Integrar o SentinelOne v2 ao Google SecOps
Versão da integração: 37.0
Este documento explica como configurar e integrar o SentinelOne v2 ao Google Security Operations (Google SecOps).
Essa integração usa a API 2.0 do SentinelOne.
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.
Casos de uso
A integração do SentinelOne pode ajudar você a resolver os seguintes casos de uso:
Isolar endpoints infectados: use os recursos do Google SecOps para isolar um host infectado e evitar movimentação lateral e exfiltração de dados.
Recuperar informações detalhadas do endpoint: use os recursos do Google SecOps para enriquecer os dados de incidentes com uma análise detalhada do host e melhorar o contexto e a tomada de decisões. Você pode consultar automaticamente o SentinelOne para receber informações detalhadas sobre um endpoint envolvido em um alerta, incluindo versão do agente, sistema operacional e interfaces de rede.
Iniciar verificações de visibilidade detalhada: use os recursos do Google SecOps para procurar ameaças e malware oculto em máquinas suspeitas e iniciar uma verificação completa do disco usando o SentinelOne quando uma atividade suspeita for detectada, como modificações incomuns de arquivos ou alterações no registro.
Investigue ameaças com inteligência de ameaças: use os recursos do Google SecOps para melhorar a precisão correlacionando alertas do SentinelOne com dados de inteligência de ameaças, encaminhe hashes suspeitos, caminhos de arquivos ou endereços IP encontrados em alertas do SentinelOne para plataformas de inteligência de ameaças.
Triagem de malware: use os recursos do Google SecOps para classificar automaticamente o malware com ferramentas de análise estática e simplificar a resposta a incidentes. É possível extrair amostras de endpoints infectados, acionar a análise no seu ambiente e receber a classificação do malware com base na análise estática.
Antes de começar
Para usar a integração do SentinelOne v2, você precisa de um token da API do SentinelOne.
Para gerar o token de API, siga estas etapas:
No console de gerenciamento do SentinelOne, acesse Configurações > Usuários.
Clique no seu nome de usuário.
Acesse Ações > Operações de token de API.
Clique em Gerar token de API. Copie o token da API e use-o para configurar a integração. O token de API gerado é válido por seis meses.
Parâmetros de integração
A integração do SentinelOne v2 requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API root |
Obrigatório. A raiz da API SentinelOne. O valor padrão é |
API Token |
Obrigatório. O token da API SentinelOne. Para saber mais sobre como gerar o token de API para a integração, consulte Antes de começar. A política de segurança do SentinelOne exige que você crie um novo token de API a cada seis meses. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Sentinel. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar observação de ameaça
Use a ação Adicionar nota de ameaça para adicionar uma nota à ameaça no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar observação de ameaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. O ID da ameaça a que será adicionada uma nota. |
Note |
Obrigatório. Uma observação para adicionar à ameaça. |
Saídas de ação
A ação Adicionar observação de ameaça fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar observação de ameaça pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar observação de ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Criar registro de lista negra de hash
Use a ação Criar registro de lista de bloqueio de hash para adicionar hashes a uma lista de bloqueio no SentinelOne.
Essa ação só aceita hashes SHA-1.
Essa ação é executada na entidade Hash do Google SecOps.
Entradas de ação
A ação Criar registro de lista negra de hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Operating System |
Obrigatório. Um sistema operacional para o hash. Os valores possíveis são:
O valor padrão é |
Site IDs |
Opcional. Uma lista separada por vírgulas de IDs de sites a serem enviados para a lista de bloqueio. |
Group IDs |
Opcional. Uma lista separada por vírgulas de IDs de grupo a serem enviados para a lista de bloqueio. |
Account IDs |
Opcional. Uma lista separada por vírgulas de IDs de contas a serem enviadas para a lista de bloqueio. |
Description |
Opcional. Informações adicionais relacionadas a um hash. O valor padrão é |
Add to global blocklist |
Obrigatório. Se selecionada, a ação adiciona um hash a uma lista de bloqueio global. Se você selecionar esse parâmetro, a ação vai ignorar os parâmetros |
Saídas de ação
A ação Criar registro de lista negra de hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar registro de lista negra de hash:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
Mensagens de saída
A ação Criar registro de lista negra de hash pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar registro de lista negra de hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Criar registro de exclusão de hash
Use a ação Criar registro de exclusão de hash para adicionar um hash à lista de exclusão no SentinelOne.
Essa ação só aceita hashes SHA-1.
Essa ação é executada na entidade Hash do Google SecOps.
Entradas de ação
A ação Criar registro de exclusão de hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Operation System |
Obrigatório. Um sistema operacional (SO) para o hash. Os valores possíveis são:
O valor padrão é |
Site IDs |
Opcional. Uma lista separada por vírgulas de IDs de sites para enviar o hash à lista de exclusão. A ação exige pelo menos um valor válido. |
Group IDs |
Opcional. Uma lista separada por vírgulas de ID de grupo para enviar o hash à lista de exclusão. A ação exige pelo menos um valor válido. |
Account IDs |
Opcional. Uma lista separada por vírgulas de IDs de conta para enviar o hash à lista de exclusão. |
Description |
Opcional. Informações adicionais relacionadas ao hash. |
Add to global exclusion list |
Opcional. Se selecionada, a ação adiciona um hash à lista de exclusão global. Se você selecionar esse parâmetro, a ação vai ignorar os parâmetros |
Saídas de ação
A ação Criar registro de exclusão de hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar registro de exclusão de hash:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensagens de saída
A ação Criar registro de exclusão de hash pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar registro de exclusão de hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Criar registro de exclusão de caminho
Use a ação Criar registro de exclusão de caminho para adicionar um caminho à lista de exclusão no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Criar registro de exclusão de caminho exige os seguintes parâmetros:
O valor padrão é Suppress Alerts.
| Parâmetro | Descrição |
|---|---|
Path |
Obrigatório. Um caminho a ser adicionado à lista de exclusão. |
Operation System |
Obrigatório. Um sistema operacional (SO) para o hash. Os valores possíveis são:
O valor padrão é |
Site IDs |
Opcional. Uma lista separada por vírgulas de IDs de sites para enviar o hash à lista de exclusão. A ação exige pelo menos um valor válido. |
Group IDs |
Opcional. Uma lista separada por vírgulas de ID de grupo para enviar o hash à lista de exclusão. A ação exige pelo menos um valor válido. |
Account IDs |
Opcional. Uma lista separada por vírgulas de IDs de conta para enviar o hash à lista de exclusão. |
Description |
Opcional. Informações adicionais relacionadas ao hash. |
Add to global exclusion list |
Opcional. Se selecionada, a ação adiciona um hash à lista de exclusão global. Se você selecionar esse parâmetro, a ação vai ignorar os parâmetros |
Include Subfolders |
Opcional. Se selecionada, a ação inclui subpastas para o caminho fornecido. Esse parâmetro só se aplica se você configurar um caminho de pasta no parâmetro |
Mode |
Opcional. Um modo a ser usado para o caminho excluído. Os valores possíveis são os seguintes:
|
Saídas de ação
A ação Criar registro de exclusão de caminho fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Criar registro de exclusão de caminho:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
Mensagens de saída
A ação Criar registro de exclusão de caminho pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Criar registro de exclusão de caminho:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Excluir registro da lista de proibições de hash
Use a ação Excluir registro da lista de bloqueio de hash para excluir hashes de uma lista de bloqueio no SentinelOne.
Essa ação só é compatível com hashes SHA-1.
Essa ação é executada na entidade Hash do Google SecOps.
Entradas de ação
A ação Excluir registro da lista negra de hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Site IDs |
Opcional. Uma lista separada por vírgulas de IDs de sites para remover o hash. |
Group IDs |
Opcional. Uma lista separada por vírgulas de IDs de grupo para remover o hash. |
Account IDs |
Opcional. Uma lista separada por vírgulas de IDs de contas para remover o hash. |
Remove from global black list |
Opcional. Se selecionada, a ação remove o hash da lista de bloqueio global. Se você selecionar esse parâmetro, a ação vai ignorar os parâmetros |
Saídas de ação
A ação Excluir registro da lista de bloqueio de hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Excluir registro da lista de proibições de hash pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir registro da lista negra de hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Desconectar o agente da rede
Use a ação Desconectar agente da rede para desconectar um agente de uma rede usando o nome do host ou o endereço IP dele.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Desconectar agente da rede fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desconectar agente da rede:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Baixar arquivo de ameaça
Use a ação Download Threat File para baixar um arquivo relacionado a uma ameaça no SentinelOne.
Para recuperar arquivos de ameaças no SentinelOne, você precisa de um dos seguintes papéis:
AdminIR TeamSOC
Essa ação não é executada em entidades do Google SecOps.
Limitações de ações
A ação Fazer o download do arquivo de ameaça pode atingir o tempo limite quando o SentinelOne recupera um arquivo, mas não fornece um URL de download.
Para investigar a causa do tempo limite, acesse a linha do tempo de ameaças.
Entradas de ação
A ação Fazer o download do arquivo de ameaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. O ID da ameaça para fazer o download de um arquivo. |
Password |
Obrigatório. Uma senha para a pasta compactada que contém o arquivo de ameaça. Os requisitos de senha são os seguintes:
A senha pode ter no máximo 256 caracteres. |
Download Folder Path |
Obrigatório. Um caminho para uma pasta onde o arquivo de ameaça será armazenado. |
Overwrite |
Obrigatório. Se selecionada, a ação vai substituir um arquivo com o mesmo nome. Não selecionada por padrão. |
Saídas de ação
A ação Fazer o download do arquivo de ameaça fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Fazer o download do arquivo de ameaça:
{
"absolute_path": "ABSOLUTE_PATH"
}
Mensagens de saída
A ação Fazer o download do arquivo de ameaça pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Fazer o download do arquivo de ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer endpoints
Use a ação Enriquecer endpoints para enriquecer informações sobre o endpoint usando o endereço IP ou o nome do host.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
A ação Enriquecer endpoints exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre endpoints. |
Only Infected Endpoints Insights |
Opcional. Se selecionada, a ação só vai criar insights para endpoints infectados. |
Saídas de ação
A ação Enriquecer endpoints fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Enriquecer endpoints:
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
Mensagens de saída
A ação Enriquecer endpoints pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer endpoints:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar status do agente
Use a ação Receber status do agente para extrair informações sobre o status dos agentes nos endpoints com base na entidade fornecida.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber status do agente fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber status do agente:
{
"status": "Not active"
}
Mensagens de saída
A ação Get Agent Status pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber status do agente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber lista de aplicativos para endpoint
Use a ação Receber lista de aplicativos para endpoint para recuperar informações sobre os aplicativos disponíveis em um endpoint usando as entidades fornecidas.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
A ação Receber lista de aplicativos para endpoint exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Max Applications To Return |
Opcional. O número máximo de aplicativos a serem retornados. Se você não definir um número, a ação vai retornar todos os aplicativos disponíveis. |
Saídas de ação
A ação Get Application List for Endpoint fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber lista de aplicativos para endpoint:
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
Mensagens de saída
A ação Get Application List for Endpoint pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber lista de aplicativos para endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Blacklist
Use a ação Get Blacklist para receber uma lista de todos os itens disponíveis na lista de bloqueio do SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Get Blacklist exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hash |
Opcional. Uma lista separada por vírgulas de hashes a serem verificados na lista de bloqueio. A ação retorna apenas os hashes encontrados. Se você definir o |
Site IDs |
Opcional. Uma lista separada por vírgulas de IDs de sites para retornar itens da lista de bloqueio. |
Group IDs |
Opcional. Uma lista separada por vírgulas de IDs de grupo para retornar itens da lista de bloqueio. |
Account Ids |
Opcional. Uma lista separada por vírgulas de IDs de conta para retornar itens da lista de bloqueio. |
Limit |
Opcional. O número de itens da lista de bloqueio a serem retornados. Se você
definir o parâmetro O valor máximo é O valor padrão é |
Query |
Opcional. Uma consulta para filtrar resultados. |
Use Global Blacklist |
Opcional. Se selecionada, a ação vai retornar hashes de uma lista de bloqueio global. Não selecionada por padrão. |
Saídas de ação
A ação Get Blacklist fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Get Blacklist pode retornar a seguinte tabela:
Nome da tabela: Hashes da lista de bloqueio
Colunas da tabela:
- Hash
- Scope
- Descrição
- SO
- User
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Blacklist:
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
Mensagens de saída
A ação Get Blacklist pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Blacklist:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber o resultado da consulta de visibilidade detalhada
Use a ação Receber resultado da consulta de visibilidade detalhada para recuperar informações sobre os resultados da consulta de visibilidade detalhada.
Execute essa ação em combinação com a ação Iniciar consulta de visibilidade detalhada.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber resultado da consulta de visibilidade detalhada exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query ID |
Obrigatório. O ID da consulta para retornar resultados. O valor do ID está disponível no resultado JSON da ação Iniciar consulta de visibilidade detalhada como o parâmetro |
Limit |
Opcional. O número de eventos a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Receber resultado da consulta de visibilidade detalhada fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Get Deep Visibility Query Result pode retornar a seguinte tabela:
Nome da tabela: Eventos do SentinelOne
Colunas da tabela:
- Tipo de evento
- Nome do site
- Hora
- SO do agente
- ID do processo
- UID do processo
- Nome do processo
- MD5
- SHA256
Mensagens de saída
A ação Get Deep Visibility Query Result pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully found events for query: QUERY_ID. |
A ação foi concluída. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber resultado da consulta de visibilidade detalhada:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber eventos de horas anteriores do endpoint
Use a ação Get Events for Endpoint Hours Back para recuperar informações sobre os eventos mais recentes em um endpoint.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
A ação Get Events for Endpoint Hours Back exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Hours Back |
Obrigatório. O número de horas antes do momento atual para buscar eventos. |
Events Amount Limit |
Opcional. O número máximo de eventos a serem retornados para cada tipo de evento. O valor padrão é |
Include File Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Include Indicator Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Include DNS Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Include Network Actions Events Information |
Opcional. Se selecionada, a ação consulta informações sobre os eventos de
|
Include URL Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Include Registry Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Include Scheduled Task Events Information |
Opcional. Se selecionada, a ação consulta informações sobre eventos de
|
Saídas de ação
A ação Get Events for Endpoint Hours Back fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Events for Endpoint Hours Back:
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
Mensagens de saída
A ação Get Events for Endpoint Hours Back pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber eventos de horas anteriores do endpoint:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar detalhes do grupo
Use a ação Receber detalhes do grupo para recuperar informações detalhadas sobre os grupos fornecidos.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do grupo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Group Names |
Obrigatório. Nomes de grupos para recuperar detalhes. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. |
Saídas de ação
A ação Extrair detalhes do grupo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes do grupo pode retornar a seguinte tabela:
Nome da tabela: Grupos do SentinelOne
Colunas da tabela:
- ID
- Nome
- Tipo
- Classificação
- Criador
- Horário da criação
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do grupo:
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
Mensagens de saída
A ação Receber detalhes do grupo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do grupo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber reputação de hash
(Descontinuado) Use a ação Get Hash Reputation para recuperar informações sobre hashes do SentinelOne.
Essa ação é executada na entidade Hash do Google SecOps.
Entradas de ação
A ação Receber reputação de hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reputation Threshold |
Opcional. Um limite de reputação para marcar a entidade como suspeita. Se você não definir um valor, a ação não vai marcar nenhuma entidade como suspeita. O valor máximo é O valor padrão é |
Create Insight |
Opcional. Se selecionada, a ação cria um insight que contém informações sobre a reputação. |
Only Suspicious Hashes Insight |
Opcional. Se selecionada, a ação só vai criar um insight para hashes com reputação maior ou igual ao valor |
Saídas de ação
A ação Receber reputação de hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Tabela de enriquecimento
A ação Get Hash Reputation pode enriquecer os seguintes campos:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
SENO_reputation |
Retorna se ele existir no resultado JSON. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber reputação de hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber lista de processos para endpoint (descontinuado)
Receber status do sistema
Use a ação Receber status do sistema para recuperar o status de um sistema.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber status do sistema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber status do sistema:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber status do sistema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Acessar versão do sistema
Use a ação Get System Version para recuperar a versão de um sistema.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber versão do sistema fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber versão do sistema:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber ameaças
Use a ação Get Threats para recuperar informações sobre ameaças no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Get Threats exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Mitigation Status |
Opcional. Uma lista separada por vírgulas de status de ameaça. A ação retorna apenas ameaças que correspondem aos status configurados. Os valores possíveis são:
|
Created until |
Opcional. O horário de término das ameaças, como
|
Created from |
Opcional. O horário de início das ameaças, como
|
Resolved Threats |
Opcional. Se selecionada, a ação só vai retornar ameaças resolvidas. |
Threat Display Name |
Opcional. Um nome de exibição da ameaça a ser retornada. |
Limit |
Opcional. Um número de ameaças a serem retornadas. O valor padrão é |
API Version |
Opcional. Uma versão da API a ser usada na ação. Se você não definir um valor, a ação vai usar a versão 2.1. A versão da API afeta a estrutura do resultado JSON. Recomendamos definir a versão mais recente da API. Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Receber ameaças fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber ameaças:
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
Mensagens de saída
A ação Get Threats pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Threats". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber ameaças:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Iniciar consulta de visibilidade detalhada
Use a ação Iniciar consulta de visibilidade detalhada para iniciar uma pesquisa de consulta de visibilidade detalhada.
Essa ação retorna o valor do ID da consulta, que é necessário para a ação Receber resultado da consulta de visibilidade detalhada.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Iniciar consulta de visibilidade detalhada exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. Uma consulta para a pesquisa. Para mais informações sobre a sintaxe de consulta, consulte a folha de referência da visibilidade detalhada do SentinelOne (em inglês). |
Start Date |
Opcional. Uma data de início para a pesquisa. Se você não definir um valor, a ação vai recuperar eventos 30 dias antes da data atual por padrão. |
End Date |
Opcional. Uma data de término para a pesquisa. Se você não definir um valor, a ação usará a hora atual. |
Saídas de ação
A ação Iniciar consulta de visibilidade detalhada fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Iniciar consulta de visibilidade detalhada:
[
{
"query_id": "QUERY_ID"
}
]
Mensagens de saída
A ação Iniciar consulta de visibilidade detalhada pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Iniciar consulta de visibilidade detalhada:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Iniciar verificação completa
Use a ação Iniciar verificação completa para iniciar uma verificação completa do disco em um endpoint no SentinelOne.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Iniciar verificação completa fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Iniciar verificação completa pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Iniciar verificação completa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar sites
Use a ação List Sites para listar os sites disponíveis no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação List Sites exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
Opcional. A chave para filtrar sites. Os valores possíveis são:
O valor padrão é |
Filter Logic |
Opcional. A lógica de filtro a ser aplicada. A lógica de filtragem usa o valor definido no parâmetro Os valores possíveis são:
O valor padrão é |
Filter Value |
Opcional. O valor a ser usado no filtro. A lógica de filtragem usa o valor definido no parâmetro Se você
selecionar Se você selecionar
Se você não definir um valor, a ação vai ignorar o filtro. |
Max Records To Return |
Opcional. O número de registros a serem retornados. O valor padrão é |
Saídas de ação
A ação List Sites fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação List Sites pode retornar a seguinte tabela:
Nome da tabela: Sites disponíveis
Colunas da tabela:
- Nome
- ID
- Criador
- Expiração
- Tipo
- Estado
Mensagens de saída
A ação List Sites pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Sites". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Sites:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Marcar como ameaça
Use a ação Marcar como ameaça para marcar ameaças suspeitas como verdadeiras no SentinelOne.
Para marcar ameaças no SentinelOne, você precisa de um dos seguintes papéis:
AdminIR TeamSOC
Você pode marcar como ameaças apenas detecções suspeitas.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Marcar como ameaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat IDs |
Obrigatório. Uma lista separada por vírgulas de IDs de detecção a serem marcados como ameaças. |
Saídas de ação
A ação Marcar como ameaça fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Marcar como ameaça:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
Mensagens de saída
A ação Marcar como ameaça pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Marcar como ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Reduzir a ameaça
Use a ação Mitigar ameaça para executar ações de mitigação nas ameaças no SentinelOne.
Para reduzir ameaças no SentinelOne, você precisa de um dos seguintes papéis:
AdminIR TeamSOC
O rollback se aplica apenas ao Windows. A correção de ameaças se aplica apenas ao macOS e ao Windows.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Reduzir ameaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Mitigation action |
Obrigatório. Uma ação de mitigação para as ameaças detectadas. Os valores possíveis são:
O valor padrão é |
Threat IDs |
Obrigatório. Uma lista separada por vírgulas de IDs de ameaças a serem reduzidas. |
Saídas de ação
A ação Mitigar ameaça fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Mitigar ameaça:
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
Mensagens de saída
A ação Reduzir ameaça pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mitigar ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mover agentes
Use a ação Mover agentes para mover agentes do mesmo site para o grupo fornecido.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
A ação Mover agentes exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Group ID |
Opcional. O ID do grupo para mover agentes. |
Group Name |
Opcional. O nome do grupo para mover agentes. Se você
configurar o parâmetro |
Saídas de ação
A ação Mover agentes fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Mover agentes pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mover agentes:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Reconectar o agente à rede
Use a ação Reconectar o agente à rede para reconectar um endpoint desconectado a uma rede.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP AddressHostname
Entradas de ação
Nenhuma.
Saídas de ação
A ação Reconectar o agente à rede fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Indisponível |
| Resultado do script | Disponível |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Reconectar o agente à rede:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Resolver ameaça
Use a ação Resolver ameaça para resolver ameaças no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Resolver ameaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat IDs |
Obrigatório. Uma lista separada por vírgulas de IDs de ameaças a serem resolvidas. |
Annotation |
Opcional. Uma justificativa para resolver a ameaça. |
Saídas de ação
A ação Resolver ameaça fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Resolver ameaça:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
Mensagens de saída
A ação Resolver ameaça pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Resolver ameaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar alerta
Use a ação Atualizar alerta para atualizar o alerta da ameaça no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar alerta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Alert ID |
Obrigatório. O ID do alerta a ser atualizado. |
Status |
Opcional. O status do alerta. Os valores possíveis são:
|
Verdict |
Opcional. O veredito do alerta. Os valores possíveis são:
|
Saídas de ação
A ação Alerta de atualização fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Atualizar alerta:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
Mensagens de saída
A ação Atualizar alerta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
A ação foi concluída. |
Error executing action "Update Alert". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar alerta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar veredito do analista
Use a ação Atualizar veredito do analista para atualizar o veredito do analista da ameaça no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar veredito do analista exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. Uma lista separada por vírgulas de IDs de ameaças para atualizar o veredicto do analista. |
Analyst Verdict |
Obrigatório. Um veredito do analista. Os valores possíveis são os seguintes:
O valor padrão é |
Saídas de ação
A ação Atualizar veredito do analista fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar veredito do analista pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar veredito do analista:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar status do incidente
Use a ação Atualizar status do incidente para atualizar o status do incidente de ameaça no SentinelOne.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar status do incidente exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Threat ID |
Obrigatório. Uma lista separada por vírgulas de IDs de ameaças para atualizar o status do incidente. |
Status |
Obrigatório. Um status de incidente. Os valores possíveis são os seguintes:
O valor padrão é |
Saídas de ação
A ação Atualizar status do incidente fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar status do incidente pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar status do incidente:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
SentinelOne: conector de alertas
Use o conector de alertas do SentinelOne para ingerir alertas do SentinelOne.
Com o conector, é possível filtrar alertas usando uma lista dinâmica com base no parâmetro ruleInfo.name. O comportamento dessa lista depende do parâmetro Use dynamic list as a blocklist.
Se você não selecionar
Use dynamic list as a blocklist:A lista dinâmica funciona como uma lista de permissões. O conector ingere apenas alertas em que
ruleInfo.namecorresponde a um valor na lista. Se a lista estiver vazia, nenhum alerta será ingerido.Se você selecionar
Use dynamic list as a blocklist:A lista dinâmica funciona como uma lista de bloqueio. O conector ingere todos os alertas, exceto aqueles em que
ruleInfo.namecorresponde a um valor na lista. Se a lista estiver vazia, todos os alertas serão ingeridos.
Parâmetros do conector
O conector de alertas do SentinelOne exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. O valor padrão é |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do SentinelOne. |
API Token |
Obrigatório. O token da API SentinelOne. |
Status Filter |
Opcional. Uma lista separada por vírgulas de status de alerta a serem ingeridos. Os valores possíveis são:
Se nenhum valor for fornecido, o conector vai buscar alertas com os status
|
Case Name Template |
Opcional. Um modelo para definir um nome de caso personalizado. O conector adiciona uma chave É possível usar marcadores de posição no formato FIELD_NAME, que são preenchidos com os valores de string do primeiro evento. Exemplo: |
Alert Name Template |
Opcional. Um modelo para definir o nome do alerta. É possível usar marcadores de posição no formato FIELD_NAME, que são preenchidos com os valores de string do primeiro evento. Exemplo: Se um valor não for fornecido ou o modelo for inválido, o conector usará um nome de alerta padrão. |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. Os valores possíveis são:
Se nenhum valor for fornecido, todas as gravidades serão ingeridas. |
Max Hours Backwards |
Obrigatório. O número de horas antes do horário atual para buscar alertas. O valor padrão é |
Max Alerts To Fetch |
Obrigatório. O número máximo de alertas a serem processados em cada iteração do conector. O valor máximo é O valor padrão é |
Use dynamic list as a blocklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não ativado por padrão. |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Não ativado por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do SentinelOne. Ativado por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Estrutura de alertas
A tabela a seguir descreve o mapeamento dos campos de alerta do SentinelOne para os campos de alerta do Google SecOps:
| Campo de alerta da Siemplify | Campo de alerta do SentinelOne (chave JSON da API) |
|---|---|
SourceSystemName |
Preenchido pela estrutura. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
Fixado no código: SentinelOne |
DeviceProduct |
Valor substituto: Alerts |
Priority |
Mapeado de ruleInfo.severity |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
Mapeado de ruleInfo.severity |
Risk Score |
Representação de número inteiro da gravidade |
StartTime |
Convertido de alertInfo.createdAt |
EndTime |
Convertido de alertInfo.createdAt |
Siemplify Alert - Extensions |
N/A |
Siemplify Alert - Attachments |
N/A |
Eventos do conector
Confira um exemplo de evento de conector:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne: conector de ameaças
Use o conector de ameaças do SentinelOne para ingerir ameaças do SentinelOne.
Com o conector, é possível filtrar alertas com base em listas dinâmicas.
O conector de ameaças do SentinelOne filtra alertas usando o parâmetro alert_name.
Se você selecionar o parâmetro Use whitelist as a blacklist, o conector
só vai ingerir alertas cujo alert_name não corresponda a nenhum valor na lista
dinâmica.
Se você não configurar valores de alert_name na lista dinâmica, o conector vai ingerir todos os alertas.
Se você não selecionar o parâmetro Use whitelist as a blacklist, o conector vai ingerir apenas alertas em que alert_name corresponde a um valor na lista dinâmica.
Entradas do conector
O conector de ameaças do SentinelOne exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API SentinelOne. O valor padrão é |
API Token |
Obrigatório. O token da API SentinelOne. |
API Version |
Opcional. A versão da API do SentinelOne que o conector vai usar. Se você não definir um valor, o conector usará a versão 2.0 da API por padrão. |
Fetch Max Days Backwards |
Opcional. O número de dias antes de agora para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Alerts Per Cycle |
Opcional. O número máximo de alertas a serem processados em cada iteração do conector. O valor padrão é |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Não selecionada por padrão. |
Use whitelist as a blacklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do SentinelOne. Essa configuração é selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Event Object Type Filter |
Opcional. Uma lista separada por vírgulas de objetos de evento a serem retornados com as informações de ameaça. O conector usa esse parâmetro como um filtro para retornar apenas determinados objetos, como Se você não definir um valor, o conector vai ingerir todos os tipos de objetos de evento. |
Event Type Filter |
Opcional. Uma lista separada por vírgulas de tipos de eventos a serem retornados com as informações de ameaça. O conector usa esse parâmetro como um filtro para retornar apenas determinados tipos de eventos, como |
Max Events To Return |
Opcional. O número de eventos a serem retornados para cada ameaça. O valor máximo é O valor padrão é |
Regras do conector
O conector é compatível com proxies.
O conector é compatível com listas de permissões e de bloqueio.
Eventos do conector
Confira um exemplo de evento do conector:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.