使用して、感染したホストを隔離し、ラテラル ムーブメントとデータ引き出しを防止します。

  2. エンドポイントの詳細情報を取得する: Google SecOps の機能を使用して、詳細なホスト分析でインシデント データを拡充し、コンテキストと意思決定を改善します。アラートに関与したエンドポイントに関する詳細情報(エージェントのバージョン、オペレーティング システム、ネットワーク インターフェースなど)を SentinelOne に自動的にクエリできます。

  3. Deep Visibility スキャンを開始する: Google SecOps の機能を使用して、疑わしいマシンで脅威と隠しマルウェアを検出し、異常なファイルの変更やレジストリの変更などの不審なアクティビティが検出されたときに SentinelOne を使用してフルディスク スキャンを開始します。

  4. 脅威インテリジェンスを使用して脅威を調査する: Google SecOps の機能を使用して、SentinelOne アラートと脅威インテリジェンス データを関連付け、精度を高めます。SentinelOne アラート内で検出された不審なハッシュ、ファイルパス、IP アドレスを脅威インテリジェンス プラットフォームに転送します。

  5. マルウェアのトリアージ: Google SecOps の機能を使用して、静的分析ツールでマルウェアを自動的に分類し、インシデント対応を効率化します。感染したエンドポイントからサンプルを抽出し、環境内で分析をトリガーして、静的分析に基づいてマルウェアの分類を受け取ることができます。

始める前に

SentinelOne v2 統合を使用するには、SentinelOne API トークンが必要です。

API トークンを生成する手順は次のとおりです。

  1. SentinelOne 管理コンソールで、[Settings] > [Users] に移動します。

  2. ユーザー名をクリックします。

  3. [Actions] > [API Token Operations] に移動します。

  4. [Generate API Token] をクリックします。API トークンをコピーして、統合の構成に使用します。生成された API トークンは 6 か月間有効です。

統合のパラメータ

SentinelOne v2 統合には、次のパラメータが必要です。

パラメータ 説明
API root

必須。

SentinelOne API ルート。

デフォルト値は https://{server}.SentinelOne.net/ です。
API Token

必須。

SentinelOne API トークン。

統合用の API トークンを生成する方法については、始める前にをご覧ください。SentinelOne セキュリティ ポリシーでは、6 か月ごとに新しい API トークンを作成する必要があります。
Verify SSL

必須。

選択すると、統合によって Sentinel サーバーへの接続時に SSL 証明書が検証されます。

デフォルトで選択されています。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応する手動アクションを実行するをご覧ください。

脅威メモを追加する

[脅威メモを追加] アクションを使用して、SentinelOne の脅威にメモを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[脅威メモを追加] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat ID

必須。

メモを追加する脅威の ID。
Note

必須。

脅威に追加するメモ。

アクションの出力

[脅威メモを追加] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Add Threat Note] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added note to the threat THREAT_ID in SentinelOne.

Action wasn't able to add a note to the threat THREAT_ID in SentinelOne.

 アクションが成功しました。
Error executing action "Add Threat Note". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[脅威メモを追加] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ハッシュ ブラックリスト レコードを作成する

ハッシュ ブラックリスト レコードを作成アクションを使用して、SentinelOne のブロックリストにハッシュを追加します。

このアクションは SHA-1 ハッシュのみをサポートしています。

このアクションは Google SecOps の Hash エンティティに対して実行されます。

アクション入力

[Create Hash Black List Record] アクションには、次のパラメータが必要です。

パラメータ 説明
Operating System

必須。

ハッシュのオペレーティング システム。

使用できる値は次のとおりです。

  • windows
  • windows_legacy
  • macos
  • linux

デフォルト値は windows です。
Site IDs

省略可。

ブロックリストに送信するサイト ID のカンマ区切りのリスト。
Group IDs

省略可。

ブロックリストに送信するグループ ID のカンマ区切りのリスト。
Account IDs

省略可。

ブロックリストに送信するアカウント ID のカンマ区切りのリスト。
Description

省略可。

ハッシュに関連する追加情報。

デフォルト値は "" です。
Add to global blocklist

必須。

選択すると、アクションによってハッシュがグローバル ブロックリストに追加されます。

このパラメータを選択すると、アクションは Site IDsGroup IDsAccount IDs パラメータを無視します。

アクションの出力

[Create Hash Black List Record] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、ハッシュ ブラックリスト レコードを作成アクションを使用した場合に受信される JSON 結果の出力です。

[
    {
        "Entity": "ENTITY_ID",
        "EntityResult": [{
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.678280Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.678690Z"
        }, {
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group 2",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.683858Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.684677Z"
        }]
    }
]
出力メッセージ

ハッシュ ブラックリスト レコードを作成アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added the following hashes to the blocklist in SentinelOne: ENTITY_ID.

The following hashes were already a part of blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to add the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were added to the blocklist in SentinelOne.

 アクションが成功しました。
Error executing action "Create Hash Black List Record". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ハッシュ ブラックリスト レコードを作成アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ハッシュ除外レコードを作成する

ハッシュ除外レコードの作成アクションを使用して、SentinelOne の除外リストにハッシュを追加します。

このアクションは SHA-1 ハッシュのみをサポートしています。

このアクションは Google SecOps の Hash エンティティに対して実行されます。

アクション入力

[ハッシュ除外レコードを作成] アクションには、次のパラメータが必要です。

パラメータ 説明
Operation System

必須。

ハッシュのオペレーティング システム(OS)。

値は次のいずれかになります。

  • windows
  • windows_legacy
  • macos
  • linux

デフォルト値は windows です。
Site IDs

省略可。

ハッシュを除外リストに送信するサイト ID のカンマ区切りのリスト。

アクションには有効な値が少なくとも 1 つ必要です。
Group IDs

省略可。

ハッシュを送信するグループ ID のカンマ区切りのリスト。

このアクションには、有効な値が少なくとも 1 つ必要です。
Account IDs

省略可。

ハッシュを除外リストに送信するアカウント ID のカンマ区切りのリスト。
Description

省略可。

ハッシュに関連する追加情報。
Add to global exclusion list

省略可。

選択すると、ハッシュがグローバル除外リストに追加されます。

このパラメータを選択すると、アクションは Site IDsGroup IDsAccount IDs パラメータを無視します。

アクションの出力

[ハッシュ除外レコードを作成] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、ハッシュ除外レコードを作成アクションを使用した場合に受信される JSON 結果の出力です。

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
出力メッセージ

[ハッシュ除外レコードを作成] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added the following hashes to the exclusion list in SentinelOne: HASH_ID

The following hashes were already a part of exclusion list in SentinelOne: HASH_ID

Action wasn't able to add the following hashes to the exclusion list in SentinelOne: HASH_ID

No hashes were added to the exclusion list in SentinelOne.

アクションが成功しました。
Error executing action "Create Hash Exclusion Record". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ハッシュ除外レコードを作成アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

パス除外レコードを作成する

[Create Path Exclusion Record] アクションを使用して、SentinelOne の除外リストにパスを追加します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Create Path Exclusion Record] アクションには、次のパラメータが必要です。

デフォルト値は Suppress Alerts です。

パラメータ 説明
Path

必須。

除外リストに追加するパス。
Operation System

必須。

ハッシュのオペレーティング システム(OS)。

値は次のいずれかになります。

  • windows
  • windows_legacy
  • macos
  • linux

デフォルト値は windows です。
Site IDs

省略可。

ハッシュを除外リストに送信するサイト ID のカンマ区切りのリスト。

アクションには有効な値が少なくとも 1 つ必要です。
Group IDs

省略可。

ハッシュを送信するグループ ID のカンマ区切りのリスト。

このアクションには、有効な値が少なくとも 1 つ必要です。
Account IDs

省略可。

ハッシュを除外リストに送信するアカウント ID のカンマ区切りのリスト。
Description

省略可。

ハッシュに関連する追加情報。
Add to global exclusion list

省略可。

選択すると、ハッシュがグローバル除外リストに追加されます。

このパラメータを選択すると、アクションは Site IDsGroup IDsAccount IDs パラメータを無視します。
Include Subfolders

省略可。

選択すると、アクションには指定されたパスのサブフォルダが含まれます。

このパラメータは、Path パラメータでフォルダパスを構成した場合にのみ適用されます。
Mode

省略可。

除外されたパスに使用するモード。

使用できる値は次のとおりです。

  • Suppress Alerts
  • Interoperability
  • Interoperability - Extended
  • Performance Focus
  • Performance Focus - Extended

アクションの出力

[Create Path Exclusion Record] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、パス除外レコードを作成アクションを使用した場合に受信される JSON 結果の出力例を示しています。

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
出力メッセージ

[Create Path Exclusion Record] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully added the following path to the exclusion list in SentinelOne: PATH

The following paths were already a part of exclusion list in SentinelOne: PATH_LIST

Action wasn't able to add the following paths to the exclusion list in SentinelOne: PATH

No paths were added to the exclusion list in SentinelOne.

アクションが成功しました。
Error executing action "Create Path Exclusion Record". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、パス除外レコードを作成アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ハッシュ ブラックリスト レコードを削除

ハッシュ ブラックリスト レコードの削除アクションを使用して、SentinelOne のブロックリストからハッシュを削除します。

このアクションは SHA-1 ハッシュのみをサポートします。

このアクションは Google SecOps の Hash エンティティに対して実行されます。

アクション入力

[Delete Hash Blacklist Record] アクションには、次のパラメータが必要です。

パラメータ 説明
Site IDs

省略可。

ハッシュを削除するサイト ID のカンマ区切りのリスト。
Group IDs

省略可。

ハッシュを削除するグループ ID のカンマ区切りのリスト。
Account IDs

省略可。

ハッシュを削除するアカウント ID のカンマ区切りのリスト。
Remove from global black list

省略可。

選択すると、アクションによってグローバル ブロックリストからハッシュが削除されます。

このパラメータを選択すると、アクションは Site IDsGroup IDsAccount IDs パラメータを無視します。

アクションの出力

[Delete Hash Blacklist Record] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Delete Hash Blacklist Record] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully removed the following hashes from the blocklist in SentinelOne: ENTITY_ID.

The following hashes were not found in a blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to remove the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were removed from the blocklist in SentinelOne.

アクションが成功しました。
Error executing action "Delete Hash Blacklist Record". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、ハッシュ ブラックリスト レコードを削除アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Disconnect Agent From Network(ネットワークからエージェントを切断する)

Disconnect Agent From Network アクションを使用して、エージェントのホスト名または IP アドレスを使用してエージェントをネットワークから切断します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

なし

アクションの出力

[Disconnect Agent From Network] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Disconnect Agent From Network] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

脅威ファイルをダウンロードする

Download Threat File アクションを使用して、SentinelOne の脅威に関連するファイルをダウンロードします。

SentinelOne で脅威ファイルを取得するには、次のいずれかのロールが必要です。

  • Admin
  • IR Team
  • SOC

このアクションは Google SecOps エンティティに対して実行されません。

アクションの制限

SentinelOne がファイルを取得してもダウンロード URL を提供しない場合、[脅威ファイルのダウンロード] アクションがタイムアウトになることがあります。

タイムアウトの原因を調査するには、脅威のタイムラインに移動します。

アクション入力

[脅威ファイルのダウンロード] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat ID

必須。

ファイルをダウンロードする脅威の ID。
Password

必須。

脅威ファイルを含む zip フォルダのパスワード。

パスワードの要件は次のとおりです。

  • 10 文字以上である。
  • 大文字、小文字、数字、特殊記号を含みます。

パスワードの最大長は 256 文字です。
Download Folder Path

必須。

脅威ファイルを保存するフォルダのパス。
Overwrite

必須。

選択すると、アクションは同じ名前のファイルを上書きします。

デフォルトでは選択されていません。

アクションの出力

[Download Threat File] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[脅威ファイルのダウンロード] アクションを使用したときに受信した JSON 結果の出力です。

{
    "absolute_path": "ABSOLUTE_PATH"
}
出力メッセージ

[Download Threat File] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully downloaded the file related to threat THREAT_ID in SentinelOne.

Action wasn't able to download the file related to threat THREAT_ID. Reason: The action was able to initiate the downloading of the file, but SentinelOne didn't return a download URL.

Waiting for the download link to appear in SentinelOne.

 アクションが成功しました。
Error executing action "Download Threat File". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Download Threat File] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エンドポイントの拡充

エンドポイントの拡充アクションを使用して、IP アドレスまたはホスト名を使用してエンドポイントに関する情報を拡充します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

[エンドポイントを拡充] アクションには、次のパラメータが必要です。

パラメータ 説明
Create Insight

省略可。

選択すると、アクションによってエンドポイントに関する情報を含む分析情報が作成されます。
Only Infected Endpoints Insights

省略可。

選択した場合、アクションによって感染したエンドポイントに関する分析情報のみが作成されます。

アクションの出力

[エンドポイントを拡充] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[エンドポイントを拡充] アクションを使用した場合に受信する JSON 結果の出力を示しています。

{
    "accountId": "ACCOUNT_ID",
    "accountName": "SentinelOne",
    "activeDirectory": {
        "computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
        "computerMemberOf": [],
        "lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
        "lastUserMemberOf": [
            "CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
            "CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
        ]
    },
    "activeThreats": 0,
    "agentVersion": "4.1.4.82",
    "allowRemoteShell": false,
    "appsVulnerabilityStatus": "patch_required",
    "computerName": "LP-EXAMPLE",
    "consoleMigrationStatus": "N/A",
    "coreCount": 8,
    "cpuCount": 8,
    "cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
    "createdAt": "2020-05-31T07:22:14.695136Z",
    "domain": "EXAMPLE",
    "encryptedApplications": false,
    "externalId": "",
    "externalIp": "192.0.2.91",
    "groupId": "863712577864500060",
    "groupIp": "192.0.2.0",
    "groupName": "Test Group",
    "id": "ID",
    "inRemoteShellSession": false,
    "infected": false,
    "installerType": ".msi",
    "isActive": false,
    "isDecommissioned": false,
    "isPendingUninstall": false,
    "isUninstalled": false,
    "isUpToDate": true,
    "lastActiveDate": "2021-01-12T12:59:43.143066Z",
    "lastIpToMgmt": "192.0.2.20",
    "lastLoggedInUserName": "EXAMPLE",
    "licenseKey": "",
    "locationType": "fallback",
    "locations": [
        {
            "id": "ID",
            "name": "Fallback",
            "scope": "global"
        }
    ],
    "machineType": "laptop",
    "mitigationMode": "protect",
    "mitigationModeSuspicious": "protect",
    "modelName": "Dell Inc. - Latitude 7490",
    "networkInterfaces": [
        {
            "id": "ID",
            "inet": [
                "192.0.2.20"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2",
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "Wi-Fi",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "192.168.193.193"
            ],
            "inet6": [
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "vEthernet (Default Switch)",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "201.0.113.1"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2"
            ],
            "name": "vEthernet (DockerNAT)",
            "physical": "MAC_ADDRESS"
        }
    ],
    "networkStatus": "connecting",
    "osArch": "64 bit",
    "osName": "Windows 10 Pro",
    "osRevision": "18363",
    "osStartTime": "2021-01-03T15:38:32Z",
    "osType": "windows",
    "osUsername": null,
    "rangerStatus": "NotApplicable",
    "rangerVersion": null,
    "registeredAt": "2020-05-31T07:22:14.691561Z",
    "scanAbortedAt": null,
    "scanFinishedAt": "2020-05-31T09:28:53.867014Z",
    "scanStartedAt": "2020-05-31T07:25:37.814972Z",
    "scanStatus": "finished",
    "siteId": "SITE_ID",
    "siteName": "example.com",
    "threatRebootRequired": false,
    "totalMemory": 16263,
    "updatedAt": "2021-01-18T13:33:43.834618Z",
    "userActionsNeeded": [],
    "uuid": "UUID"
}
出力メッセージ

[エンドポイントを拡充] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully retrieved information about the following endpoints from SentinelOne: ENTITY_ID

Action wasn't able to retrieve information about the following endpoints from SentinelOne: ENTITY_ID

No information was retrieved for provided entities.

 アクションが成功しました。
Error executing action "Enrich Endpoints". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[エンドポイントを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エージェントのステータスを取得する

エージェントのステータスを取得アクションを使用して、指定されたエンティティに基づいて、エンドポイント上のエージェントのステータスに関する情報を取得します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

なし

アクションの出力

[Get Agent Status] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、エージェント ステータスの取得アクションを使用した場合に受信される JSON 結果の出力です。

{
"status": "Not active"
}
出力メッセージ

[Get Agent Status] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully retrieved information about agent status for the following endpoints: ENTITY_ID

Action wasn't able to retrieve information about agent status for the following endpoints: ENTITY_ID

No information about agent status was found for the provided endpoints.

 アクションが成功しました。
Error executing action "Get Agent Status". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[エージェントのステータスを取得] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エンドポイントのアプリケーション リストを取得する

Get Application List for Endpoint アクションを使用して、指定されたエンティティを使用してエンドポイントで使用可能なアプリケーションに関する情報を取得します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

[Get Application List for Endpoint] アクションには、次のパラメータが必要です。

パラメータ 説明
Max Applications To Return

省略可。

返すアプリケーションの最大数。

数値を設定しない場合、アクションは利用可能なすべてのアプリケーションを返します。

アクションの出力

[Get Application List for Endpoint] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、エンドポイントのアプリケーション リストを取得アクションを使用したときに受信した JSON 結果の出力です。

{
    "data": [
        {
            "installedDate": "2021-01-06T08:55:56.762000Z",
            "name": "Mozilla Firefox 84.0.1 (x64 en-US)",
            "publisher": "Mozilla",
            "size": 211562,
            "version": "84.0.1"
        }
    ]
}
出力メッセージ

[Get Application List for Endpoint] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully retrieved available applications for the following endpoints: ENTITY_ID.

Action wasn't able to retrieve available applications for the following endpoints: ENTITY_ID.

No applications were retrieved for provided endpoints.

 アクションが成功しました。
Error executing action "Get Application List for Endpoint". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Application List for Endpoint アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

拒否リストの取得

ブラックリストを取得アクションを使用して、SentinelOne のブロックリストで使用可能なすべてのアイテムのリストを取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Get Blacklist] アクションには、次のパラメータが必要です。

パラメータ 説明
Hash

省略可。

ブロックリストで確認するハッシュのカンマ区切りのリスト。

アクションは、見つかったハッシュのみを返します。

Hash を設定すると、アクションは Limit パラメータを無視します。
Site IDs

省略可。

ブロックリスト アイテムを返すサイト ID のカンマ区切りのリスト。
Group IDs

省略可。

ブロックリスト アイテムを返すグループ ID のカンマ区切りのリスト。
Account Ids

省略可。

ブロックリスト アイテムを返すアカウント ID のカンマ区切りのリスト。
Limit

省略可。

返すブロックリスト アイテムの数。

Hash パラメータを設定すると、アクションはこのパラメータを無視します。

最大値は 1000 です。

デフォルト値は 50 です。
Query

省略可。

結果をフィルタするクエリ。
Use Global Blacklist

省略可。

選択すると、アクションはグローバル ブロックリストからハッシュを返します。

デフォルトでは選択されていません。

アクションの出力

[Get Blacklist] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

Get Blacklist アクションは、次の表を返すことができます。

テーブル名: Blocklist Hashes

テーブルの列:

  • ハッシュ
  • スコープ
  • 説明
  • OS
  • ユーザー
JSON の結果

次の例は、ブラックリストを取得アクションを使用したときに受信した JSON 結果の出力です。

[
    {
        "userName": "Example",
        "description": "test",
        "userId": "USER_ID",
        "scopeName": "Example.com",
        "value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
        "source": "user",
        "updatedAt": "2020-02-27T15:02:54.686991Z",
        "osType": "windows",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "8353960925573xxxxx",
        "createdAt": "2020-02-27T15:02:54.687675Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
        "source": "cloud",
        "updatedAt": "2020-03-18T14:42:02.730095Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-03-18T14:42:02.730449Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "df531d66173235167ac502b867f3cae2170xxxxx",
        "source": "cloud",
        "updatedAt": "2020-04-08T07:27:35.686775Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-04-08T07:27:35.687168Z"
    }
]
出力メッセージ

[Get Blacklist] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully retrieved blocklisted hashes based on the provided filter criteria in SentinelOne.

No blocklisted hashes were found for the provided criteria in SentinelOne.

 アクションが成功しました。
Error executing action "Get Blacklist". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Blacklist アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Deep Visibility クエリの結果を取得する

Get Deep Visibility Query Result アクションを使用して、Deep Visibility クエリの結果に関する情報を取得します。

このアクションは、ディープ ビジビリティ クエリを開始するアクションと組み合わせて実行します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Get Deep Visibility Query Result] アクションには、次のパラメータが必要です。

パラメータ 説明
Query ID

必須。

結果を返すクエリの ID。

ID 値は、詳細な可視性クエリを開始アクションの JSON 結果で query_id パラメータとして使用できます。
Limit

省略可。

返すイベントの数。

最大値は 100 です。

デフォルト値は 50 です。

アクションの出力

[Get Deep Visibility Query Result] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

Get Deep Visibility Query Result アクションは、次のテーブルを返すことができます。

テーブル名: SentinelOne Events

テーブルの列:

  • イベントタイプ
  • サイト名
  • 時間
  • エージェント OS
  • プロセス ID
  • プロセス UID
  • プロセス名
  • MD5
  • SHA256
出力メッセージ

Get Deep Visibility Query Result アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明
Successfully found events for query: QUERY_ID. アクションが成功しました。
Error executing action "Get Deep Visibility Query Result". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Deep Visibility Query Result アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エンドポイントのイベントを数時間前に取得する

Get Events for Endpoint Hours Back アクションを使用して、エンドポイントの最新のイベントに関する情報を取得します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

Get Events for Endpoint Hours Back アクションには、次のパラメータが必要です。

パラメータ 説明
Hours Back

必須。

イベントを取得する現在までの時間数。
Events Amount Limit

省略可。

イベントタイプごとに返されるイベントの最大数。

デフォルト値は 50 です。
Include File Events Information

省略可。

選択すると、アクションは file イベントに関する情報をクエリします。
Include Indicator Events Information

省略可。

選択すると、アクションは indicator イベントに関する情報をクエリします。
Include DNS Events Information

省略可。

選択すると、アクションは DNS イベントに関する情報をクエリします。
Include Network Actions Events Information

省略可。

選択すると、アクションは network actions イベントに関する情報をクエリします。
Include URL Events Information

省略可。

選択すると、アクションは URL イベントに関する情報をクエリします。
Include Registry Events Information

省略可。

選択すると、アクションは registry イベントに関する情報をクエリします。
Include Scheduled Task Events Information

省略可。

選択すると、アクションは scheduled task イベントに関する情報をクエリします。

アクションの出力

[Get Events for Endpoint Hours Back] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、Get Events for Endpoint Hours Back アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
    "data": [
        {
            "activeContentFileId": null,
            "activeContentHash": null,
            "activeContentPath": null,
            "activeContentSignedStatus": null,
            "activeContentType": null,
            "agentDomain": "",
            "agentGroupId": "GROUP_ID",
            "agentId": "ID",
            "agentInfected": false,
            "agentIp": "192.0.2.160",
            "agentIsActive": true,
            "agentIsDecommissioned": false,
            "agentMachineType": "server",
            "agentName": "ip-203-0-113-205",
            "agentNetworkStatus": "connected",
            "agentOs": "linux",
            "agentTimestamp": "2020-03-19T08:17:01.575Z",
            "agentUuid": "UUID",
            "agentVersion": "3.3.1.14",
            "attributes": [
                {
                    "display": "Created At",
                    "display_attribute": false,
                    "field_id": "agentTimestamp",
                    "priority": 3,
                    "queryable": false,
                    "section": "Main Attributes",
                    "value": "2020-03-19T08:17:01.575Z"
                },{
                    "display": "Site ID",
                    "display_attribute": false,
                    "field_id": "siteId",
                    "priority": 7,
                    "queryable": true,
                    "section": "Endpoint Info",
                    "value": null
                }
            ],
            "containerId": null,
            "containerImage": null,
            "containerLabels": null,
            "containerName": null,
            "createdAt": "2020-03-19T08:17:01.575000Z",
            "eventType": "Process Creation",
            "hasParent": true,
            "id": "ID",
            "k8sCluame": null,
            "k8sControllerLabels": null,
            "k8sControllerName": null,
            "k8sControllerType": null,
            "k8sNamespace": null,
            "k8sNamespaceLabels": null,
            "k8sNode": null,
            "k8sPodLabels": null,
            "k8sPodName": null,
            "md5": null,
            "objectType": "process",
            "parentPid": "32461",
            "parentProcessName": "dash",
            "parentProcessStartTime": "2020-03-19T08:17:01.785Z",
            "parentProcessUniqueKey": "KEY",
            "pid": "32462",
            "processCmd": " run-parts --report /etc/cron.hourly",
            "processDisplayName": null,
            "processGroupId": "GROUP_ID",
            "processImagePath": "/bin/run-parts",
            "processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
            "processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
            "processIsRedirectedCommandProcessor": "False",
            "processIsWow64": "False",
            "processName": "run-parts",
            "processRoot": "False",
            "processSessionId": "0",
            "processStartTime": "2020-03-19T08:17:01.787Z",
            "processSubSystem": "SUBSYSTEM_UNKNOWN",
            "processUniqueKey": "KEY",
            "publisher": null,
            "relatedToThreat": "False",
            "sha256": null,
            "signatureSignedInvalidReason": null,
            "signedStatus": "unsigned",
            "siteName": "example.com",
            "trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
            "user": "unknown",
            "verifiedStatus": null
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 632
    }
}
出力メッセージ

Get Events for Endpoint Hours Back アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully retrieved information about the events for the following endpoints: ENDPOINT_ID.

Action wasn't able to find any events for the following endpoints: ENDPOINT_ID.

No information events for the provided endpoints.

 アクションが成功しました。
Error executing action "Get Events for Endpoint Hours Back". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Events for Endpoint Hours Back アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループの詳細を取得する

グループの詳細を取得アクションを使用して、指定されたグループの詳細情報を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Get Group Details] アクションには、次のパラメータが必要です。

パラメータ 説明
Group Names

必須。

詳細を取得するグループ名。このパラメータは、カンマ区切りのリストとして複数の値を受け入れます。

アクションの出力

[グループの詳細を取得] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

グループの詳細を取得アクションは、次の表を返すことができます。

テーブル名: SentinelOne Groups

テーブルの列:

  • ID
  • 名前
  • Rank
  • 作成者
  • 作成時間
JSON の結果

次の例は、グループの詳細を取得アクションを使用した場合に受信される JSON 結果の出力です。

[
    {
        "GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
    }
]
出力メッセージ

[Get Group Details] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully retrieved information about the following groups in SentinelOne: GROUP_NAME.

Action wasn't able to retrieve information about the following groups in SentinelOne: GROUP_NAME.

No information about provided groups was found.

 アクションが成功しました。
Error executing action "Get Group Details". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、グループの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ハッシュの評判を取得する

(非推奨)ハッシュの評判を取得アクションを使用して、SentinelOne からハッシュに関する情報を取得します。

このアクションは Google SecOps の Hash エンティティに対して実行されます。

アクション入力

[Get Hash Reputation] アクションには、次のパラメータが必要です。

パラメータ 説明
Reputation Threshold

省略可。

エンティティを不審としてマークする評判のしきい値。

値を設定しない場合、このアクションではエンティティが不審としてマークされません。

最大値は 10 です。

デフォルト値は 5 です。
Create Insight

省略可。

選択すると、アクションによって評判に関する情報を含む分析情報が作成されます。
Only Suspicious Hashes Insight

省略可。

選択した場合、アクションは Reputation Threshold 値以上の評価を持つハッシュの分析情報のみを作成します。

アクションの出力

[Get Hash Reputation] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用可能
JSON の結果 利用不可
出力メッセージ 利用不可
スクリプトの結果 利用可能
拡充テーブル

[Get Hash Reputation] アクションでは、次のフィールドを拡充できます。

拡充フィールド名 適用範囲
SENO_reputation JSON の結果に存在する場合に返します。
スクリプトの結果

次の表に、Get Hash Reputation アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エンドポイントのプロセスリストを取得する - 非推奨

システム ステータスを取得する

システム ステータスを取得アクションを使用して、システムのステータスを取得します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Get System Status] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用不可
スクリプトの結果 利用可能
JSON の結果

次の例は、[Get System Status] アクションを使用したときに受信される JSON 結果の出力です。

{
    "system_status": {
        "data": {
            "health": "ok"
        }},
    "db_status": {
        "data": {
            "health": "ok"
        }},
    "cache_status": {
        "data": {
            "health": "ok"
        }
    }
}
スクリプトの結果

次の表に、[Get System Status] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

システム バージョンを取得する

システム バージョンを取得アクションを使用して、システムのバージョンを取得します。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Get System Version] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Get System Version] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

脅威を取得する

脅威の取得アクションを使用して、SentinelOne の脅威に関する情報を取得します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[脅威を取得] アクションには、次のパラメータが必要です。

パラメータ 説明
Mitigation Status

省略可。

脅威ステータスのカンマ区切りのリスト。

このアクションは、構成されたステータスに一致する脅威のみを返します。

値は次のいずれかになります。

  • mitigated
  • active
  • blocked
  • suspicious
  • suspicious_resolved
Created until

省略可。

脅威の終了時刻(2020-03-02T21:30:13.014874Z など)。
Created from

省略可。

脅威の開始時間(2020-03-02T21:30:13.014874Z など)。
Resolved Threats

省略可。

選択すると、解決済みの脅威のみが返されます。
Threat Display Name

省略可。

返す脅威の表示名。
Limit

省略可。

返す脅威の数。

デフォルト値は 10 です。
API Version

省略可。

アクションで使用する API のバージョン。

値を設定しない場合、アクションはバージョン 2.1 を使用します。

API バージョンは JSON 結果の構造に影響します。最新の API バージョンを設定することをおすすめします。

値は次のいずれかになります。

  • 2.0
  • 2.1

デフォルト値は 2.0 です。

アクションの出力

[脅威を取得] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、脅威を取得アクションを使用した場合に受信される JSON 結果の出力を示しています。

{
            "accountId": "ACCOUNT_ID",
            "accountName": "ACCOUNT_NAME",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "192.0.2.176",
            "agentIsActive": false,
            "agentIsDecommissioned": false,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connected",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "838490132723152335",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "external_ticket_id": null,
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "THREAT_ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "0BB46E119EF0AE51",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": true,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": "sent"
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-07-07T17:19:48.260119Z",
            "username": "DESKTOP-example\\ddiserens",
            "whiteningOptions": []
}
出力メッセージ

脅威を取得アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully retrieved information about the available threats in SentinelOne.

No information about threats was found based on the provided criteria.

 アクションが成功しました。
Error executing action "Get Threats". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、脅威を取得アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Deep Visibility クエリを開始する

Initiate Deep Visibility Query アクションを使用して、Deep Visibility クエリ検索を開始します。

このアクションは、Get Deep Visibility Query Result アクションに必要なクエリ ID 値を返します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Initiate Deep Visibility Query] アクションには、次のパラメータが必要です。

パラメータ 説明
Query

必須。

検索のクエリ。

クエリ構文の詳細については、SentinelOne Deep Visibility チートシートをご覧ください。
Start Date

省略可。

検索の開始日。

値を設定しない場合、アクションはデフォルトで現在より 30 日前のイベントを取得します。
End Date

省略可。

検索の終了日。

値を設定しない場合、アクションは現在の時間を使用します。

アクションの出力

[Initiate Deep Visibility Query] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Initiate Deep Visibility Query] アクションを使用したときに受信した JSON 結果の出力を示しています。

[
    {
        "query_id": "QUERY_ID"
    }
]
出力メッセージ

[Initiate Deep Visibility Query] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully created a Deep Visibility query. Query ID: QUERY_ID.

Failed to create a Deep Visibility query.

 アクションが成功しました。
Error executing action "Initiate Deep Visibility Query". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Initiate Deep Visibility Query] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

フルスキャンを開始する

SentinelOne のエンドポイントでディスクのフルスキャンを開始するには、[Initiate Full Scan] アクションを使用します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

なし

アクションの出力

[Initiate Full Scan] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Initiate Full Scan] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully started the full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

Action wasn't able to start a full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

No full disk scans were initiated.

 アクションが成功しました。
Error executing action "Initiate Full Scan". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[完全スキャンを開始] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

サイトの一覧表示

サイトを一覧表示アクションを使用して、SentinelOne で使用可能なサイトを一覧表示します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[サイトを一覧表示] アクションには、次のパラメータが必要です。

パラメータ 説明
Filter Key

省略可。

サイトをフィルタするキー。

使用できる値は次のとおりです。

  • Select One
  • Name
  • ID

デフォルト値は Select One です。
Filter Logic

省略可。

適用するフィルタ ロジック。

フィルタ ロジックでは、Filter Key パラメータで設定された値が使用されます。

使用できる値は次のとおりです。

  • Not Specified
  • Equal
  • Contains

デフォルト値は Not Specified です。
Filter Value

省略可。

フィルタで使用する値。

フィルタ ロジックでは、Filter Key パラメータで設定された値が使用されます。

Filter Logic パラメータで Equal を選択すると、アクションは結果から完全一致を探します。

Filter Logic パラメータで Contains を選択すると、アクションは指定された部分文字列を含む結果を検索します。

値を設定しない場合、アクションはフィルタを無視します。
Max Records To Return

省略可。

返すレコード数。

デフォルト値は 50 です。

アクションの出力

[サイトを一覧表示] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用可能
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
ケースウォール テーブル

[サイトを一覧表示] アクションは、次の表を返すことができます。

テーブル名: Available Sites

テーブルの列:

  • 名前
  • ID
  • 作成者
  • 有効期限
  • 都道府県
出力メッセージ

[サイトを一覧表示] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully found sites for the provided criteria in SentinelOne.

No sites were found for the provided criteria in SentinelOne.

The filter was not applied, because parameter "Filter Value" has an empty value.

 アクションが成功しました。
Error executing action "List Sites". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[List Sites] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

脅威としてマーク

[Mark as Threat] アクションを使用して、SentinelOne で不審な脅威を真陽性の脅威としてマークします。

SentinelOne で脅威をマークするには、次のいずれかのロールが必要です。

  • Admin
  • IR Team
  • SOC

脅威としてマークできるのは、不審な検出のみです。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Mark as Threat] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat IDs

必須。

脅威としてマークする検出 ID のカンマ区切りのリスト。

アクションの出力

[脅威としてマーク] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[脅威としてマーク] アクションを使用したときに受信した JSON 結果の出力を示しています。

[
    {
        "ID": "DETECTION_ID",
        "marked_as_threat": "true"
    }
]
出力メッセージ

[Mark as Threat] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully marked the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mark the following threats in SentinelOne: THREAT_ID.

No threats were marked.

 アクションが成功しました。
Error executing action "Mark as Threat". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[脅威としてマーク] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

脅威を軽減する

[Mitigate Threat] アクションを使用して、SentinelOne の脅威に対して軽減アクションを実行します。

SentinelOne で脅威を軽減するには、次のいずれかのロールが必要です。

  • Admin
  • IR Team
  • SOC

ロールバックは Windows にのみ適用されます。脅威の修復は、macOS と Windows にのみ適用されます。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Mitigate Threat] アクションには、次のパラメータが必要です。

パラメータ 説明
Mitigation action

必須。

検出された脅威に対する軽減策。

値は次のいずれかになります。

  • quarantine
  • kill
  • un-quarantine
  • remediate
  • rollback-remediate

デフォルト値は quarantine です。
Threat IDs

必須。

軽減する脅威 ID のカンマ区切りのリスト。

アクションの出力

[脅威を軽減] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Mitigate Threat] アクションを使用した場合に受信される JSON 結果の出力例を示しています。

[
        {
            "mitigated": true,
            "mitigation_action": "quarantine",
            "Threat_ID": "THREAT_ID"
        }
]
出力メッセージ

[Mitigate Threat] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully mitigated the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mitigate the following threats in SentinelOne: THREAT_ID.

No threats were mitigated.

 アクションが成功しました。
Error executing action "Mitigate Threat". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Mitigate Threat] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エージェントの移動

エージェントの移動アクションを使用して、同じサイトから指定されたグループにエージェントを移動します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

[Move Agents] アクションには、次のパラメータが必要です。

パラメータ 説明
Group ID

省略可。

エージェントを移動するグループの ID。
Group Name

省略可。

エージェントの移動先のグループの名前。

Group ID パラメータと Group Name パラメータの両方を構成すると、アクションは Group ID パラメータを優先します。

アクションの出力

[エージェントを移動] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Move Agents] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully moved the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

Action wasn't able to move the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

No endpoints were moved to the group ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne.

アクションが成功しました。
Error executing action "Move Agents". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、エージェントの移動アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

Ping アクションを使用して接続をテストします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エージェントをネットワークに再接続する

エージェントをネットワークに再接続アクションを使用して、切断されたエンドポイントをネットワークに再接続します。

このアクションは、次の Google SecOps エンティティに対して実行されます。

  • IP Address
  • Hostname

アクション入力

なし

アクションの出力

[Reconnect Agent to the Network] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Reconnect Agent to the Network] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

脅威を解決する

SentinelOne で脅威を解決するには、[Resolve Threat] アクションを使用します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[脅威を解決] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat IDs

必須。

解決する脅威 ID のカンマ区切りのリスト。
Annotation

省略可。

脅威を解決するための正当な理由。

アクションの出力

[脅威を解決] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[脅威を解決] アクションを使用したときに受信される JSON 結果の出力を示しています。

[
    {
        "resolved": false,
        "Threat_ID": "THREAT_ID"
        }
]
出力メッセージ

[Resolve Threat] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully resolved the following threats in SentinelOne: THREAT_ID.

Action wasn't able to resolve the following threats in SentinelOne: THREAT_ID.

No threats were resolved.

 アクションが成功しました。
Error executing action "Resolve Threat". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[脅威を解決] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アラートを更新

アラートの更新アクションを使用して、SentinelOne の脅威のアラートを更新します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[アラートを更新] アクションには、次のパラメータが必要です。

パラメータ 説明
Alert ID

必須。

更新するアラートの ID。
Status

省略可。

アラートのステータス。

値は次のいずれかになります。

  • Unresolved
  • In Progress
  • Resolved
Verdict

省略可。

アラートの判定。

値は次のいずれかになります。

  • True Positive
  • False Positive
  • Suspicious

アクションの出力

[アラートを更新] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[アラートを更新] アクションを使用した場合に受信した JSON 結果の出力を示しています。

{
           "agentDetectionInfo": {
               "accountId": "1727154225040260868",
               "machineType": "server",
               "name": "windows-server-20230913",
               "osFamily": "windows",
               "osName": "Windows Server 2019 Datacenter",
               "osRevision": "17763",
               "siteId": "1727154229628829519",
               "uuid": "da943d26318e46a8b3f6fc480c02636d",
               "version": "23.1.2.400"
           },
           "agentRealtimeInfo": {
               "id": "1896661984701699721",
               "infected": true,
               "isActive": true,
               "isDecommissioned": false,
               "machineType": "server",
               "name": "windows-server-20230913",
               "os": "windows",
               "uuid": "da943d26318e46a8b3f6fc480c02636d"
           },
           "alertInfo": {
               "alertId": "1947486263439640318",
               "analystVerdict": "Undefined",
               "createdAt": "2024-05-11T00:27:23.135000Z",
               "dnsRequest": null,
               "dnsResponse": null,
               "dstIp": null,
               "dstPort": null,
               "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
               "eventType": "REGVALUEMODIFIED",
               "hitType": "Events",
               "incidentStatus": "Unresolved",
               "indicatorCategory": null,
               "indicatorDescription": null,
               "indicatorName": null,
               "isEdr": true,
               "loginAccountDomain": null,
               "loginAccountSid": null,
               "loginIsAdministratorEquivalent": null,
               "loginIsSuccessful": null,
               "loginType": null,
               "loginsUserName": null,
               "modulePath": null,
               "moduleSha1": null,
               "netEventDirection": null,
               "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryOldValue": "0060030100000000",
               "registryOldValueType": "BINARY",
               "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryValue": "0070030100000000",
               "reportedAt": "2024-05-11T00:27:33.873767Z",
               "source": "STAR",
               "srcIp": null,
               "srcMachineIp": null,
               "srcPort": null,
               "tiIndicatorComparisonMethod": null,
               "tiIndicatorSource": null,
               "tiIndicatorType": null,
               "tiIndicatorValue": null,
               "updatedAt": "2025-05-12T18:41:08.366615Z"
           },
           "containerInfo": {
               "id": null,
               "image": null,
               "labels": null,
               "name": null
           },
           "kubernetesInfo": {
               "cluster": null,
               "controllerKind": null,
               "controllerLabels": null,
               "controllerName": null,
               "namespace": null,
               "namespaceLabels": null,
               "node": null,
               "pod": null,
               "podLabels": null
           },
           "ruleInfo": {
               "description": null,
               "id": "1763599692710649014",
               "name": "Registry Value Modified",
               "queryLang": "1.0",
               "queryType": "events",
               "s1ql": "EventType = \"Registry Value Modified\"",
               "scopeLevel": "account",
               "severity": "Critical",
               "treatAsThreat": "UNDEFINED"
           },
           "sourceParentProcessInfo": {
               "commandline": "C:\\Windows\\system32\\services.exe",
               "effectiveUser": null,
               "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
               "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
               "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
               "filePath": "C:\\Windows\\System32\\services.exe",
               "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "services.exe",
               "pid": "896",
               "pidStarttime": "2024-04-26T17:33:41.962000Z",
               "realUser": null,
               "storyline": "DD880F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "DC880F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "sourceProcessInfo": {
               "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
               "effectiveUser": null,
               "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
               "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
               "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
               "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
               "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "cyserver.exe",
               "pid": "3204",
               "pidStarttime": "2024-04-26T17:34:17.273000Z",
               "realUser": null,
               "storyline": "74890F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "73890F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "targetProcessInfo": {
               "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
               "tgtFileHashSha1": null,
               "tgtFileHashSha256": null,
               "tgtFileId": null,
               "tgtFileIsSigned": "signed",
               "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
               "tgtFileOldPath": null,
               "tgtFilePath": null,
               "tgtProcCmdLine": null,
               "tgtProcImagePath": null,
               "tgtProcIntegrityLevel": "unknown",
               "tgtProcName": null,
               "tgtProcPid": null,
               "tgtProcSignedStatus": null,
               "tgtProcStorylineId": null,
               "tgtProcUid": null,
               "tgtProcessStartTime": "1970-01-01T00:00:00Z"
           }
       }
出力メッセージ

[アラートを更新] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明
Successfully updated alert with ID ALERT_ID in SentinelOne. アクションが成功しました。
Error executing action "Update Alert". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、アラートを更新アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アナリストの判定を更新する

[Update Analyst Verdict] アクションを使用して、SentinelOne の脅威のアナリストの判定を更新します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[Update Analyst Verdict] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat ID

必須。

アナリストの判定を更新する脅威 ID のカンマ区切りのリスト。
Analyst Verdict

必須。

アナリストの判定。

使用できる値は次のとおりです。

  • True Positive
  • False Positive
  • Suspicious
  • Undefined

デフォルト値は Undefined です。

アクションの出力

[Update Analyst Verdict] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Update Analyst Verdict] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully updated analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the provided threats in SentinelOne.

 アクションが成功しました。
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[アナリストの判定を更新] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

インシデントのステータスを更新する

SentinelOne で脅威インシデントのステータスを更新するには、[Update Incident Status] アクションを使用します。

このアクションは Google SecOps エンティティに対して実行されません。

アクション入力

[インシデントのステータスを更新] アクションには、次のパラメータが必要です。

パラメータ 説明
Threat ID

必須。

インシデントのステータスを更新する脅威 ID のカンマ区切りのリスト。
Status

必須。

インシデントのステータス。

使用できる値は次のとおりです。

  • Unresolved
  • In Progress
  • Resolved

デフォルト値は Resolved です。

アクションの出力

[インシデントのステータスを更新] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Update Incident Status] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully updated incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the provided threats in SentinelOne.

 アクションが成功しました。
Error executing action "Update Incident Status". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[インシデントのステータスを更新] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

コネクタ

Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。

SentinelOne - アラート コネクタ

SentinelOne - Alerts Connector を使用して、SentinelOne からアラートを取り込みます。

このコネクタを使用すると、ruleInfo.name パラメータに基づいて動的リストを使用してアラートをフィルタできます。このリストの動作は、Use dynamic list as a blocklist パラメータによって異なります。

  • Use dynamic list as a blocklist を選択しない場合:

    動的リストは許可リストとして機能します。コネクタは、ruleInfo.name がリスト内の値と一致するアラートのみを取り込みます。リストが空の場合、アラートは取り込まれません。

  • Use dynamic list as a blocklist を選択した場合:

    動的リストはブロックリストとして機能します。コネクタは、ruleInfo.name がリスト内の値と一致するアラートを除くすべてのアラートを取り込みます。リストが空の場合、すべてのアラートが取り込まれます。

コネクタ パラメータ

SentinelOne - Alerts Connector には、次のパラメータが必要です。

パラメータ 説明
Product Field Name

必須。

商品名が保存されるフィールドの名前。

商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。

デフォルト値は Product Name です。
Event Field Name

必須。

イベント名(サブタイプ)を特定するフィールドの名前。

デフォルト値は ruleInfo_name です。
Environment Field Name

省略可。

環境名が保存されるフィールドの名前。

環境フィールドがない場合、コネクタはデフォルト値を使用します。

デフォルト値は "" です。
Environment Regex Pattern

省略可。

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。

デフォルト値は .* です。
PythonProcessTimeout

必須。

現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 180 です。
API Root

必須。

SentinelOne インスタンスの API ルート。
API Token

必須。

SentinelOne API トークン。
Status Filter

省略可。

取り込むアラート ステータスのカンマ区切りリスト。

値は次のいずれかになります。

  • Unresolved
  • In Progress
  • Resolved

値が指定されていない場合、コネクタは Unresolved ステータスと In Progress ステータスのアラートを取得します。
Case Name Template

省略可。

カスタムケース名を定義するテンプレート。コネクタは、イベントに custom_case_name キーを追加します。

プレースホルダは FIELD_NAME 形式で使用できます。このプレースホルダには、最初のイベントの文字列値が入力されます。

例: Phishing - EVENT_MAILBOX
Alert Name Template

省略可。

アラート名を定義するテンプレート。

プレースホルダは FIELD_NAME 形式で使用できます。このプレースホルダには、最初のイベントの文字列値が入力されます。

例: Phishing - EVENT_MAILBOX

値が指定されていない場合や、テンプレートが無効な場合、コネクタはデフォルトのアラート名を使用します。
Lowest Severity To Fetch

省略可。

取得するアラートの最も低い重大度。

このパラメータを構成しない場合、コネクタはすべての重大度レベルのアラートを取り込みます。

値は次のいずれかになります。

  • Info
  • Low
  • Medium
  • High
  • Critical

値が指定されていない場合、すべての重大度が取り込まれます。
Max Hours Backwards

必須。

アラートを取得する現在の時刻より前の時間数。

デフォルト値は 24 です。
Max Alerts To Fetch

必須。

コネクタの反復処理ごとに処理するアラートの最大数。

最大値は 100 です。

デフォルト値は 10 です。
Use dynamic list as a blocklist

必須。

選択すると、コネクタは動的リストを拒否リストとして使用します。

デフォルトでは有効になっていません。
Disable Overflow

省略可。

選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。

デフォルトでは有効になっていません。
Verify SSL

必須。

選択すると、SentinelOne サーバーに接続するときに SSL 証明書が検証されます。

デフォルトで有効になっています。
Proxy Server Address

省略可。

使用するプロキシ サーバーのアドレス。
Proxy Username

省略可。

認証に使用するプロキシのユーザー名。
Proxy Password

省略可。

認証に使用するプロキシ パスワード。

コネクタルール

コネクタはプロキシをサポートしています。

アラートの構造

次の表に、SentinelOne アラート フィールドと Google SecOps アラート フィールドのマッピングを示します。

Siemplify アラート フィールド SentinelOne アラート フィールド(API の JSON キー)
SourceSystemName フレームワークによって入力されます。
TicketId alertInfo.alertId
DisplayId SentinelOne_Alert_{alertInfo.alertId}
Name SentinelOne Alert: {ruleInfo.name}
Reason ruleInfo.s1q1
Description ruleInfo.description
DeviceVendor ハードコード: SentinelOne
DeviceProduct フォールバック値: Alerts
Priority ruleInfo.severity からマッピング
RuleGenerator SentinelOne Alert: {ruleInfo.name}
SourceGroupingIdentifier ruleInfo.name
Severity ruleInfo.severity からマッピング
Risk Score 重大度の整数表現
StartTime alertInfo.createdAt から変換済み
EndTime alertInfo.createdAt から変換済み
Siemplify Alert - Extensions なし
Siemplify Alert - Attachments なし

コネクタ イベント

コネクタ イベントの例を次に示します。

{
    "agentDetectionInfo": {
        "accountId": "1727154225040260868",
        "machineType": "server",
        "name": "windows-server-20230913",
        "osFamily": "windows",
        "osName": "Windows Server 2019 Datacenter",
        "osRevision": "17763",
        "siteId": "1727154229628829519",
        "uuid": "da943d26318e46a8b3f6fc480c02636d",
        "version": "23.1.2.400"
    },
    "agentRealtimeInfo": {
        "id": "1896661984701699721",
        "infected": true,
        "isActive": true,
        "isDecommissioned": false,
        "machineType": "server",
        "name": "windows-server-20230913",
        "os": "windows",
        "uuid": "da943d26318e46a8b3f6fc480c02636d"
    },
    "alertInfo": {
        "alertId": "1947486263439640318",
        "analystVerdict": "Undefined",
        "createdAt": "2024-05-11T00:27:23.135000Z",
        "dnsRequest": null,
        "dnsResponse": null,
        "dstIp": null,
        "dstPort": null,
        "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
        "eventType": "REGVALUEMODIFIED",
        "hitType": "Events",
        "incidentStatus": "Unresolved",
        "indicatorCategory": null,
        "indicatorDescription": null,
        "indicatorName": null,
        "isEdr": true,
        "loginAccountDomain": null,
        "loginAccountSid": null,
        "loginIsAdministratorEquivalent": null,
        "loginIsSuccessful": null,
        "loginType": null,
        "loginsUserName": null,
        "modulePath": null,
        "moduleSha1": null,
        "netEventDirection": null,
        "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryOldValue": "0060030100000000",
        "registryOldValueType": "BINARY",
        "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryValue": "0070030100000000",
        "reportedAt": "2024-05-11T00:27:33.873767Z",
        "source": "STAR",
        "srcIp": null,
        "srcMachineIp": null,
        "srcPort": null,
        "tiIndicatorComparisonMethod": null,
        "tiIndicatorSource": null,
        "tiIndicatorType": null,
        "tiIndicatorValue": null,
        "updatedAt": "2025-05-12T18:41:08.366615Z"
    },
    "containerInfo": {
        "id": null,
        "image": null,
        "labels": null,
        "name": null
    },
    "kubernetesInfo": {
        "cluster": null,
        "controllerKind": null,
        "controllerLabels": null,
        "controllerName": null,
        "namespace": null,
        "namespaceLabels": null,
        "node": null,
        "pod": null,
        "podLabels": null
    },
    "ruleInfo": {
        "description": null,
        "id": "1763599692710649014",
        "name": "Registry Value Modified",
        "queryLang": "1.0",
        "queryType": "events",
        "s1ql": "EventType = \"Registry Value Modified\"",
        "scopeLevel": "account",
        "severity": "Critical",
        "treatAsThreat": "UNDEFINED"
    },
    "sourceParentProcessInfo": {
        "commandline": "C:\\Windows\\system32\\services.exe",
        "effectiveUser": null,
        "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
        "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
        "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
        "filePath": "C:\\Windows\\System32\\services.exe",
        "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "services.exe",
        "pid": "896",
        "pidStarttime": "2024-04-26T17:33:41.962000Z",
        "realUser": null,
        "storyline": "DD880F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "DC880F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "sourceProcessInfo": {
        "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
        "effectiveUser": null,
        "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
        "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
        "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
        "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
        "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "cyserver.exe",
        "pid": "3204",
        "pidStarttime": "2024-04-26T17:34:17.273000Z",
        "realUser": null,
        "storyline": "74890F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "73890F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "targetProcessInfo": {
        "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
        "tgtFileHashSha1": null,
        "tgtFileHashSha256": null,
        "tgtFileId": null,
        "tgtFileIsSigned": "signed",
        "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
        "tgtFileOldPath": null,
        "tgtFilePath": null,
        "tgtProcCmdLine": null,
        "tgtProcImagePath": null,
        "tgtProcIntegrityLevel": "unknown",
        "tgtProcName": null,
        "tgtProcPid": null,
        "tgtProcSignedStatus": null,
        "tgtProcStorylineId": null,
        "tgtProcUid": null,
        "tgtProcessStartTime": "1970-01-01T00:00:00Z"
    }
}

SentinelOne - Threats Connector

SentinelOne - Threats Connector を使用して、SentinelOne から脅威を取り込みます。

このコネクタを使用すると、動的リストに基づいてアラートをフィルタリングできます。

SentinelOne - Threats Connector は、alert_name パラメータを使用してアラートをフィルタします。

Use whitelist as a blacklist パラメータを選択すると、コネクタは alert_name が動的リスト内のどの値とも一致しないアラートのみを取り込みます。

動的リストで alert_name 値を構成しない場合、コネクタはすべてのアラートを取り込みます。

Use whitelist as a blacklist パラメータを選択しない場合、コネクタは alert_name が動的リストの値と一致するアラートのみを取り込みます。

コネクタの入力

SentinelOne - Threats Connector には、次のパラメータが必要です。

パラメータ 説明
Product Field Name

必須。

商品名が保存されるフィールドの名前。

商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値 siemplify_event は、コードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。

デフォルト値は siemplify_event です。
Event Field Name

必須。

イベント名(サブタイプ)を特定するフィールドの名前。

デフォルト値は threatinfo_classification です。
Environment Field Name

省略可。

環境名が保存されるフィールドの名前。

環境フィールドがない場合、コネクタはデフォルト値を使用します。

デフォルト値は "" です。
Environment Regex Pattern

省略可。

Environment Field Name フィールドで見つかった値に対して実行する正規表現パターン。このパラメータを使用すると、正規表現ロジックを使用して環境フィールドを操作できます。

デフォルト値 .* を使用して、必要な未加工の Environment Field Name 値を取得します。

正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。
Script Timeout

必須。

現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。

デフォルト値は 180 です。
API Root

必須。

SentinelOne API ルート。

デフォルト値は https://usea1-partners.sentinelone.net/ です。
API Token

必須。

SentinelOne API トークン。
API Version

省略可。

コネクタが使用する SentinelOne API のバージョン。

値を設定しない場合、コネクタはデフォルトで API バージョン 2.0 を使用します。
Fetch Max Days Backwards

省略可。

アラートを取得する現在までの日数。

このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。

デフォルト値は 1 です。
Max Alerts Per Cycle

省略可。

コネクタの反復処理ごとに処理するアラートの最大数。

デフォルト値は 25 です。
Disable Overflow

省略可。

選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。

デフォルトでは選択されていません。
Use whitelist as a blacklist

必須。

選択すると、コネクタは動的リストを拒否リストとして使用します。

デフォルトでは選択されていません。
Verify SSL

必須。

選択すると、SentinelOne サーバーに接続するときに SSL 証明書が検証されます。

デフォルトで選択されます。
Proxy Server Address

省略可。

使用するプロキシ サーバーのアドレス。
Proxy Username

省略可。

認証に使用するプロキシのユーザー名。
Proxy Password

省略可。

認証に使用するプロキシ パスワード。
Event Object Type Filter

省略可。

脅威情報とともに返すイベント オブジェクトのカンマ区切りのリスト。

コネクタはこのパラメータをフィルタとして使用し、process, ip, indicators などの特定のオブジェクトのみを返します。

値を設定しない場合、コネクタはすべてのイベント オブジェクト タイプを取り込みます。
Event Type Filter

省略可。

脅威情報とともに返すイベントタイプのカンマ区切りのリスト。

コネクタはこのパラメータをフィルタとして使用し、Process Creation, Behavioral Indicators などの特定のイベントタイプのみを返します。
Max Events To Return

省略可。

脅威ごとに返すイベントの数。

最大値は 199 です。

デフォルト値は 199 です。

コネクタルール

コネクタはプロキシをサポートしています。

コネクタは許可リストとブロックリストをサポートしています。

コネクタ イベント

コネクタ イベントの例を次に示します。

{
    "data": [
        {
            "accountId": "ACCOUNT_ID",
            "accountName": "SentinelOne",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "203.0.113.180",
            "agentIsActive": false,
            "agentIsDecommissioned": true,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connecting",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "annotationUrl": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "COLLECTION_ID",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "MALICED_GROUP_ID",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": false,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": null
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-04-02T14:51:21.901754Z",
            "username": "DESKTOP-example\\username",
            "whiteningOptions": [
                "hash"
            ]
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 161
    }
}

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。