Integre o SentinelOne v2 com o Google SecOps
Versão de integração: 37.0
Este documento explica como configurar e integrar o SentinelOne v2 com o Google Security Operations (Google SecOps).
Esta integração usa a API 2.0 do SentinelOne.
Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte completo desta integração a partir do contentor do Cloud Storage.
Exemplos de utilização
A integração do SentinelOne pode ajudar a resolver os seguintes exemplos de utilização:
Contenha pontos finais infetados: use as capacidades do Google SecOps para isolar um anfitrião infetado e impedir o movimento lateral e a exfiltração de dados.
Obtenha informações detalhadas sobre os pontos finais: use as capacidades do Google SecOps para enriquecer os dados de incidentes com uma análise detalhada do anfitrião para um melhor contexto e tomada de decisões. Pode consultar automaticamente o SentinelOne para obter informações detalhadas sobre um ponto final envolvido num alerta, incluindo a versão do agente, o sistema operativo e as interfaces de rede.
Iniciar análises de visibilidade detalhada: use as capacidades do Google SecOps para procurar ameaças e software malicioso oculto em máquinas suspeitas e iniciar uma análise completa do disco com o SentinelOne quando for detetada atividade suspeita, como modificações de ficheiros invulgares ou alterações ao registo.
Investigue ameaças com informações sobre ameaças: use as capacidades do Google SecOps para melhorar a precisão através da correlação de alertas do SentinelOne com dados de informações sobre ameaças, encaminhe hashes suspeitos, caminhos de ficheiros ou endereços IP encontrados em alertas do SentinelOne para plataformas de informações sobre ameaças.
Triagem de software malicioso: use as capacidades do Google SecOps para classificar automaticamente software malicioso com ferramentas de análise estática para uma resposta a incidentes simplificada. Pode extrair amostras de endpoints infetados, acionar a análise no seu ambiente e receber a classificação do software malicioso com base na análise estática.
Antes de começar
Para usar a integração do SentinelOne v2, precisa de um token da API SentinelOne.
Para gerar o token de API, conclua os seguintes passos:
Na consola de gestão do SentinelOne, aceda a Definições > Utilizadores.
Clique no seu nome de utilizador.
Aceda a Ações > Operações de tokens da API.
Clique em Gerar chave de API. Copie a chave da API e use-a para configurar a integração. O token de API gerado é válido durante seis meses.
Parâmetros de integração
A integração do SentinelOne v2 requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API root |
Obrigatório. A raiz da API SentinelOne. O valor predefinido é
|
API Token |
Obrigatório. A chave da API do SentinelOne. Para saber como gerar o token da API para a integração, consulte a secção Antes de começar. A política de segurança do SentinelOne requer que crie um novo token de API a cada seis meses. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor Sentinel. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Adicione uma nota de ameaça
Use a ação Adicionar nota de ameaça para adicionar uma nota à ameaça no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Adicionar nota de ameaça requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. O ID da ameaça à qual quer adicionar uma nota. |
Note |
Obrigatório. Uma nota a adicionar à ameaça. |
Resultados da ação
A ação Adicionar nota de ameaça fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar nota de ameaça pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Adicionar nota de ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Crie um registo de lista negra de hash
Use a ação Create Hash Black List Record para adicionar hashes a uma lista de bloqueio no SentinelOne.
Esta ação só suporta hashes SHA-1.
Esta ação é executada na entidade Hash do Google SecOps.
Dados de ações
A ação Create Hash Black List Record requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Operating System |
Obrigatório. Um sistema operativo para o hash. Os valores possíveis são os seguintes:
O valor predefinido é
|
Site IDs |
Opcional. Uma lista de IDs de sites separados por vírgulas para enviar para a lista de bloqueios. |
Group IDs |
Opcional. Uma lista de IDs de grupos separados por vírgulas para enviar para a lista de bloqueios. |
Account IDs |
Opcional. Uma lista de IDs de contas separados por vírgulas para enviar para a lista de bloqueios. |
Description |
Opcional. Informações adicionais relacionadas com um hash. O valor predefinido é |
Add to global blocklist |
Obrigatório. Se selecionada, a ação adiciona um hash a uma lista de bloqueio global. Se selecionar este parâmetro, a ação ignora os parâmetros
|
Resultados da ação
A ação Create Hash Black List Record fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Create Hash Black List Record:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Mensagens de saída
A ação Create Hash Black List Record pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Create Hash Black List Record:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Crie um registo de exclusão de hash
Use a ação Criar registo de exclusão de hash para adicionar um hash à lista de exclusões no SentinelOne.
Esta ação só suporta hashes SHA-1.
Esta ação é executada na entidade Hash do Google SecOps.
Dados de ações
A ação Create Hash Exclusion Record requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Operation System |
Obrigatório. Um sistema operativo (SO) para o hash. Os valores possíveis são os seguintes:
O valor
predefinido é |
Site IDs |
Opcional. Uma lista de IDs de sites separados por vírgulas para enviar o hash para a lista de exclusão. A ação requer, pelo menos, um valor válido. |
Group IDs |
Opcional. Uma lista de IDs de grupos separados por vírgulas para enviar o hash para a lista de exclusões. A ação requer, pelo menos, um valor válido. |
Account IDs |
Opcional. Uma lista de IDs de contas separados por vírgulas para enviar o hash para a lista de exclusões. |
Description |
Opcional. Informações adicionais relacionadas com o hash. |
Add to global exclusion list |
Opcional. Se estiver selecionada, a ação adiciona um hash à lista de exclusões global. Se selecionar este parâmetro, a ação ignora os parâmetros |
Resultados da ação
A ação Criar registo de exclusão de hash fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Create Hash Exclusion Record:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensagens de saída
A ação Create Hash Exclusion Record pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Create Hash Exclusion Record:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Crie um registo de exclusão de caminho
Use a ação Criar registo de exclusão de caminho para adicionar um caminho à lista de exclusões no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Criar registo de exclusão de caminho requer os seguintes parâmetros:
O valor
predefinido é Suppress Alerts.
| Parâmetro | Descrição |
|---|---|
Path |
Obrigatório. Um caminho a adicionar à lista de exclusões. |
Operation System |
Obrigatório. Um sistema operativo (SO) para o hash. Os valores possíveis são os seguintes:
O valor
predefinido é |
Site IDs |
Opcional. Uma lista de IDs de sites separados por vírgulas para enviar o hash para a lista de exclusão. A ação requer, pelo menos, um valor válido. |
Group IDs |
Opcional. Uma lista de IDs de grupos separados por vírgulas para enviar o hash para a lista de exclusões. A ação requer, pelo menos, um valor válido. |
Account IDs |
Opcional. Uma lista de IDs de contas separados por vírgulas para enviar o hash para a lista de exclusões. |
Description |
Opcional. Informações adicionais relacionadas com o hash. |
Add to global exclusion list |
Opcional. Se estiver selecionada, a ação adiciona um hash à lista de exclusões global. Se selecionar este parâmetro, a ação ignora os parâmetros |
Include Subfolders |
Opcional. Se estiver selecionada, a ação inclui subpastas para o caminho fornecido. Este parâmetro só se aplica se configurar um caminho de pasta no parâmetro |
Mode |
Opcional. Um modo a usar para o caminho excluído. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Criar registo de exclusão de caminho fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Create Path Exclusion Record:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensagens de saída
A ação Create Path Exclusion Record pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Create Path Exclusion Record:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Elimine o registo da lista negra de hash
Use a ação Eliminar registo da lista negra de hashes para eliminar hashes de uma lista de bloqueio no SentinelOne.
Esta ação só suporta hashes SHA-1.
Esta ação é executada na entidade Hash do Google SecOps.
Dados de ações
A ação Delete Hash Blacklist Record requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Site IDs |
Opcional. Uma lista de IDs de sites separados por vírgulas para remover o hash. |
Group IDs |
Opcional. Uma lista de IDs de grupos separados por vírgulas para remover o hash. |
Account IDs |
Opcional. Uma lista de IDs de contas separados por vírgulas para remover o hash. |
Remove from global black list |
Opcional. Se selecionada, a ação remove o hash da lista de bloqueio global. Se selecionar este parâmetro, a ação ignora os parâmetros
|
Resultados da ação
A ação Eliminar registo da lista negra de hashes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Delete Hash Blacklist Record pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Eliminar registo da lista negra de hashes:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Desligue o agente da rede
Use a ação Desassociar agente da rede para desassociar um agente de uma rede através do nome de anfitrião ou do endereço IP do agente.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Desligar agente da rede fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Disconnect Agent From Network:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Transferir ficheiro de ameaça
Use a ação Transferir ficheiro de ameaça para transferir um ficheiro relacionado com uma ameaça no SentinelOne.
Para aceder a ficheiros de ameaças no SentinelOne, precisa de uma das seguintes funções:
AdminIR TeamSOC
Esta ação não é executada em entidades do Google SecOps.
Limitações de ações
A ação Transferir ficheiro de ameaça pode atingir o limite de tempo quando o SentinelOne obtém um ficheiro, mas não fornece um URL de transferência.
Para investigar a causa do limite de tempo, aceda à cronologia de ameaças.
Dados de ações
A ação Transferir ficheiro de ameaça requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. O ID da ameaça para transferir um ficheiro. |
Password |
Obrigatório. Uma palavra-passe para a pasta comprimida que contém o ficheiro de ameaça. Os requisitos de palavra-passe são os seguintes:
O comprimento máximo da palavra-passe é de 256 carateres. |
Download Folder Path |
Obrigatório. Um caminho para uma pasta onde armazenar o ficheiro de ameaça. |
Overwrite |
Obrigatório. Se estiver selecionada, a ação substitui um ficheiro com o mesmo nome. Não selecionado por predefinição. |
Resultados da ação
A ação Transferir ficheiro de ameaça fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Transferir ficheiro de ameaças:
{
"absolute_path": "ABSOLUTE_PATH"
}
Mensagens de saída
A ação Transferir ficheiro de ameaça pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Transferir ficheiro de ameaças:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pontos finais de enriquecimento
Use a ação Enrich Endpoints para enriquecer as informações sobre o ponto final através do endereço IP ou do nome do anfitrião.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
A ação Enrich Endpoints requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística com informações sobre os pontos finais. |
Only Infected Endpoints Insights |
Opcional. Se selecionada, a ação apenas cria estatísticas para os endpoints infetados. |
Resultados da ação
A ação Enrich Endpoints fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Endpoints:
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Mensagens de saída
A ação Enrich Endpoints pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Enrich Endpoints:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Agent Status
Use a ação Get Agent Status para obter informações sobre o estado dos agentes nos pontos finais com base na entidade fornecida.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Get Agent Status fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Agent Status:
{
"status": "Not active"
}
Mensagens de saída
A ação Get Agent Status pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Agent Status:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a lista de aplicações para o ponto final
Use a ação Get Application List for Endpoint para obter informações sobre as aplicações disponíveis num ponto final através das entidades fornecidas.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
A ação Get Application List for Endpoint requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Max Applications To Return |
Opcional. O número máximo de aplicações a devolver. Se não definir um número, a ação devolve todas as aplicações disponíveis. |
Resultados da ação
A ação Get Application List for Endpoint fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Application List for Endpoint:
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Mensagens de saída
A ação Get Application List for Endpoint pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Get Application List for Endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Blacklist
Use a ação Get Blacklist para obter uma lista de todos os itens disponíveis na lista de bloqueio no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Blacklist requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hash |
Opcional. Uma lista de hashes separados por vírgulas a verificar na lista de bloqueios. A ação apenas devolve hashes que foram encontrados. Se
definir |
Site IDs |
Opcional. Uma lista de IDs de sites separados por vírgulas para devolver itens da lista de bloqueio. |
Group IDs |
Opcional. Uma lista de IDs de grupos separados por vírgulas para devolver itens da lista de bloqueios. |
Account Ids |
Opcional. Uma lista de IDs de contas separados por vírgulas para devolver itens da lista de bloqueios. |
Limit |
Opcional. Um número de itens da lista de bloqueio a devolver. Se
definir o parâmetro O valor máximo é O valor predefinido é
|
Query |
Opcional. Uma consulta para filtrar resultados. |
Use Global Blacklist |
Opcional. Se selecionada, a ação devolve hashes de uma lista de bloqueios global. Não selecionado por predefinição. |
Resultados da ação
A ação Get Blacklist fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Blacklist pode devolver a seguinte tabela:
Nome da tabela: Hashes da lista de bloqueios
Colunas da tabela:
- Hash
- Âmbito
- Descrição
- SO
- Utilizador
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Blacklist:
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Mensagens de saída
A ação Get Blacklist pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Blacklist:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receba o resultado da consulta de visibilidade detalhada
Use a ação Get Deep Visibility Query Result para obter informações sobre os resultados da consulta de visibilidade detalhada.
Execute esta ação em combinação com a ação Initiate Deep Visibility Query.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Deep Visibility Query Result requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query ID |
Obrigatório. O ID da consulta para devolver resultados. O valor
do ID está disponível no resultado JSON da ação Initiate Deep Visibility
Query como o parâmetro |
Limit |
Opcional. O número de eventos a devolver. O valor
máximo é O valor predefinido é |
Resultados da ação
A ação Get Deep Visibility Query Result fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Deep Visibility Query Result pode devolver a seguinte tabela:
Nome da tabela: SentinelOne Events
Colunas da tabela:
- Tipo de evento
- Nome do site
- Hora
- Agent OS
- ID do processo
- UID do processo
- Nome do processo
- MD5
- SHA256
Mensagens de saída
A ação Get Deep Visibility Query Result pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully found events for query: QUERY_ID. |
A ação foi bem-sucedida. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Get Deep Visibility Query Result:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha eventos para o tempo de inatividade do ponto final
Use a ação Get Events for Endpoint Hours Back para obter informações sobre os eventos mais recentes num endpoint.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
A ação Get Events for Endpoint Hours Back requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hours Back |
Obrigatório. O número de horas anteriores ao momento atual para obter eventos. |
Events Amount Limit |
Opcional. O número máximo de eventos a devolver para cada tipo de evento. O valor predefinido é |
Include File Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Include Indicator Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Include DNS Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Include Network Actions Events Information |
Opcional. Se selecionada, a ação consulta informações sobre os eventos |
Include URL Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Include Registry Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Include Scheduled Task Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos |
Resultados da ação
A ação Get Events for Endpoint Hours Back fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Events for Endpoint Hours Back:
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Mensagens de saída
A ação Get Events for Endpoint Hours Back pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Get Events for Endpoint Hours Back:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obter detalhes do grupo
Use a ação Get Group Details para obter informações detalhadas sobre os grupos fornecidos.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Group Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Group Names |
Obrigatório. Nomes dos grupos para obter detalhes. Este parâmetro aceita vários valores como uma lista separada por vírgulas. |
Resultados da ação
A ação Get Group Details (Obter detalhes do grupo) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Group Details pode devolver a seguinte tabela:
Nome da tabela: SentinelOne Groups
Colunas da tabela:
- ID
- Nome
- Tipo
- Classificação
- Criador
- Hora da criação
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Group Details:
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Mensagens de saída
A ação Get Group Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Get Group Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a reputação de hash
(Obsoleto) Use a ação Get Hash Reputation para obter informações sobre hashes do SentinelOne.
Esta ação é executada na entidade Hash do Google SecOps.
Dados de ações
A ação Get Hash Reputation requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reputation Threshold |
Opcional. Um limite de reputação para marcar a entidade como suspeita. Se não definir um valor, a ação não marca nenhuma entidade como suspeita. O valor máximo é O valor predefinido é |
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística que contém informações sobre a reputação. |
Only Suspicious Hashes Insight |
Opcional. Se selecionada, a ação só cria uma estatística para hashes com uma reputação superior ou igual ao valor |
Resultados da ação
A ação Get Hash Reputation fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Tabela de enriquecimento
A ação Get Hash Reputation pode enriquecer os seguintes campos:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
SENO_reputation |
Devolve se existir no resultado JSON. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Hash Reputation:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha a lista de processos para o ponto final – Descontinuado
Get System Status
Use a ação Get System Status para obter o estado de um sistema.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get System Status (Obter estado do sistema) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get System Status:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get System Status:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obter versão do sistema
Use a ação Obter versão do sistema para obter a versão de um sistema.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get System Version (Obter versão do sistema) fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get System Version:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receba ameaças
Use a ação Get Threats para obter informações sobre ameaças no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Threats requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Mitigation Status |
Opcional. Uma lista de estados de ameaças separados por vírgulas. A ação só devolve ameaças que correspondam aos estados configurados. Os valores possíveis são os seguintes:
|
Created until |
Opcional. A hora de fim das ameaças, como
|
Created from |
Opcional. A hora de início das ameaças, como
|
Resolved Threats |
Opcional. Se selecionada, a ação devolve apenas ameaças resolvidas. |
Threat Display Name |
Opcional. Um nome a apresentar da ameaça para o destinatário. |
Limit |
Opcional. Um número de ameaças a devolver. O valor
predefinido é |
API Version |
Opcional. Uma versão da API a usar na ação. Se não definir um valor, a ação usa a versão 2.1. A versão da API afeta a estrutura do resultado JSON. Recomendamos que defina a versão mais recente da API. Os valores possíveis são os seguintes:
O valor
predefinido é |
Resultados da ação
A ação Get Threats fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Threats:
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Mensagens de saída
A ação Get Threats pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Threats". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Threats:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Inicie uma consulta de visibilidade detalhada
Use a ação Initiate Deep Visibility Query para iniciar uma pesquisa de consulta de visibilidade detalhada.
Esta ação devolve o valor do ID da consulta que a ação Get Deep Visibility Query Result requer.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Initiate Deep Visibility Query requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. Uma consulta para a pesquisa. Para mais informações acerca da sintaxe de consulta, consulte o guia de consulta rápida de visibilidade detalhada do SentinelOne. |
Start Date |
Opcional. Uma data de início para a pesquisa. Se não definir um valor, a ação obtém eventos 30 dias antes do momento atual por predefinição. |
End Date |
Opcional. Uma data de fim para a pesquisa. Se não definir um valor, a ação usa a hora atual. |
Resultados da ação
A ação Initiate Deep Visibility Query fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Initiate Deep Visibility Query:
[
{
"query_id": "QUERY_ID"
}
]
Mensagens de saída
A ação Initiate Deep Visibility Query pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor da saída do resultado do script quando usa a ação Initiate Deep Visibility Query:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Iniciar análise completa
Use a ação Initiate Full Scan para iniciar uma análise completa do disco num endpoint no SentinelOne.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Iniciar análise completa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Iniciar análise completa pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Iniciar análise completa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar sites
Use a ação List Sites para listar os sites disponíveis no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação List Sites requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
Opcional. A chave para filtrar sites. Os valores possíveis são os seguintes:
O valor predefinido é |
Filter Logic |
Opcional. A lógica do filtro a aplicar. A lógica do filtro usa o valor definido no parâmetro Os valores possíveis são os seguintes:
O valor
predefinido é |
Filter Value |
Opcional. O valor a usar no filtro. A lógica do filtro usa o valor definido no parâmetro Se
selecionar Se selecionar
Se não definir um valor, a ação ignora o filtro. |
Max Records To Return |
Opcional. O número de registos a devolver. O valor
predefinido é |
Resultados da ação
A ação List Sites fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação List Sites pode devolver a seguinte tabela:
Nome da tabela: Sites disponíveis
Colunas da tabela:
- Nome
- ID
- Criador
- Expiração
- Tipo
- Estado
Mensagens de saída
A ação List Sites pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "List Sites". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação List Sites:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Marcar como ameaça
Use a ação Marcar como ameaça para marcar ameaças suspeitas como ameaças verdadeiramente positivas no SentinelOne.
Para marcar ameaças no SentinelOne, precisa de uma das seguintes funções:
AdminIR TeamSOC
Só pode marcar deteções suspeitas como ameaças.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Marcar como ameaça requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat IDs |
Obrigatório. Uma lista de IDs de deteção separada por vírgulas para marcar como ameaças. |
Resultados da ação
A ação Marcar como ameaça fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Marcar como ameaça:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Mensagens de saída
A ação Marcar como ameaça pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Marcar como ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mitigue a ameaça
Use a ação Mitigar ameaça para executar ações de mitigação nas ameaças no SentinelOne.
Para mitigar ameaças no SentinelOne, precisa de uma das seguintes funções:
AdminIR TeamSOC
A reversão aplica-se apenas ao Windows. A correção de ameaças aplica-se apenas ao macOS e ao Windows.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Mitigate Threat requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Mitigation action |
Obrigatório. Uma ação de mitigação para as ameaças detetadas. Os valores possíveis são os seguintes:
O valor predefinido é
|
Threat IDs |
Obrigatório. Uma lista de IDs de ameaças separados por vírgulas a mitigar. |
Resultados da ação
A ação Mitigar ameaça fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Mitigate Threat:
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Mensagens de saída
A ação Mitigate Threat pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Mitigate Threat:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mova agentes
Use a ação Mover agentes para mover agentes para o grupo fornecido a partir do mesmo site.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
A ação Move Agents requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Group ID |
Opcional. O ID do grupo para o qual quer mover agentes. |
Group Name |
Opcional. O nome do grupo para mover agentes. Se configurar o parâmetro |
Resultados da ação
A ação Mover agentes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Move Agents pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Move Agents:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Volte a ligar o agente à rede
Use a ação Voltar a ligar o agente à rede para voltar a ligar um ponto final desligado a uma rede.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Dados de ações
Nenhum.
Resultados da ação
A ação Voltar a ligar o agente à rede fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Não disponível |
| Resultado do script | Disponível |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Reconnect Agent to the Network (Voltar a associar o agente à rede):
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Resolva a ameaça
Use a ação Resolver ameaça para resolver ameaças no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Resolver ameaça requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat IDs |
Obrigatório. Uma lista de IDs de ameaças separados por vírgulas a resolver. |
Annotation |
Opcional. Uma justificação para resolver a ameaça. |
Resultados da ação
A ação Resolver ameaça fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Resolve Threat:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Mensagens de saída
A ação Resolver ameaça pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Resolve Threat:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar alerta
Use a ação Atualizar alerta para atualizar o alerta da ameaça no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Update Alert requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta a atualizar. |
Status |
Opcional. O estado do alerta. Os valores possíveis são os seguintes:
|
Verdict |
Opcional. O veredito do alerta. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Atualizar alerta fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Update Alert:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Mensagens de saída
A ação Update Alert pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
A ação foi bem-sucedida. |
Error executing action "Update Alert". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Atualizar alerta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar veredito do analista
Use a ação Atualizar veredito do analista para atualizar o veredito do analista da ameaça no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Update Analyst Verdict requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. Uma lista de IDs de ameaças separados por vírgulas para atualizar o veredito do analista. |
Analyst Verdict |
Obrigatório. Um veredito do analista. Os valores possíveis são os seguintes:
O valor predefinido é
|
Resultados da ação
A ação Atualizar veredito do analista fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Update Analyst Verdict pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Update Analyst Verdict:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualize o estado do incidente
Use a ação Atualizar estado do incidente para atualizar o estado do incidente de ameaça no SentinelOne.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Atualizar estado do incidente requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. Uma lista separada por vírgulas de IDs de ameaças para atualizar o estado do incidente. |
Status |
Obrigatório. Um estado do incidente. Os valores possíveis são os seguintes:
O valor predefinido é
|
Resultados da ação
A ação Atualizar estado do incidente fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar estado do incidente pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor do resultado do script quando usa a ação Atualizar estado do incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
SentinelOne - Conetor de alertas
Use o SentinelOne - Alerts Connector para carregar alertas do SentinelOne.
O conector permite-lhe filtrar alertas através de uma lista dinâmica com base no parâmetro ruleInfo.name. O comportamento desta lista depende do parâmetro Use dynamic list as a blocklist.
Se não selecionar
Use dynamic list as a blocklist:A lista dinâmica funciona como uma lista de autorizações. O conector só carrega alertas cujo
ruleInfo.namecorresponda a um valor na lista. Se a lista estiver vazia, não são carregados alertas.Se selecionar
Use dynamic list as a blocklist:A lista dinâmica funciona como uma lista de bloqueios. O conector carrega todos os alertas, exceto aqueles cujo
ruleInfo.namecorresponde a um valor na lista. Se a lista estiver vazia, todos os alertas são carregados.
Parâmetros do conetor
O SentinelOne - Alerts Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. O valor predefinido é |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do SentinelOne. |
API Token |
Obrigatório. A chave da API do SentinelOne. |
Status Filter |
Opcional. Uma lista separada por vírgulas de estados de alerta a carregar. Os valores possíveis são os seguintes:
Se não for indicado nenhum valor, o conector obtém alertas com os estados |
Case Name Template |
Opcional. Um modelo para definir um nome de registo personalizado. O conector adiciona uma chave Pode usar marcadores de posição no formato FIELD_NAME, que são preenchidos a partir dos valores de string do primeiro evento. Exemplo: |
Alert Name Template |
Opcional. Um modelo para definir o nome do alerta. Pode usar marcadores de posição no formato FIELD_NAME, que são preenchidos a partir dos valores de string do primeiro evento. Exemplo: Se não for fornecido um valor ou o modelo for inválido, o conetor usa um nome de alerta predefinido. |
Lowest Severity To Fetch |
Opcional. A gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
Se não for indicado nenhum valor, todas as gravidades são carregadas. |
Max Hours Backwards |
Obrigatório. O número de horas antes da hora atual para obter alertas. O valor predefinido é |
Max Alerts To Fetch |
Obrigatório. O número máximo de alertas a processar em cada iteração do conector. O valor máximo é O valor predefinido é |
Use dynamic list as a blocklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não está ativada por predefinição. |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Não está ativada por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do SentinelOne. Ativada por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor suporta proxies.
Estrutura do alerta
A tabela seguinte descreve o mapeamento dos campos de alerta do SentinelOne para os campos de alerta do Google SecOps:
| Campo de alerta do Siemplify | Campo de alerta do SentinelOne (chave JSON da API) |
|---|---|
SourceSystemName |
Preenchidos pelo framework. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Codificado: SentinelOne |
DeviceProduct |
Valor alternativo: Alerts |
Priority |
Mapeado a partir de ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Mapeado a partir de ruleInfo.severity |
Risk Score |
Representação numérica da gravidade |
StartTime |
Convertida de alertInfo.createdAt |
EndTime |
Convertida de alertInfo.createdAt |
Siemplify Alert - Extensions |
N/A |
Siemplify Alert - Attachments |
N/A |
Eventos do conetor
Segue-se um exemplo de um evento de conector:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - Threats Connector
Use o SentinelOne - Threats Connector para carregar ameaças do SentinelOne.
O conector permite-lhe filtrar alertas com base em listas dinâmicas.
O SentinelOne - Threats Connector filtra os alertas através do parâmetro alert_name.
Se selecionar o parâmetro Use whitelist as a blacklist, o conector só carrega alertas cujo alert_name não corresponda a nenhum valor na lista dinâmica.
Se não configurar valores alert_name na lista dinâmica, o conetor
carrega todos os alertas.
Se não selecionar o parâmetro Use whitelist as a blacklist, o conector apenas carrega alertas cujo alert_name corresponda a um valor na lista dinâmica.
Entradas do conetor
O SentinelOne - Threats Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é
|
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API SentinelOne. O valor predefinido é
|
API Token |
Obrigatório. A chave da API do SentinelOne. |
API Version |
Opcional. A versão da API SentinelOne que o conetor deve usar. Se não definir um valor, o conetor usa a versão 2.0 da API por predefinição. |
Fetch Max Days Backwards |
Opcional. O número de dias anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Alerts Per Cycle |
Opcional. O número máximo de alertas a processar em cada iteração do conector. O valor predefinido é |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Não selecionado por predefinição. |
Use whitelist as a blacklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do SentinelOne. Selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Event Object Type Filter |
Opcional. Uma lista separada por vírgulas de objetos de eventos a devolver com as informações sobre ameaças. O conetor usa este parâmetro como um filtro para devolver apenas determinados objetos, como Se não definir um valor, o conector carrega todos os tipos de objetos de eventos. |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a devolver com as informações sobre ameaças. O conetor usa este parâmetro como um filtro para devolver apenas determinados tipos de eventos, como |
Max Events To Return |
Opcional. O número de eventos a devolver para cada ameaça. O valor máximo é O valor predefinido é
|
Regras de conector
O conetor suporta proxies.
O conetor suporta listas de autorizações e listas de bloqueios.
Eventos de conetores
O exemplo do evento do conector é o seguinte:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.