将 SentinelOne v2 与 Google SecOps 集成
集成版本:37.0
本文档介绍了如何将 SentinelOne v2 与 Google Security Operations (Google SecOps) 集成。
此集成使用 SentinelOne API 2.0。
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。
使用场景
SentinelOne 集成可帮助您解决以下使用情形:
隔离受感染的端点:使用 Google SecOps 功能隔离受感染的主机,防止横向移动和数据渗漏。
检索详细的端点信息:利用 Google SecOps 功能,通过深入的主机分析来丰富突发事件数据,从而更好地了解背景信息并做出明智的决策。您可以自动查询 SentinelOne,以获取与提醒相关的端点的详细信息,包括代理版本、操作系统和网络接口。
启动深度可见性扫描:利用 Google SecOps 功能在可疑机器上搜寻威胁和隐藏的恶意软件,并在检测到可疑活动(例如异常的文件修改或注册表更改)时使用 SentinelOne 启动全磁盘扫描。
利用威胁情报调查威胁:使用 Google SecOps 功能,将 SentinelOne 提醒与威胁情报数据相关联,从而提高准确性;将 SentinelOne 提醒中发现的可疑哈希、文件路径或 IP 地址转发到威胁情报平台。
对恶意软件进行初步评估:使用 Google SecOps 功能通过静态分析工具自动对恶意软件进行分类,从而简化事件响应流程。您可以从受感染的端点提取样本,在您的环境中触发分析,并根据静态分析接收恶意软件的分类。
准备工作
如需使用 SentinelOne v2 集成,您需要 SentinelOne API 令牌。
如需生成 API 令牌,请完成以下步骤:
在 SentinelOne 管理控制台中,依次前往设置 > 用户。
点击您的用户名。
依次前往 Actions > API Token Operations。
点击 Generate API Token(生成 API 令牌)。复制 API 令牌并使用它来配置集成。生成的 API 令牌有效期为六个月。
集成参数
SentinelOne v2 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API root |
必填。 SentinelOne API 根。 默认值为 |
API Token |
必填。 SentinelOne API 令牌。 如需详细了解如何为集成生成 API 令牌,请参阅准备工作。SentinelOne 安全政策要求您每六个月创建一个新的 API 令牌。 |
Verify SSL |
必填。 如果选择此项,集成会在连接到 Sentinel 服务器时验证 SSL 证书。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
添加威胁备注
使用添加威胁备注操作可向 SentinelOne 中的威胁添加备注。
此操作不适用于 Google SecOps 实体。
操作输入
添加威胁注释操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat ID |
必填。 要添加备注的威胁的 ID。 |
Note |
必填。 要添加到威胁中的备注。 |
操作输出
添加威胁备注操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
添加威胁备注操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Add Threat Note 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
创建哈希黑名单记录
使用 Create Hash Black List Record 操作将哈希添加到 SentinelOne 中的屏蔽名单。
此操作仅支持 SHA-1 哈希。
此操作在 Google SecOps Hash 实体上运行。
操作输入
创建哈希黑名单记录操作需要以下参数:
| 参数 | 说明 |
|---|---|
Operating System |
必填。 哈希的操作系统。 可能的值如下:
默认值为 |
Site IDs |
可选。 要发送到屏蔽列表的网站 ID 的英文逗号分隔列表。 |
Group IDs |
可选。 要添加到屏蔽列表中的群组 ID 的英文逗号分隔列表。 |
Account IDs |
可选。 要添加到屏蔽名单中的账号 ID 的英文逗号分隔列表。 |
Description |
可选。 与哈希相关的其他信息。 默认值为 |
Add to global blocklist |
必填。 如果选择此操作,则会将哈希添加到全局屏蔽名单中。 如果您选择此参数,操作会忽略 |
操作输出
创建哈希黑名单记录操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用创建哈希黑名单记录操作时收到的 JSON 结果输出:
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
输出消息
创建哈希黑名单记录操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Create Hash Black List Record 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
创建哈希排除记录
使用 Create Hash Exclusion Record 操作将哈希添加到 SentinelOne 中的排除列表。
此操作仅支持 SHA-1 哈希。
此操作在 Google SecOps Hash 实体上运行。
操作输入
创建哈希排除记录操作需要以下参数:
| 参数 | 说明 |
|---|---|
Operation System |
必填。 哈希的操作系统 (OS)。 可能的值如下:
默认值为 |
Site IDs |
可选。 要将哈希值发送到排除列表的网站 ID 的英文逗号分隔列表。 该操作需要至少一个有效值。 |
Group IDs |
可选。 要将哈希值发送到排除列表的群组 ID 的英文逗号分隔列表。 该操作需要至少一个有效值。 |
Account IDs |
可选。 要将哈希值发送到排除列表的账号 ID 的英文逗号分隔列表。 |
Description |
可选。 与哈希相关的其他信息。 |
Add to global exclusion list |
可选。 如果选择此操作,则会将哈希添加到全局排除列表中。 如果您选择此参数,操作会忽略 |
操作输出
创建哈希排除记录操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用创建哈希排除记录操作时收到的 JSON 结果输出:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
输出消息
创建哈希排除记录操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Create Hash Exclusion Record 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
创建路径排除记录
使用 Create Path Exclusion Record 操作将路径添加到 SentinelOne 中的排除列表。
此操作不适用于 Google SecOps 实体。
操作输入
创建路径排除记录操作需要以下参数:
默认值为 Suppress Alerts。
| 参数 | 说明 |
|---|---|
Path |
必填。 要添加到排除列表中的路径。 |
Operation System |
必填。 哈希的操作系统 (OS)。 可能的值如下:
默认值为 |
Site IDs |
可选。 要将哈希值发送到排除列表的网站 ID 的英文逗号分隔列表。 该操作需要至少一个有效值。 |
Group IDs |
可选。 要将哈希值发送到排除列表的群组 ID 的英文逗号分隔列表。 该操作需要至少一个有效值。 |
Account IDs |
可选。 要将哈希值发送到排除列表的账号 ID 的英文逗号分隔列表。 |
Description |
可选。 与哈希相关的其他信息。 |
Add to global exclusion list |
可选。 如果选择此操作,则会将哈希添加到全局排除列表中。 如果您选择此参数,操作会忽略 |
Include Subfolders |
可选。 如果选中,则操作会包含所提供路径的子文件夹。 仅当您在 |
Mode |
可选。 用于排除路径的模式。 可能的值如下:
|
操作输出
创建路径排除记录操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用创建路径排除记录操作时收到的 JSON 结果输出:
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
输出消息
创建路径排除记录操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Create Path Exclusion Record 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
删除哈希黑名单记录
使用 Delete Hash Blacklist Record 操作从 SentinelOne 中的封锁名单中删除哈希。
此操作仅支持 SHA-1 哈希。
此操作在 Google SecOps Hash 实体上运行。
操作输入
删除哈希黑名单记录操作需要以下参数:
| 参数 | 说明 |
|---|---|
Site IDs |
可选。 要移除哈希值的网站 ID 的英文逗号分隔列表。 |
Group IDs |
可选。 要移除哈希值的群组 ID 的英文逗号分隔列表。 |
Account IDs |
可选。 要移除哈希值的账号 ID 的英文逗号分隔列表。 |
Remove from global black list |
可选。 如果选中,该操作会从全局屏蔽名单中移除相应哈希。 如果您选择此参数,操作会忽略 |
操作输出
删除哈希黑名单记录操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
删除哈希黑名单记录操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Delete Hash Blacklist Record 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
断开代理与网络的连接
使用从网络断开代理操作,通过代理的主机名或 IP 地址将代理与网络断开连接。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
无。
操作输出
将代理从网络断开连接操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用断开代理与网络的连接操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
下载威胁文件
使用 Download Threat File 操作下载与 SentinelOne 中的威胁相关的文件。
如需在 SentinelOne 中检索威胁文件,您需要拥有以下任一角色:
AdminIR TeamSOC
此操作不适用于 Google SecOps 实体。
操作限制
当 SentinelOne 检索到文件但未提供下载网址时,“下载威胁文件”操作可能会超时。
如需调查超时原因,请前往威胁时间轴。
操作输入
下载威胁文件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat ID |
必填。 要下载文件的威胁的 ID。 |
Password |
必填。 包含威胁文件的压缩文件夹的密码。 密码要求如下:
密码的最大长度为 256 个字符。 |
Download Folder Path |
必填。 用于存储威胁文件的文件夹的路径。 |
Overwrite |
必填。 如果选择此选项,相应操作会覆盖同名文件。 默认情况下未选中。 |
操作输出
下载威胁文件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用下载威胁文件操作时收到的 JSON 结果输出:
{
"absolute_path": "ABSOLUTE_PATH"
}
输出消息
下载威胁文件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Download Threat File". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用下载威胁文件操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富端点
使用 Enrich Endpoints 操作,通过 IP 地址或主机名来丰富有关端点的信息。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
丰富端点操作需要以下参数:
| 参数 | 说明 |
|---|---|
Create Insight |
可选。 如果选择此项,相应操作会创建包含有关端点的信息的分析洞见。 |
Only Infected Endpoints Insights |
可选。 如果选择此选项,该操作只会为受感染的端点生成数据分析。 |
操作输出
丰富端点操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用丰富端点操作时收到的 JSON 结果输出:
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
输出消息
丰富端点操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich Endpoints 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取客服人员状态
使用 Get Agent Status 操作可根据提供的实体检索有关端点上代理状态的信息。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
无。
操作输出
获取代理状态操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取代理状态操作时收到的 JSON 结果输出:
{
"status": "Not active"
}
输出消息
获取代理状态操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取代理状态操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取端点的应用列表
使用 Get Application List for Endpoint 操作,通过提供的实体检索有关端点上可用应用的信息。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
获取端点的应用列表操作需要以下参数:
| 参数 | 说明 |
|---|---|
Max Applications To Return |
可选。 要返回的应用数量上限。 如果您未设置数量,该操作会返回所有可用的应用。 |
操作输出
获取端点的应用列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取端点的应用列表操作时收到的 JSON 结果输出:
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
输出消息
获取端点的应用列表操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取端点的应用列表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取黑名单
使用 Get Blacklist 操作可获取 SentinelOne 中封锁名单中的所有可用项的列表。
此操作不适用于 Google SecOps 实体。
操作输入
获取黑名单操作需要以下参数:
| 参数 | 说明 |
|---|---|
Hash |
可选。 要检查的哈希值列表(以英文逗号分隔)。 该操作仅返回找到的哈希。 如果您设置了 |
Site IDs |
可选。 以英文逗号分隔的网站 ID 列表,用于返回屏蔽名单项。 |
Group IDs |
可选。 以英文逗号分隔的群组 ID 列表,用于返回屏蔽列表项。 |
Account Ids |
可选。 以英文逗号分隔的账号 ID 列表,用于返回屏蔽列表项。 |
Limit |
可选。 要返回的屏蔽列表项数。 如果您设置了 最大值为 默认值为 |
Query |
可选。 用于过滤结果的查询。 |
Use Global Blacklist |
可选。 如果选择此操作,则会从全局屏蔽列表中返回哈希值。 默认情况下未选中。 |
操作输出
获取黑名单操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取黑名单操作可以返回下表:
表名称:Blocklist Hashes
表列:
- 哈希
- 范围
- 说明
- 操作系统
- User
JSON 结果
以下示例展示了使用 Get Blacklist 操作时收到的 JSON 结果输出:
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
输出消息
获取黑名单操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Blacklist 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取深度曝光查询结果
使用 Get Deep Visibility Query Result 操作可检索有关深度透视查询结果的信息。
将此操作与 Initiate Deep Visibility Query 操作结合使用。
此操作不适用于 Google SecOps 实体。
操作输入
获取深度分析查询结果操作需要以下参数:
| 参数 | 说明 |
|---|---|
Query ID |
必填。 要返回结果的查询的 ID。 ID 值在 Initiate Deep Visibility Query 操作的 JSON 结果中以 |
Limit |
可选。 要返回的事件数量。 最大值为 默认值为 |
操作输出
获取深度可见性查询结果操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取深度分析查询结果操作可以返回下表:
表格名称:SentinelOne 事件
表列:
- 事件类型
- 网站名称
- 时间
- 代理操作系统
- 进程 ID
- 进程 UID
- 流程名称
- MD5
- SHA256
输出消息
获取深度可见性查询结果操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully found events for query: QUERY_ID. |
操作成功。 |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Deep Visibility Query Result 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取指定小时数之前的端点事件
使用 Get Events for Endpoint Hours Back 操作可检索有关端点上最新事件的信息。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
获取端点过去若干小时的事件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Hours Back |
必填。 提取事件的小时数(相对于当前时间)。 |
Events Amount Limit |
可选。 每种事件类型要返回的事件数量上限。 默认值为 |
Include File Events Information |
可选。 如果选中,该操作会查询有关 |
Include Indicator Events Information |
可选。 如果选中,该操作会查询有关 |
Include DNS Events Information |
可选。 如果选中,该操作会查询有关 |
Include Network Actions Events Information |
可选。 如果选中,该操作会查询有关 |
Include URL Events Information |
可选。 如果选中,该操作会查询有关 |
Include Registry Events Information |
可选。 如果选中,该操作会查询有关 |
Include Scheduled Task Events Information |
可选。 如果选中,该操作会查询有关 |
操作输出
获取指定小时数前的端点事件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get Events for Endpoint Hours Back 操作时收到的 JSON 结果输出:
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
输出消息
获取端点小时数内的事件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Events for Endpoint Hours Back 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取群组详细信息
使用 Get Group Details 操作可检索有关所提供群组的详细信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取群组详细信息操作需要以下参数:
| 参数 | 说明 |
|---|---|
Group Names |
必填。 要检索详细信息的群组名称。此参数接受多个值,这些值以英文逗号分隔的列表形式提供。 |
操作输出
获取群组详情操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取群组详细信息操作可以返回下表:
表名称:SentinelOne Groups
表列:
- ID
- 名称
- 类型
- 排名
- 创作者
- 创建时间
JSON 结果
以下示例展示了使用获取群组详情操作时收到的 JSON 结果输出:
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
输出消息
获取群组详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取群组详细信息操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取哈希声誉
(已弃用)使用 Get Hash Reputation 操作从 SentinelOne 检索有关哈希的信息。
此操作在 Google SecOps Hash 实体上运行。
操作输入
获取哈希值信誉操作需要以下参数:
| 参数 | 说明 |
|---|---|
Reputation Threshold |
可选。 用于将实体标记为可疑的声誉阈值。 如果您未设置值,则该操作不会将任何实体标记为可疑。 最大值为 默认值为 |
Create Insight |
可选。 如果选择此操作,系统会生成包含声誉相关信息的分析洞见。 |
Only Suspicious Hashes Insight |
可选。 如果选择此项,则操作只会为信誉度大于或等于 |
操作输出
获取哈希值信誉操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
丰富化表
获取哈希值信誉操作可以丰富以下字段:
| 扩充项字段名称 | 适用性 |
|---|---|
SENO_reputation |
如果存在于 JSON 结果中,则返回。 |
脚本结果
下表列出了使用 Get Hash Reputation 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取端点的进程列表 - 已弃用
获取系统状态
使用获取系统状态操作可检索系统的状态。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
获取系统状态操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取系统状态操作时收到的 JSON 结果输出:
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
脚本结果
下表列出了使用获取系统状态操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取系统版本
使用 Get System Version 操作可检索系统的版本。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
获取系统版本操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用获取系统版本操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取威胁
使用 Get Threats 操作检索 SentinelOne 中的威胁信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取威胁操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mitigation Status |
可选。 以英文逗号分隔的威胁状态列表。 该操作仅返回与配置的状态相符的威胁。 可能的值如下:
|
Created until |
可选。 威胁的结束时间,例如 |
Created from |
可选。 威胁的开始时间,例如 |
Resolved Threats |
可选。 如果选择此项,则操作仅返回已解决的威胁。 |
Threat Display Name |
可选。 要返回的威胁的显示名称。 |
Limit |
可选。 要返回的威胁数量。 默认值为 |
API Version |
可选。 要在操作中使用的 API 版本。 如果您未设置值,该操作将使用 2.1 版本。 API 版本会影响 JSON 结果结构。建议您设置最新的 API 版本。 可能的值如下:
默认值为 |
操作输出
获取威胁操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get Threats 操作时收到的 JSON 结果输出:
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
输出消息
获取威胁操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Threats". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Threats 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
发起深度可见性查询
使用 Initiate Deep Visibility Query 操作来启动深度可见性查询搜索。
此操作会返回 Get Deep Visibility Query Result 操作所需的查询 ID 值。
此操作不适用于 Google SecOps 实体。
操作输入
发起深度分析查询操作需要以下参数:
| 参数 | 说明 |
|---|---|
Query |
必填。 搜索查询。 如需详细了解查询语法,请参阅 SentinelOne Deep Visibility 快速参考。 |
Start Date |
可选。 搜索的开始日期。 如果您未设置值,则该操作默认会检索 30 天前的事件。 |
End Date |
可选。 搜索的结束日期。 如果您未设置值,则该操作会使用当前时间。 |
操作输出
启动深度分析查询操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用启动深度分析查询操作时收到的 JSON 结果输出:
[
{
"query_id": "QUERY_ID"
}
]
输出消息
启动深度可见性查询操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Initiate Deep Visibility Query 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
启动全面侦查
使用 Initiate Full Scan 操作在 SentinelOne 中对端点启动完整磁盘扫描。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
无。
操作输出
启动完整扫描操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
启动完整扫描操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用启动完整扫描操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出网站
使用 List Sites 操作列出 SentinelOne 中的可用网站。
此操作不适用于 Google SecOps 实体。
操作输入
列出网站操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter Key |
可选。 用于过滤网站的键。 可能的值如下:
默认值为 |
Filter Logic |
可选。 要应用的过滤逻辑。 过滤条件逻辑使用 可能的值如下:
默认值为 |
Filter Value |
可选。 要在过滤条件中使用的值。 过滤条件逻辑使用 如果您在 如果您在 如果您未设置值,则操作会忽略相应过滤条件。 |
Max Records To Return |
可选。 要返回的记录数。 默认值为 |
操作输出
列出网站操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
列出网站操作可以返回下表:
表格名称:Available Sites
表列:
- 名称
- ID
- 创作者
- 失效日期
- 类型
- 状态
输出消息
列出网站操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Sites". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出网站操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
标记为威胁
使用 Mark as Threat(标记为威胁)操作将可疑威胁标记为 SentinelOne 中的真实正例威胁。
如需在 SentinelOne 中标记威胁,您需要拥有以下任一角色:
AdminIR TeamSOC
您只能将可疑检测结果标记为威胁。
此操作不适用于 Google SecOps 实体。
操作输入
标记为威胁操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat IDs |
必填。 要标记为威胁的检测 ID 的英文逗号分隔列表。 |
操作输出
标记为威胁操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用标记为威胁操作时收到的 JSON 结果输出:
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
输出消息
标记为威胁操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用标记为威胁操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
缓解威胁
使用缓解威胁操作对 SentinelOne 中的威胁执行缓解操作。
如需在 SentinelOne 中缓解威胁,您需要拥有以下任一角色:
AdminIR TeamSOC
回滚仅适用于 Windows。威胁补救仅适用于 macOS 和 Windows。
此操作不适用于 Google SecOps 实体。
操作输入
缓解威胁操作需要以下参数:
| 参数 | 说明 |
|---|---|
Mitigation action |
必填。 针对检测到的威胁采取的缓解措施。 可能的值如下:
默认值为 |
Threat IDs |
必填。 要缓解的威胁 ID 的英文逗号分隔列表。 |
操作输出
缓解威胁操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用缓解威胁操作时收到的 JSON 结果输出:
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
输出消息
缓解威胁操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用缓解威胁操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
转移代理
使用移动代理操作将代理从同一网站移动到提供的群组。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
移动代理操作需要以下参数:
| 参数 | 说明 |
|---|---|
Group ID |
可选。 要移动代理的群组的 ID。 |
Group Name |
可选。 要移动代理的群组的名称。 如果您同时配置了 |
操作输出
移动代理操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
移动代理操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Move Agents". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用转移代理操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试连接。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
将代理重新连接到网络
使用重新将代理连接到网络操作可将断开连接的端点重新连接到网络。
此操作可在以下 Google SecOps 实体上运行:
IP AddressHostname
操作输入
无。
操作输出
将代理重新连接到网络操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表列出了使用将代理重新连接到网络操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
解决威胁
使用 Resolve Threat 操作来解决 SentinelOne 中的威胁。
此操作不适用于 Google SecOps 实体。
操作输入
解决威胁操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat IDs |
必填。 要解决的威胁 ID 的逗号分隔列表。 |
Annotation |
可选。 解决威胁的理由。 |
操作输出
解决威胁操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用解决威胁操作时收到的 JSON 结果输出:
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
输出消息
解决威胁操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用解决威胁操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新提醒
使用 Update Alert 操作更新 SentinelOne 中威胁的提醒。
此操作不适用于 Google SecOps 实体。
操作输入
更新提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必填。 要更新的提醒的 ID。 |
Status |
可选。 相应提醒的状态。 可能的值如下:
|
Verdict |
可选。 相应提醒的判决。 可能的值如下:
|
操作输出
更新提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用更新提醒操作时收到的 JSON 结果输出:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
输出消息
更新提醒操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
操作成功。 |
Error executing action "Update Alert". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Update Alert 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新分析师判决
使用 Update Analyst Verdict 操作更新 SentinelOne 中威胁的分析师判定。
此操作不适用于 Google SecOps 实体。
操作输入
更新分析师判决操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat ID |
必填。 以英文逗号分隔的威胁 ID 列表,用于更新分析师判定。 |
Analyst Verdict |
必填。 分析师判断。 可能的值如下:
默认值为 |
操作输出
更新分析师判定操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
更新分析师判定操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Update Analyst Verdict 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
更新突发事件状态
使用 Update Incident Status 操作可在 SentinelOne 中更新威胁突发事件状态。
此操作不适用于 Google SecOps 实体。
操作输入
更新突发事件状态操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat ID |
必填。 以英文逗号分隔的威胁 ID 列表,用于更新事件状态。 |
Status |
必填。 突发事件状态。 可能的值如下:
默认值为 |
操作输出
更新突发事件状态操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
更新突发事件状态操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用更新突发事件状态操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
SentinelOne - 提醒连接器
使用 SentinelOne - 提醒连接器从 SentinelOne 注入提醒。
借助此连接器,您可以根据 ruleInfo.name 参数使用动态列表过滤提醒。此列表的行为取决于 Use dynamic list as a blocklist 参数。
如果您不选择
Use dynamic list as a blocklist:动态列表充当白名单。连接器仅提取
ruleInfo.name与列表中的某个值匹配的提醒。如果列表为空,则不会提取任何提醒。如果您选择
Use dynamic list as a blocklist:动态列表充当屏蔽列表。连接器会提取所有提醒,但
ruleInfo.name与列表中的值匹配的提醒除外。如果列表为空,则系统会注入所有提醒。
连接器参数
SentinelOne - 提醒连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 默认值为 |
PythonProcessTimeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 SentinelOne 实例的 API 根。 |
API Token |
必填。 SentinelOne API 令牌。 |
Status Filter |
可选。 要注入的提醒状态的英文逗号分隔列表。 可能的值如下:
如果未提供值,连接器会提取状态为 |
Case Name Template |
可选。 用于定义自定义案例名称的模板。连接器会向事件添加 您可以使用格式为 FIELD_NAME 的占位符,这些占位符会根据第一个事件的字符串值进行填充。 示例: |
Alert Name Template |
可选。 用于定义提醒名称的模板。 您可以使用格式为 FIELD_NAME 的占位符,这些占位符会根据第一个事件的字符串值进行填充。 示例: 如果未提供值或模板无效,连接器将使用默认的提醒名称。 |
Lowest Severity To Fetch |
可选。 要检索的提醒的最低严重程度。 如果您未配置此参数,连接器会提取所有严重程度的提醒。 可能的值如下:
如果未提供值,则注入所有严重程度的发现结果。 |
Max Hours Backwards |
必填。 提取提醒的小时数(相对于当前时间)。 默认值为 |
Max Alerts To Fetch |
必填。 每次连接器迭代中要处理的提醒的最大数量。 最大值为 默认值为 |
Use dynamic list as a blocklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未启用。 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 默认情况下未启用。 |
Verify SSL |
必填。 如果选中此复选框,集成会在连接到 SentinelOne 服务器时验证 SSL 证书。 默认处于启用状态。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
提醒结构
下表介绍了 SentinelOne 提醒字段与 Google SecOps 提醒字段的映射关系:
| Siemplify 提醒字段 | SentinelOne 提醒字段(来自 API 的 JSON 键) |
|---|---|
SourceSystemName |
由框架填充。 |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
硬编码:SentinelOne |
DeviceProduct |
后备值:Alerts |
Priority |
从 ruleInfo.severity 映射 |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
从 ruleInfo.severity 映射 |
Risk Score |
严重程度的整数表示形式 |
StartTime |
已从 alertInfo.createdAt 转换 |
EndTime |
已从 alertInfo.createdAt 转换 |
Siemplify Alert - Extensions |
不适用 |
Siemplify Alert - Attachments |
不适用 |
连接器事件
连接器事件的示例如下:
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - Threats 连接器
使用 SentinelOne - Threats 连接器从 SentinelOne 注入威胁数据。
借助该连接器,您可以根据动态列表过滤提醒。
SentinelOne - 威胁连接器使用 alert_name 参数过滤提醒。
如果您选择 Use whitelist as a blacklist 参数,连接器只会提取 alert_name 与动态列表中的任何值都不匹配的提醒。
如果您未在动态列表中配置 alert_name 值,连接器将提取所有提醒。
如果不选择 Use whitelist as a blacklist 参数,连接器只会提取 alert_name 与动态列表中的值匹配的提醒。
连接器输入
SentinelOne - Threats 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要影响映射。为了简化和改进连接器的映射流程,默认值 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 SentinelOne API 根。 默认值为 |
API Token |
必填。 SentinelOne API 令牌。 |
API Version |
可选。 连接器要使用的 SentinelOne API 版本。 如果您未设置值,连接器会默认使用 API 版本 2.0。 |
Fetch Max Days Backwards |
可选。 要检索的提醒距当前时间的天数。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 默认值为 |
Max Alerts Per Cycle |
可选。 每次连接器迭代中要处理的提醒的最大数量。 默认值为 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 默认情况下未选中。 |
Use whitelist as a blacklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Verify SSL |
必填。 如果选中此复选框,集成会在连接到 SentinelOne 服务器时验证 SSL 证书。 此选项将会默认选中。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
Event Object Type Filter |
可选。 以英文逗号分隔的事件对象列表,用于返回威胁信息。 连接器使用此参数作为过滤条件,仅返回特定对象,例如 如果您未设置值,连接器会提取所有事件对象类型。 |
Event Type Filter |
可选。 以英文逗号分隔的事件类型列表,用于返回威胁信息。 连接器使用此参数作为过滤条件,仅返回特定事件类型,例如 |
Max Events To Return |
可选。 每个威胁要返回的事件数。 最大值为 默认值为 |
连接器规则
连接器支持代理。
连接器支持许可名单和屏蔽名单。
连接器事件
连接器事件的示例如下:
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。