將 SentinelOne v2 整合至 Google SecOps

整合版本:37.0

本文說明如何設定 SentinelOne 第 2 版,並與 Google Security Operations (Google SecOps) 整合。

這項整合功能使用 SentinelOne API 2.0。

這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。

用途

整合 SentinelOne 可協助您解決下列用途:

  1. 隔離受感染的端點:使用 Google SecOps 功能隔離受感染的主機,防止橫向移動和資料外洩。

  2. 擷取詳細的端點資訊:使用 Google SecOps 功能,透過深入的主機分析來擴充事件資料,以便掌握更完整的脈絡並做出更明智的決策。您可以自動查詢 SentinelOne,取得與快訊相關端點的詳細資訊,包括代理程式版本、作業系統和網路介面。

  3. 啟動 Deep Visibility 掃描:使用 Google SecOps 功能搜尋可疑電腦上的威脅和隱藏惡意軟體,並在偵測到可疑活動 (例如異常檔案修改或登錄檔變更) 時,使用 SentinelOne 啟動完整磁碟掃描。

  4. 運用威脅情報調查威脅:使用 Google SecOps 功能,將 SentinelOne 快訊與威脅情報資料相互關聯,藉此提高準確度,並將 SentinelOne 快訊中發現的可疑雜湊、檔案路徑或 IP 位址轉送至威脅情報平台。

  5. 惡意軟體分類:使用 Google SecOps 功能,透過靜態分析工具自動分類惡意軟體,簡化事件應變程序。您可以從受感染的端點擷取樣本、在環境中觸發分析,並根據靜態分析結果取得惡意軟體的分類。

事前準備

如要使用 SentinelOne 第 2 版整合功能,您需要 SentinelOne API 權杖。

如要產生 API 權杖,請完成下列步驟:

  1. 在 SentinelOne 管理控制台中,依序前往「Settings」>「Users」

  2. 按一下使用者名稱。

  3. 依序前往「Actions」>「API Token Operations」

  4. 按一下「Generate API Token」。複製 API 權杖,並用來設定整合功能。產生的 API 權杖效期為六個月。

整合參數

整合 SentinelOne 第 2 版時,需要下列參數:

參數 說明
API root

必填。

SentinelOne API 根層級。

預設值為 https://{server}.SentinelOne.net/
API Token

必填。

SentinelOne API 權杖。

如要進一步瞭解如何產生整合的 API 權杖,請參閱「事前準備」一文。根據 SentinelOne 安全性政策,您每六個月必須建立新的 API 權杖。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 Sentinel 伺服器時驗證 SSL 憑證。

(此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

新增威脅附註

使用「Add Threat Note」動作,在 SentinelOne 中為威脅新增附註。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「新增威脅附註」動作需要下列參數:

參數 說明
Threat ID

必填。

要新增附註的威脅 ID。
Note

必填。

要新增至威脅的附註。

動作輸出內容

「新增威脅附註」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「新增威脅附註」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added note to the threat THREAT_ID in SentinelOne.

Action wasn't able to add a note to the threat THREAT_ID in SentinelOne.

 動作成功。
Error executing action "Add Threat Note". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「新增威脅附註」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

建立雜湊黑名單記錄

使用「Create Hash Black List Record」(建立雜湊封鎖清單記錄) 動作,將雜湊新增至 SentinelOne 的封鎖清單。

這項動作僅支援 SHA-1 雜湊。

這項動作會在 Google SecOps Hash 實體上執行。

動作輸入內容

「建立雜湊黑名單記錄」動作需要下列參數:

參數 說明
Operating System

必填。

雜湊的作業系統。

可能的值如下:

  • windows
  • windows_legacy
  • macos
  • linux

預設值為 windows
Site IDs

選填。

以半形逗號分隔的網站 ID 清單,這些 ID 會傳送至封鎖清單。
Group IDs

選填。

以半形逗號分隔的群組 ID 清單,用於封鎖清單。
Account IDs

選填。

以半形逗號分隔的帳戶 ID 清單,這些帳戶會傳送至封鎖清單。
Description

選填。

與雜湊相關的其他資訊。

預設值為 ""
Add to global blocklist

必填。

如果選取這個動作,系統會將雜湊值加入全域封鎖清單。

如果選取這個參數,動作會忽略 Site IDsGroup IDsAccount IDs 參數。

動作輸出內容

「建立雜湊黑名單記錄」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「建立雜湊黑名單記錄」動作時收到的 JSON 結果輸出內容:

[
    {
        "Entity": "ENTITY_ID",
        "EntityResult": [{
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.678280Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.678690Z"
        }, {
            "userName": "user",
            "description": "Created by user.",
            "userId": "USER_ID",
            "scopeName": "Test Group 2",
            "value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
            "source": "user",
            "updatedAt": "2020-07-02T14:41:20.683858Z",
            "osType": "windows",
            "scope": {
                "groupIds": ["GROUP_ID"]
            },
            "type": "white_hash",
            "id": "ENTITY_ID",
            "createdAt": "2020-07-02T14:41:20.684677Z"
        }]
    }
]
輸出訊息

「Create Hash Black List Record」動作可能會傳回下列輸出內容訊息:

輸出訊息 訊息說明

Successfully added the following hashes to the blocklist in SentinelOne: ENTITY_ID.

The following hashes were already a part of blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to add the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were added to the blocklist in SentinelOne.

 動作成功。
Error executing action "Create Hash Black List Record". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「建立雜湊黑名單記錄」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

建立雜湊排除記錄

使用「建立雜湊排除記錄」動作,將雜湊新增至 SentinelOne 的排除清單。

這項動作僅支援 SHA-1 雜湊。

這項動作會在 Google SecOps Hash 實體上執行。

動作輸入內容

「建立雜湊排除記錄」動作需要下列參數:

參數 說明
Operation System

必填。

雜湊的作業系統 (OS)。

可能的值如下:

  • windows
  • windows_legacy
  • macos
  • linux

預設值為 windows
Site IDs

選填。

以半形逗號分隔的網站 ID 清單,用於將雜湊值傳送至排除清單。

動作至少需要一個有效值。
Group IDs

選填。

以半形逗號分隔的群組 ID 清單,用於將雜湊值傳送至排除清單。

動作至少需要一個有效值。
Account IDs

選填。

以半形逗號分隔的帳戶 ID 清單,系統會將雜湊值傳送至排除清單。
Description

選填。

與雜湊相關的其他資訊。
Add to global exclusion list

選填。

如果選取這個動作,系統會將雜湊值加入全域排除清單。

如果選取這個參數,動作會忽略 Site IDsGroup IDsAccount IDs 參數。

動作輸出內容

「建立雜湊排除記錄」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

下列範例顯示使用「建立雜湊排除記錄」動作時收到的 JSON 結果輸出內容:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
輸出訊息

「建立雜湊排除記錄」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added the following hashes to the exclusion list in SentinelOne: HASH_ID

The following hashes were already a part of exclusion list in SentinelOne: HASH_ID

Action wasn't able to add the following hashes to the exclusion list in SentinelOne: HASH_ID

No hashes were added to the exclusion list in SentinelOne.

動作成功。
Error executing action "Create Hash Exclusion Record". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「建立雜湊排除記錄」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

建立路徑排除記錄

使用「Create Path Exclusion Record」(建立路徑排除記錄) 動作,將路徑新增至 SentinelOne 的排除清單。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「建立路徑排除記錄」動作需要下列參數:

預設值為 Suppress Alerts

參數 說明
Path

必填。

要加入排除清單的路徑。
Operation System

必填。

雜湊的作業系統 (OS)。

可能的值如下:

  • windows
  • windows_legacy
  • macos
  • linux

預設值為 windows
Site IDs

選填。

以半形逗號分隔的網站 ID 清單,用於將雜湊值傳送至排除清單。

動作至少需要一個有效值。
Group IDs

選填。

以半形逗號分隔的群組 ID 清單,用於將雜湊值傳送至排除清單。

動作至少需要一個有效值。
Account IDs

選填。

以半形逗號分隔的帳戶 ID 清單,系統會將雜湊值傳送至排除清單。
Description

選填。

與雜湊相關的其他資訊。
Add to global exclusion list

選填。

如果選取這個動作,系統會將雜湊值加入全域排除清單。

如果選取這個參數,動作會忽略 Site IDsGroup IDsAccount IDs 參數。
Include Subfolders

選填。

如果選取這個選項,動作會包含所提供路徑的子資料夾。

只有在 Path 參數中設定資料夾路徑時,這個參數才會生效。
Mode

選填。

要用於排除路徑的模式。

可能的值如下:

  • Suppress Alerts
  • Interoperability
  • Interoperability - Extended
  • Performance Focus
  • Performance Focus - Extended

動作輸出內容

「建立路徑排除記錄」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「建立路徑排除記錄」動作時收到的 JSON 結果輸出內容:

[
    {
    "ENTITY_ID":
        {
        "ID": "ALLOWLISTED_ENTITY_ID",
        "Created Time": "ITEM_CREATION_TIME",
        "Scope ID": "SITE_OR_GROUP_ID",
        "Scope Name": "example_scope"
        }
    }
]
輸出訊息

「建立路徑排除記錄」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added the following path to the exclusion list in SentinelOne: PATH

The following paths were already a part of exclusion list in SentinelOne: PATH_LIST

Action wasn't able to add the following paths to the exclusion list in SentinelOne: PATH

No paths were added to the exclusion list in SentinelOne.

動作成功。
Error executing action "Create Path Exclusion Record". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「建立路徑排除記錄」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

刪除雜湊黑名單記錄

使用「Delete Hash Blacklist Record」(刪除雜湊黑名單記錄) 動作,從 SentinelOne 的封鎖清單中刪除雜湊。

這項動作僅支援 SHA-1 雜湊。

這項動作會在 Google SecOps Hash 實體上執行。

動作輸入內容

「Delete Hash Blacklist Record」(刪除雜湊黑名單記錄) 動作需要下列參數:

參數 說明
Site IDs

選填。

以半形逗號分隔的網站 ID 清單,用於移除雜湊。
Group IDs

選填。

以半形逗號分隔的群組 ID 清單,用於移除雜湊。
Account IDs

選填。

以半形逗號分隔的帳戶 ID 清單,用於移除雜湊。
Remove from global black list

選填。

如果選取這個選項,系統會從全域封鎖清單中移除雜湊值。

如果選取這個參數,動作會忽略 Site IDsGroup IDsAccount IDs 參數。

動作輸出內容

「Delete Hash Blacklist Record」(刪除雜湊黑名單記錄) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Delete Hash Blacklist Record」(刪除雜湊黑名單記錄) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully removed the following hashes from the blocklist in SentinelOne: ENTITY_ID.

The following hashes were not found in a blocklist in SentinelOne: ENTITY_ID.

Action wasn't able to remove the following hashes to the blocklist in SentinelOne: ENTITY_ID.

No hashes were removed from the blocklist in SentinelOne.

動作成功。
Error executing action "Delete Hash Blacklist Record". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「刪除雜湊黑名單記錄」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

中斷代理程式與網路的連線

使用「從網路中斷連線」動作,即可透過代理程式的主機名稱或 IP 位址,中斷代理程式與網路的連線。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

動作輸出內容

「Disconnect Agent From Network」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「Disconnect Agent From Network」(從網路中斷代理程式連線) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

下載威脅檔案

使用「Download Threat File」動作,即可下載 SentinelOne 中與威脅相關的檔案。

如要在 SentinelOne 中擷取威脅檔案,您必須具備下列任一角色:

  • Admin
  • IR Team
  • SOC

這項操作不會在 Google SecOps 實體上執行。

動作限制

SentinelOne 擷取檔案時,下載威脅檔案動作可能會逾時,但不會提供下載網址。

如要調查逾時原因,請前往威脅時間軸。

動作輸入內容

「下載威脅檔案」動作需要下列參數:

參數 說明
Threat ID

必填。

要下載檔案的威脅 ID。
Password

必填。

含有威脅檔案的壓縮資料夾密碼。

密碼規定如下:

  • 長度至少要有 10 個半形字元。
  • 包括大寫字母、小寫字母、數字和特殊符號。

密碼長度上限為 256 個字元。
Download Folder Path

必填。

儲存威脅檔案的資料夾路徑。
Overwrite

必填。

如果選取這個選項,動作會覆寫名稱相同的檔案。

預設為未選取。

動作輸出內容

「下載威脅檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「下載威脅檔案」動作時收到的 JSON 結果輸出內容:

{
    "absolute_path": "ABSOLUTE_PATH"
}
輸出訊息

「下載威脅檔案」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully downloaded the file related to threat THREAT_ID in SentinelOne.

Action wasn't able to download the file related to threat THREAT_ID. Reason: The action was able to initiate the downloading of the file, but SentinelOne didn't return a download URL.

Waiting for the download link to appear in SentinelOne.

 動作成功。
Error executing action "Download Threat File". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「下載威脅檔案」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

充實端點

使用「Enrich Endpoints」動作,透過 IP 位址或主機名稱,擴充端點的相關資訊。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

「Enrich Endpoints」動作需要下列參數:

參數 說明
Create Insight

選填。

如果選取這個動作,系統會建立洞察資料,提供端點相關資訊。
Only Infected Endpoints Insights

選填。

如果選取,動作只會為受感染的端點建立深入分析。

動作輸出內容

「Enrich Endpoints」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Enrich Endpoints」動作時收到的 JSON 結果輸出內容:

{
    "accountId": "ACCOUNT_ID",
    "accountName": "SentinelOne",
    "activeDirectory": {
        "computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
        "computerMemberOf": [],
        "lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
        "lastUserMemberOf": [
            "CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
            "CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
            "CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
        ]
    },
    "activeThreats": 0,
    "agentVersion": "4.1.4.82",
    "allowRemoteShell": false,
    "appsVulnerabilityStatus": "patch_required",
    "computerName": "LP-EXAMPLE",
    "consoleMigrationStatus": "N/A",
    "coreCount": 8,
    "cpuCount": 8,
    "cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
    "createdAt": "2020-05-31T07:22:14.695136Z",
    "domain": "EXAMPLE",
    "encryptedApplications": false,
    "externalId": "",
    "externalIp": "192.0.2.91",
    "groupId": "863712577864500060",
    "groupIp": "192.0.2.0",
    "groupName": "Test Group",
    "id": "ID",
    "inRemoteShellSession": false,
    "infected": false,
    "installerType": ".msi",
    "isActive": false,
    "isDecommissioned": false,
    "isPendingUninstall": false,
    "isUninstalled": false,
    "isUpToDate": true,
    "lastActiveDate": "2021-01-12T12:59:43.143066Z",
    "lastIpToMgmt": "192.0.2.20",
    "lastLoggedInUserName": "EXAMPLE",
    "licenseKey": "",
    "locationType": "fallback",
    "locations": [
        {
            "id": "ID",
            "name": "Fallback",
            "scope": "global"
        }
    ],
    "machineType": "laptop",
    "mitigationMode": "protect",
    "mitigationModeSuspicious": "protect",
    "modelName": "Dell Inc. - Latitude 7490",
    "networkInterfaces": [
        {
            "id": "ID",
            "inet": [
                "192.0.2.20"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2",
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "Wi-Fi",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "192.168.193.193"
            ],
            "inet6": [
                "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
            ],
            "name": "vEthernet (Default Switch)",
            "physical": "MAC_ADDRESS"
        },
        {
            "id": "ID",
            "inet": [
                "201.0.113.1"
            ],
            "inet6": [
                "2001:db8:1:1:1:1:1:1",
                "2001:db8:2:2:2:2:2:2"
            ],
            "name": "vEthernet (DockerNAT)",
            "physical": "MAC_ADDRESS"
        }
    ],
    "networkStatus": "connecting",
    "osArch": "64 bit",
    "osName": "Windows 10 Pro",
    "osRevision": "18363",
    "osStartTime": "2021-01-03T15:38:32Z",
    "osType": "windows",
    "osUsername": null,
    "rangerStatus": "NotApplicable",
    "rangerVersion": null,
    "registeredAt": "2020-05-31T07:22:14.691561Z",
    "scanAbortedAt": null,
    "scanFinishedAt": "2020-05-31T09:28:53.867014Z",
    "scanStartedAt": "2020-05-31T07:25:37.814972Z",
    "scanStatus": "finished",
    "siteId": "SITE_ID",
    "siteName": "example.com",
    "threatRebootRequired": false,
    "totalMemory": 16263,
    "updatedAt": "2021-01-18T13:33:43.834618Z",
    "userActionsNeeded": [],
    "uuid": "UUID"
}
輸出訊息

「Enrich Endpoints」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved information about the following endpoints from SentinelOne: ENTITY_ID

Action wasn't able to retrieve information about the following endpoints from SentinelOne: ENTITY_ID

No information was retrieved for provided entities.

 動作成功。
Error executing action "Enrich Endpoints". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich Endpoints」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得服務專員狀態

使用「取得代理程式狀態」動作,根據提供的實體,擷取端點上代理程式的狀態資訊。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

動作輸出內容

「取得代理程式狀態」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得代理程式狀態」動作時收到的 JSON 結果輸出內容:

{
"status": "Not active"
}
輸出訊息

「取得代理程式狀態」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved information about agent status for the following endpoints: ENTITY_ID

Action wasn't able to retrieve information about agent status for the following endpoints: ENTITY_ID

No information about agent status was found for the provided endpoints.

 動作成功。
Error executing action "Get Agent Status". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得服務專員狀態」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得端點的應用程式清單

使用「Get Application List for Endpoint」(取得端點的應用程式清單) 動作,透過提供的實體擷取端點上可用應用程式的相關資訊。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

「Get Application List for Endpoint」動作需要下列參數:

參數 說明
Max Applications To Return

選填。

要傳回的應用程式數量上限。

如未設定數字,動作會傳回所有可用的應用程式。

動作輸出內容

「Get Application List for Endpoint」(取得端點的應用程式清單) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Get Application List for Endpoint」(取得端點的應用程式清單) 動作時收到的 JSON 結果輸出內容:

{
    "data": [
        {
            "installedDate": "2021-01-06T08:55:56.762000Z",
            "name": "Mozilla Firefox 84.0.1 (x64 en-US)",
            "publisher": "Mozilla",
            "size": 211562,
            "version": "84.0.1"
        }
    ]
}
輸出訊息

「Get Application List for Endpoint」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved available applications for the following endpoints: ENTITY_ID.

Action wasn't able to retrieve available applications for the following endpoints: ENTITY_ID.

No applications were retrieved for provided endpoints.

 動作成功。
Error executing action "Get Application List for Endpoint". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Application List for Endpoint」(取得端點的應用程式清單) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得黑名單

使用「Get Blacklist」動作,取得 SentinelOne 封鎖清單中的所有項目。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Get Blacklist」動作需要下列參數:

參數 說明
Hash

選填。

以半形逗號分隔的雜湊清單,用於檢查封鎖清單。

這項動作只會傳回找到的雜湊值。

如果設定 Hash,動作會忽略 Limit 參數。
Site IDs

選填。

以半形逗號分隔的網站 ID 清單,用於傳回封鎖清單項目。
Group IDs

選填。

以半形逗號分隔的群組 ID 清單,用於傳回封鎖清單項目。
Account Ids

選填。

以半形逗號分隔的帳戶 ID 清單,用於傳回封鎖清單項目。
Limit

選填。

要傳回的封鎖清單項目數量。

如果您設定 Hash 參數,動作會忽略這個參數。

最大值為 1000

預設值為 50
Query

選填。

用於篩選結果的查詢。
Use Global Blacklist

選填。

如果選取這個選項,動作會從全域封鎖清單傳回雜湊值。

預設為未選取。

動作輸出內容

「取得黑名單」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「取得黑名單」動作可以傳回下表:

表格名稱:封鎖清單雜湊

資料表欄:

  • 雜湊
  • 範圍
  • 說明
  • 作業系統
  • User
JSON 結果

以下範例顯示使用「Get Blacklist」(取得黑名單) 動作時收到的 JSON 結果輸出內容:

[
    {
        "userName": "Example",
        "description": "test",
        "userId": "USER_ID",
        "scopeName": "Example.com",
        "value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
        "source": "user",
        "updatedAt": "2020-02-27T15:02:54.686991Z",
        "osType": "windows",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "8353960925573xxxxx",
        "createdAt": "2020-02-27T15:02:54.687675Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
        "source": "cloud",
        "updatedAt": "2020-03-18T14:42:02.730095Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-03-18T14:42:02.730449Z"
    }, {
        "description": "Detected by SentinelOne Cloud",
        "userId": null,
        "scopeName": "Example.com",
        "value": "df531d66173235167ac502b867f3cae2170xxxxx",
        "source": "cloud",
        "updatedAt": "2020-04-08T07:27:35.686775Z",
        "osType": "linux",
        "scope": {
            "siteIds": ["SITE_ID"]
        },
        "type": "black_hash",
        "id": "ENTITY_ID",
        "createdAt": "2020-04-08T07:27:35.687168Z"
    }
]
輸出訊息

「Get Blacklist」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved blocklisted hashes based on the provided filter criteria in SentinelOne.

No blocklisted hashes were found for the provided criteria in SentinelOne.

 動作成功。
Error executing action "Get Blacklist". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Blacklist」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得深入洞察查詢結果

使用「Get Deep Visibility Query Result」(取得深入可視度查詢結果) 動作,擷取深入可視度查詢結果的相關資訊。

請搭配「Initiate Deep Visibility Query」(啟動深入可視度查詢) 動作執行這項動作。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得深入瞭解查詢結果」動作需要下列參數:

參數 說明
Query ID

必填。

要傳回結果的查詢 ID。

ID 值會以 query_id 參數的形式,顯示在「啟動深度可視度查詢」動作的 JSON 結果中。
Limit

選填。

要傳回的事件數量。

最大值為 100

預設值為 50

動作輸出內容

「Get Deep Visibility Query Result」(取得深入瞭解查詢結果) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「Get Deep Visibility Query Result」動作可以傳回下表:

資料表名稱:SentinelOne Events

資料表欄:

  • 事件類型
  • 網站名稱
  • 時間
  • Agent OS
  • 程序 ID
  • 程序 UID
  • 程序名稱
  • MD5
  • SHA256
輸出訊息

「Get Deep Visibility Query Result」(取得深入瞭解查詢結果) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully found events for query: QUERY_ID. 動作成功。
Error executing action "Get Deep Visibility Query Result". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得深入瞭解查詢結果」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得端點小時數的事件

使用「Get Events for Endpoint Hours Back」動作,擷取端點上最新事件的相關資訊。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

「Get Events for Endpoint Hours Back」(取得端點時數的事件) 動作需要下列參數:

參數 說明
Hours Back

必填。

要擷取事件的小時數 (以目前時間為準)。
Events Amount Limit

選填。

每個事件類型要傳回的事件數上限。

預設值為 50
Include File Events Information

選填。

如果選取這個選項,動作會查詢有關file活動的資訊。
Include Indicator Events Information

選填。

如果選取這個選項,動作會查詢有關indicator活動的資訊。
Include DNS Events Information

選填。

如果選取這個選項,動作會查詢有關DNS活動的資訊。
Include Network Actions Events Information

選填。

如果選取這個選項,動作會查詢 network actions 事件的相關資訊。
Include URL Events Information

選填。

如果選取這個選項,動作會查詢有關URL活動的資訊。
Include Registry Events Information

選填。

如果選取這個選項,動作會查詢有關registry活動的資訊。
Include Scheduled Task Events Information

選填。

如果選取這個選項,動作會查詢有關scheduled task活動的資訊。

動作輸出內容

「Get Events for Endpoint Hours Back」(取得端點時數回溯事件) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Get Events for Endpoint Hours Back」(取得端點小時數的事件) 動作時收到的 JSON 結果輸出:

{
    "data": [
        {
            "activeContentFileId": null,
            "activeContentHash": null,
            "activeContentPath": null,
            "activeContentSignedStatus": null,
            "activeContentType": null,
            "agentDomain": "",
            "agentGroupId": "GROUP_ID",
            "agentId": "ID",
            "agentInfected": false,
            "agentIp": "192.0.2.160",
            "agentIsActive": true,
            "agentIsDecommissioned": false,
            "agentMachineType": "server",
            "agentName": "ip-203-0-113-205",
            "agentNetworkStatus": "connected",
            "agentOs": "linux",
            "agentTimestamp": "2020-03-19T08:17:01.575Z",
            "agentUuid": "UUID",
            "agentVersion": "3.3.1.14",
            "attributes": [
                {
                    "display": "Created At",
                    "display_attribute": false,
                    "field_id": "agentTimestamp",
                    "priority": 3,
                    "queryable": false,
                    "section": "Main Attributes",
                    "value": "2020-03-19T08:17:01.575Z"
                },{
                    "display": "Site ID",
                    "display_attribute": false,
                    "field_id": "siteId",
                    "priority": 7,
                    "queryable": true,
                    "section": "Endpoint Info",
                    "value": null
                }
            ],
            "containerId": null,
            "containerImage": null,
            "containerLabels": null,
            "containerName": null,
            "createdAt": "2020-03-19T08:17:01.575000Z",
            "eventType": "Process Creation",
            "hasParent": true,
            "id": "ID",
            "k8sCluame": null,
            "k8sControllerLabels": null,
            "k8sControllerName": null,
            "k8sControllerType": null,
            "k8sNamespace": null,
            "k8sNamespaceLabels": null,
            "k8sNode": null,
            "k8sPodLabels": null,
            "k8sPodName": null,
            "md5": null,
            "objectType": "process",
            "parentPid": "32461",
            "parentProcessName": "dash",
            "parentProcessStartTime": "2020-03-19T08:17:01.785Z",
            "parentProcessUniqueKey": "KEY",
            "pid": "32462",
            "processCmd": " run-parts --report /etc/cron.hourly",
            "processDisplayName": null,
            "processGroupId": "GROUP_ID",
            "processImagePath": "/bin/run-parts",
            "processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
            "processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
            "processIsRedirectedCommandProcessor": "False",
            "processIsWow64": "False",
            "processName": "run-parts",
            "processRoot": "False",
            "processSessionId": "0",
            "processStartTime": "2020-03-19T08:17:01.787Z",
            "processSubSystem": "SUBSYSTEM_UNKNOWN",
            "processUniqueKey": "KEY",
            "publisher": null,
            "relatedToThreat": "False",
            "sha256": null,
            "signatureSignedInvalidReason": null,
            "signedStatus": "unsigned",
            "siteName": "example.com",
            "trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
            "user": "unknown",
            "verifiedStatus": null
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 632
    }
}
輸出訊息

「Get Events for Endpoint Hours Back」動作會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved information about the events for the following endpoints: ENDPOINT_ID.

Action wasn't able to find any events for the following endpoints: ENDPOINT_ID.

No information events for the provided endpoints.

 動作成功。
Error executing action "Get Events for Endpoint Hours Back". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Events for Endpoint Hours Back」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得群組詳細資料

使用「取得群組詳細資料」動作,擷取所提供群組的詳細資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得群組詳細資料」動作需要下列參數:

參數 說明
Group Names

必填。

要擷取詳細資料的群組名稱。這個參數接受以半形逗號分隔的多個值。

動作輸出內容

「取得群組詳細資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「Get Group Details」動作可以傳回下表:

資料表名稱:SentinelOne Groups

資料表欄:

  • ID
  • 名稱
  • 類型
  • 排名
  • 建立者
  • 建立時間
JSON 結果

以下範例顯示使用「取得群組詳細資料」動作時收到的 JSON 結果輸出內容:

[
    {
        "GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
    }
]
輸出訊息

「取得群組詳細資料」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved information about the following groups in SentinelOne: GROUP_NAME.

Action wasn't able to retrieve information about the following groups in SentinelOne: GROUP_NAME.

No information about provided groups was found.

 動作成功。
Error executing action "Get Group Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得群組詳細資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得雜湊信譽

(已淘汰) 使用「取得雜湊信譽」動作,從 SentinelOne 擷取雜湊相關資訊。

這項動作會在 Google SecOps Hash 實體上執行。

動作輸入內容

「取得雜湊信譽」動作需要下列參數:

參數 說明
Reputation Threshold

選填。

將實體標示為可疑的信譽門檻。

如未設定值,動作不會將任何實體標示為可疑。

最大值為 10

預設值為 5
Create Insight

選填。

如果選取此動作,系統會建立洞察資料,其中包含聲譽相關資訊。
Only Suspicious Hashes Insight

選填。

如果選取這個選項,系統只會為信譽大於或等於 Reputation Threshold 值的雜湊建立洞察資料。

動作輸出內容

「取得雜湊信譽」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 可用
JSON 結果 無法使用
輸出訊息 無法使用
指令碼結果 可用
補充資訊表格

「取得雜湊信譽」動作可擴充下列欄位:

補充資料欄位名稱 適用性
SENO_reputation 如果 JSON 結果中存在該值,則傳回該值。
指令碼結果

下表列出使用「取得雜湊信譽」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得端點的程序清單 - 已淘汰

取得系統狀態

使用「取得系統狀態」動作擷取系統狀態。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

動作輸出內容

「取得系統狀態」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 無法使用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得系統狀態」動作時收到的 JSON 結果輸出內容:

{
    "system_status": {
        "data": {
            "health": "ok"
        }},
    "db_status": {
        "data": {
            "health": "ok"
        }},
    "cache_status": {
        "data": {
            "health": "ok"
        }
    }
}
指令碼結果

下表列出使用「取得系統狀態」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得系統版本

使用「Get System Version」動作擷取系統版本。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

動作輸出內容

「取得系統版本」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「取得系統版本」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得威脅

使用「Get Threats」動作,擷取 SentinelOne 中的威脅相關資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得威脅」動作需要下列參數:

參數 說明
Mitigation Status

選填。

以半形逗號分隔的威脅狀態清單。

這項動作只會傳回符合所設定狀態的威脅。

可能的值如下:

  • mitigated
  • active
  • blocked
  • suspicious
  • suspicious_resolved
Created until

選填。

威脅的結束時間,例如 2020-03-02T21:30:13.014874Z
Created from

選填。

威脅的開始時間,例如 2020-03-02T21:30:13.014874Z
Resolved Threats

選填。

如果選取,動作只會傳回已解決的威脅。
Threat Display Name

選填。

要傳回的威脅顯示名稱。
Limit

選填。

要傳回的威脅數量。

預設值為 10
API Version

選填。

要在動作中使用的 API 版本。

如未設定值,動作會使用 2.1 版。

API 版本會影響 JSON 結果結構。建議您設定最新 API 版本。

可能的值如下:

  • 2.0
  • 2.1

預設值為 2.0

動作輸出內容

「取得威脅」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得威脅」動作時收到的 JSON 結果輸出內容:

{
            "accountId": "ACCOUNT_ID",
            "accountName": "ACCOUNT_NAME",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "192.0.2.176",
            "agentIsActive": false,
            "agentIsDecommissioned": false,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connected",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "838490132723152335",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "external_ticket_id": null,
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "THREAT_ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "0BB46E119EF0AE51",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": true,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": "sent"
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-07-07T17:19:48.260119Z",
            "username": "DESKTOP-example\\ddiserens",
            "whiteningOptions": []
}
輸出訊息

「Get Threats」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully retrieved information about the available threats in SentinelOne.

No information about threats was found based on the provided criteria.

 動作成功。
Error executing action "Get Threats". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Get Threats」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

啟動 Deep Visibility 查詢

使用「Initiate Deep Visibility Query」(啟動深度可視性查詢) 動作,啟動深度可視性查詢搜尋。

這項動作會傳回查詢 ID 值,Get Deep Visibility Query Result 動作需要這個值。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「發起深層可視度查詢」動作需要下列參數:

參數 說明
Query

必填。

搜尋查詢。

如要進一步瞭解查詢語法,請參閱 SentinelOne Deep Visibility 快速參考指南
Start Date

選填。

搜尋的開始日期。

如未設定值,動作會預設擷取 30 天前的事件。
End Date

選填。

搜尋的結束日期。

如未設定值,動作會使用目前時間。

動作輸出內容

「Initiate Deep Visibility Query」(啟動深度可視度查詢) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Initiate Deep Visibility Query」(啟動深度可視度查詢) 動作時收到的 JSON 結果輸出內容:

[
    {
        "query_id": "QUERY_ID"
    }
]
輸出訊息

「Initiate Deep Visibility Query」(啟動深度可視度查詢) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully created a Deep Visibility query. Query ID: QUERY_ID.

Failed to create a Deep Visibility query.

 動作成功。
Error executing action "Initiate Deep Visibility Query". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「啟動深度可視度查詢」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

啟動完整掃描

使用「Initiate Full Scan」動作,在 SentinelOne 中啟動端點的完整磁碟掃描。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

動作輸出內容

「啟動完整掃描」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「啟動完整掃描」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully started the full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

Action wasn't able to start a full disk scan on the following endpoints in SentinelOne: ENTITY_ID.

No full disk scans were initiated.

 動作成功。
Error executing action "Initiate Full Scan". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「啟動完整掃描」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

列出網站

使用「列出網站」動作,列出 SentinelOne 中可用的網站。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「列出網站」動作需要下列參數:

參數 說明
Filter Key

選填。

用於篩選網站的金鑰。

可能的值如下:

  • Select One
  • Name
  • ID

預設值為 Select One
Filter Logic

選填。

要套用的篩選器邏輯。

篩選器邏輯會使用 Filter Key 參數中設定的值。

可能的值如下:

  • Not Specified
  • Equal
  • Contains

預設值為 Not Specified
Filter Value

選填。

篩選器中使用的值。

篩選器邏輯會使用 Filter Key 參數中設定的值。

如果您在 Filter Logic 參數中選取 Equal,動作會在結果中搜尋完全相符的項目。

如果您在 Filter Logic 參數中選取 Contains,動作會搜尋包含指定子字串的結果。

如果未設定值,動作會忽略篩選器。
Max Records To Return

選填。

要傳回的記錄數。

預設值為 50

動作輸出內容

「列出網站」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「列出網站」動作可以傳回下表:

表格名稱:Available Sites

資料表欄:

  • 名稱
  • ID
  • 建立者
  • 效期
  • 類型
  • 狀態
輸出訊息

「列出網站」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully found sites for the provided criteria in SentinelOne.

No sites were found for the provided criteria in SentinelOne.

The filter was not applied, because parameter "Filter Value" has an empty value.

 動作成功。
Error executing action "List Sites". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「列出網站」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

標示為威脅

使用「標示為威脅」動作,將 SentinelOne 中的可疑威脅標示為真正的威脅。

如要在 SentinelOne 中標示威脅,您必須具備下列任一角色:

  • Admin
  • IR Team
  • SOC

您只能將可疑偵測結果標示為威脅。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「標示為威脅」動作需要下列參數:

參數 說明
Threat IDs

必填。

以半形逗號分隔的偵測 ID 清單,用於標示為威脅。

動作輸出內容

「標示為威脅」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「標示為威脅」動作時收到的 JSON 結果輸出內容:

[
    {
        "ID": "DETECTION_ID",
        "marked_as_threat": "true"
    }
]
輸出訊息

「標示為威脅」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully marked the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mark the following threats in SentinelOne: THREAT_ID.

No threats were marked.

 動作成功。
Error executing action "Mark as Threat". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「標示為威脅」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

減輕威脅

使用「降低威脅」動作,對 SentinelOne 中的威脅執行降低動作。

如要在 SentinelOne 中減輕威脅,您需要具備下列任一角色:

  • Admin
  • IR Team
  • SOC

回溯作業僅適用於 Windows。威脅補救措施僅適用於 macOS 和 Windows。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Mitigate Threat」動作需要下列參數:

參數 說明
Mitigation action

必填。

針對偵測到的威脅採取調低動作。

可能的值如下:

  • quarantine
  • kill
  • un-quarantine
  • remediate
  • rollback-remediate

預設值為 quarantine
Threat IDs

必填。

以半形逗號分隔的威脅 ID 清單,用於減輕威脅。

動作輸出內容

「降低威脅」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Mitigate Threat」動作時收到的 JSON 結果輸出內容:

[
        {
            "mitigated": true,
            "mitigation_action": "quarantine",
            "Threat_ID": "THREAT_ID"
        }
]
輸出訊息

「Mitigate Threat」(降低威脅) 動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully mitigated the following threats in SentinelOne: THREAT_ID.

Action wasn't able to mitigate the following threats in SentinelOne: THREAT_ID.

No threats were mitigated.

 動作成功。
Error executing action "Mitigate Threat". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Mitigate Threat」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

移動代理程式

使用「移動代理程式」動作,將代理程式從同一網站移至提供的群組。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

「移動代理程式」動作需要下列參數:

參數 說明
Group ID

選填。

要移動代理程式的群組 ID。
Group Name

選填。

要移動代理程式的群組名稱。

如果您同時設定 Group ID 參數和 Group Name 參數,系統會優先採用 Group ID 參數。

動作輸出內容

「移動代理程式」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「移動代理程式」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully moved the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

Action wasn't able to move the following endpoints to the group with ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne: ENTITY_ID.

No endpoints were moved to the group ID_OR_NAME GROUP_ID_OR_NAMEin SentinelOne.

動作成功。
Error executing action "Move Agents". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「移動代理程式」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試連線。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

將 Agent 重新連上網路

使用「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作,將中斷連線的端點重新連線至網路。

這項動作會在下列 Google SecOps 實體上執行:

  • IP Address
  • Hostname

動作輸入內容

動作輸出內容

「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「Reconnect Agent to the Network」(將代理程式重新連線至網路) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

解決威脅

使用「解決威脅」動作解決 SentinelOne 中的威脅。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「解決威脅」動作需要下列參數:

參數 說明
Threat IDs

必填。

以半形逗號分隔的威脅 ID 清單,用於解決威脅。
Annotation

選填。

解決威脅的理由。

動作輸出內容

「解決威脅」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「解決威脅」動作時收到的 JSON 結果輸出內容:

[
    {
        "resolved": false,
        "Threat_ID": "THREAT_ID"
        }
]
輸出訊息

「解決威脅」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully resolved the following threats in SentinelOne: THREAT_ID.

Action wasn't able to resolve the following threats in SentinelOne: THREAT_ID.

No threats were resolved.

 動作成功。
Error executing action "Resolve Threat". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「解決威脅」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

更新警告內容

使用「更新快訊」動作,更新 SentinelOne 中威脅的快訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「更新快訊」動作需要下列參數:

參數 說明
Alert ID

必填。

要更新的快訊 ID。
Status

選填。

快訊的狀態。

可能的值如下:

  • Unresolved
  • In Progress
  • Resolved
Verdict

選填。

快訊的判決結果。

可能的值如下:

  • True Positive
  • False Positive
  • Suspicious

動作輸出內容

「更新快訊」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「更新快訊」動作時收到的 JSON 結果輸出內容:

{
           "agentDetectionInfo": {
               "accountId": "1727154225040260868",
               "machineType": "server",
               "name": "windows-server-20230913",
               "osFamily": "windows",
               "osName": "Windows Server 2019 Datacenter",
               "osRevision": "17763",
               "siteId": "1727154229628829519",
               "uuid": "da943d26318e46a8b3f6fc480c02636d",
               "version": "23.1.2.400"
           },
           "agentRealtimeInfo": {
               "id": "1896661984701699721",
               "infected": true,
               "isActive": true,
               "isDecommissioned": false,
               "machineType": "server",
               "name": "windows-server-20230913",
               "os": "windows",
               "uuid": "da943d26318e46a8b3f6fc480c02636d"
           },
           "alertInfo": {
               "alertId": "1947486263439640318",
               "analystVerdict": "Undefined",
               "createdAt": "2024-05-11T00:27:23.135000Z",
               "dnsRequest": null,
               "dnsResponse": null,
               "dstIp": null,
               "dstPort": null,
               "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
               "eventType": "REGVALUEMODIFIED",
               "hitType": "Events",
               "incidentStatus": "Unresolved",
               "indicatorCategory": null,
               "indicatorDescription": null,
               "indicatorName": null,
               "isEdr": true,
               "loginAccountDomain": null,
               "loginAccountSid": null,
               "loginIsAdministratorEquivalent": null,
               "loginIsSuccessful": null,
               "loginType": null,
               "loginsUserName": null,
               "modulePath": null,
               "moduleSha1": null,
               "netEventDirection": null,
               "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryOldValue": "0060030100000000",
               "registryOldValueType": "BINARY",
               "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
               "registryValue": "0070030100000000",
               "reportedAt": "2024-05-11T00:27:33.873767Z",
               "source": "STAR",
               "srcIp": null,
               "srcMachineIp": null,
               "srcPort": null,
               "tiIndicatorComparisonMethod": null,
               "tiIndicatorSource": null,
               "tiIndicatorType": null,
               "tiIndicatorValue": null,
               "updatedAt": "2025-05-12T18:41:08.366615Z"
           },
           "containerInfo": {
               "id": null,
               "image": null,
               "labels": null,
               "name": null
           },
           "kubernetesInfo": {
               "cluster": null,
               "controllerKind": null,
               "controllerLabels": null,
               "controllerName": null,
               "namespace": null,
               "namespaceLabels": null,
               "node": null,
               "pod": null,
               "podLabels": null
           },
           "ruleInfo": {
               "description": null,
               "id": "1763599692710649014",
               "name": "Registry Value Modified",
               "queryLang": "1.0",
               "queryType": "events",
               "s1ql": "EventType = \"Registry Value Modified\"",
               "scopeLevel": "account",
               "severity": "Critical",
               "treatAsThreat": "UNDEFINED"
           },
           "sourceParentProcessInfo": {
               "commandline": "C:\\Windows\\system32\\services.exe",
               "effectiveUser": null,
               "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
               "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
               "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
               "filePath": "C:\\Windows\\System32\\services.exe",
               "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "services.exe",
               "pid": "896",
               "pidStarttime": "2024-04-26T17:33:41.962000Z",
               "realUser": null,
               "storyline": "DD880F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "DC880F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "sourceProcessInfo": {
               "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
               "effectiveUser": null,
               "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
               "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
               "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
               "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
               "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
               "integrityLevel": "system",
               "loginUser": null,
               "name": "cyserver.exe",
               "pid": "3204",
               "pidStarttime": "2024-04-26T17:34:17.273000Z",
               "realUser": null,
               "storyline": "74890F57CA4DC0BB",
               "subsystem": "sys_win32",
               "uniqueId": "73890F57CA4DC0BB",
               "user": "NT AUTHORITY\\SYSTEM"
           },
           "targetProcessInfo": {
               "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
               "tgtFileHashSha1": null,
               "tgtFileHashSha256": null,
               "tgtFileId": null,
               "tgtFileIsSigned": "signed",
               "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
               "tgtFileOldPath": null,
               "tgtFilePath": null,
               "tgtProcCmdLine": null,
               "tgtProcImagePath": null,
               "tgtProcIntegrityLevel": "unknown",
               "tgtProcName": null,
               "tgtProcPid": null,
               "tgtProcSignedStatus": null,
               "tgtProcStorylineId": null,
               "tgtProcUid": null,
               "tgtProcessStartTime": "1970-01-01T00:00:00Z"
           }
       }
輸出訊息

「更新快訊」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明
Successfully updated alert with ID ALERT_ID in SentinelOne. 動作成功。
Error executing action "Update Alert". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「更新快訊」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

更新分析師的判決

使用「Update Analyst Verdict」(更新分析師判決) 動作,更新 SentinelOne 中威脅的分析師判決。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Update Analyst Verdict」動作需要下列參數:

參數 說明
Threat ID

必填。

以半形逗號分隔的威脅 ID 清單,用於更新分析師的判決。
Analyst Verdict

必填。

分析師判斷。

可能的值如下:

  • True Positive
  • False Positive
  • Suspicious
  • Undefined

預設值為 Undefined

動作輸出內容

「Update Analyst Verdict」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「更新分析師判決」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully updated analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update analyst verdict for the provided threats in SentinelOne.

 動作成功。
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「更新分析師判決」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

更新事件狀態

使用「Update Incident Status」(更新事件狀態) 動作,在 SentinelOne 中更新威脅事件狀態。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「更新事件狀態」動作需要下列參數:

參數 說明
Threat ID

必填。

以半形逗號分隔的威脅 ID 清單,用於更新事件狀態。
Status

必填。

事件狀態。

可能的值如下:

  • Unresolved
  • In Progress
  • Resolved

預設值為 Resolved

動作輸出內容

「更新事件狀態」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「更新事件狀態」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully updated incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the following threats in SentinelOne: THREAT_ID.

Action wasn't able to update incident status for the provided threats in SentinelOne.

 動作成功。
Error executing action "Update Incident Status". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「更新事件狀態」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。

SentinelOne - 快訊連接器

使用 SentinelOne - Alerts Connector 擷取 SentinelOne 的快訊。

您可以使用動態清單,根據 ruleInfo.name 參數篩選快訊。這份清單的行為取決於 Use dynamic list as a blocklist 參數。

  • 如果未選取 Use dynamic list as a blocklist

    動態清單會做為白名單。連接器只會擷取 ruleInfo.name 與清單中值相符的快訊。如果清單為空白,系統就不會擷取任何快訊。

  • 如果選取 Use dynamic list as a blocklist

    動態清單會做為封鎖清單。連接器會擷取所有快訊,但 ruleInfo.name 與清單中值相符的快訊除外。如果清單為空白,系統會擷取所有快訊。

連接器參數

「SentinelOne - Alerts Connector」需要下列參數:

參數 說明
Product Field Name

必填。

儲存產品名稱的欄位名稱。

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。

預設值為 Product Name
Event Field Name

必填。

決定事件名稱 (子類型) 的欄位名稱。

預設值為 ruleInfo_name
Environment Field Name

選填。

儲存環境名稱的欄位名稱。

如果缺少環境欄位,連接器會使用預設值。

預設值為 ""
Environment Regex Pattern

選填。

要在「Environment Field Name」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。

預設值為 .*
PythonProcessTimeout

必填。

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。

預設值為 180
API Root

必填。

SentinelOne 執行個體的 API 根目錄。
API Token

必填。

SentinelOne API 權杖。
Status Filter

選填。

要擷取的警報狀態清單 (以半形逗號分隔)。

可能的值如下:

  • Unresolved
  • In Progress
  • Resolved

如未提供任何值,連接器會擷取狀態為 UnresolvedIn Progress 的快訊。
Case Name Template

選填。

定義自訂案件名稱的範本。連接器會在事件中新增 custom_case_name 鍵。

您可以使用格式為 FIELD_NAME 的預留位置,系統會從第一個事件的字串值填入這些預留位置。

範例:Phishing - EVENT_MAILBOX
Alert Name Template

選填。

定義快訊名稱的範本。

您可以使用格式為 FIELD_NAME 的預留位置,系統會從第一個事件的字串值填入這些預留位置。

範例:Phishing - EVENT_MAILBOX

如果未提供值或範本無效,連接器會使用預設快訊名稱。
Lowest Severity To Fetch

選填。

要擷取的最低快訊嚴重性。

如未設定這個參數,連接器會擷取所有嚴重程度的快訊。

可能的值如下:

  • Info
  • Low
  • Medium
  • High
  • Critical

如未提供任何值,系統會擷取所有嚴重程度的事件。
Max Hours Backwards

必填。

擷取快訊時,要從目前時間回溯幾小時。

預設值為 24
Max Alerts To Fetch

必填。

每次連接器疊代時要處理的快訊數量上限。

最大值為 100

預設值為 10
Use dynamic list as a blocklist

必填。

如果選取這個選項,連接器會將動態清單做為封鎖清單。

預設為停用。
Disable Overflow

選填。

如果選取此選項,連接器會忽略 Google SecOps 溢位機制。

預設為停用。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 SentinelOne 伺服器時驗證 SSL 憑證。

(預設為啟用)。
Proxy Server Address

選填。

要使用的 Proxy 伺服器位址。
Proxy Username

選填。

用於驗證的 Proxy 使用者名稱。
Proxy Password

選填。

用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

快訊結構

下表說明 SentinelOne 快訊欄位如何對應至 Google SecOps 快訊欄位:

Siemplify 警示欄位 SentinelOne 快訊欄位 (API 中的 JSON 金鑰)
SourceSystemName 由架構填入。
TicketId alertInfo.alertId
DisplayId SentinelOne_Alert_{alertInfo.alertId}
Name SentinelOne Alert: {ruleInfo.name}
Reason ruleInfo.s1q1
Description ruleInfo.description
DeviceVendor 硬式編碼:SentinelOne
DeviceProduct 備用值:Alerts
Priority 對應自 ruleInfo.severity
RuleGenerator SentinelOne Alert: {ruleInfo.name}
SourceGroupingIdentifier ruleInfo.name
Severity 對應自 ruleInfo.severity
Risk Score 嚴重程度的整數表示法
StartTime 轉換自 alertInfo.createdAt
EndTime 轉換自 alertInfo.createdAt
Siemplify Alert - Extensions 不適用
Siemplify Alert - Attachments 不適用

連接器事件

以下是連接器事件的範例:

{
    "agentDetectionInfo": {
        "accountId": "1727154225040260868",
        "machineType": "server",
        "name": "windows-server-20230913",
        "osFamily": "windows",
        "osName": "Windows Server 2019 Datacenter",
        "osRevision": "17763",
        "siteId": "1727154229628829519",
        "uuid": "da943d26318e46a8b3f6fc480c02636d",
        "version": "23.1.2.400"
    },
    "agentRealtimeInfo": {
        "id": "1896661984701699721",
        "infected": true,
        "isActive": true,
        "isDecommissioned": false,
        "machineType": "server",
        "name": "windows-server-20230913",
        "os": "windows",
        "uuid": "da943d26318e46a8b3f6fc480c02636d"
    },
    "alertInfo": {
        "alertId": "1947486263439640318",
        "analystVerdict": "Undefined",
        "createdAt": "2024-05-11T00:27:23.135000Z",
        "dnsRequest": null,
        "dnsResponse": null,
        "dstIp": null,
        "dstPort": null,
        "dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
        "eventType": "REGVALUEMODIFIED",
        "hitType": "Events",
        "incidentStatus": "Unresolved",
        "indicatorCategory": null,
        "indicatorDescription": null,
        "indicatorName": null,
        "isEdr": true,
        "loginAccountDomain": null,
        "loginAccountSid": null,
        "loginIsAdministratorEquivalent": null,
        "loginIsSuccessful": null,
        "loginType": null,
        "loginsUserName": null,
        "modulePath": null,
        "moduleSha1": null,
        "netEventDirection": null,
        "registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryOldValue": "0060030100000000",
        "registryOldValueType": "BINARY",
        "registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
        "registryValue": "0070030100000000",
        "reportedAt": "2024-05-11T00:27:33.873767Z",
        "source": "STAR",
        "srcIp": null,
        "srcMachineIp": null,
        "srcPort": null,
        "tiIndicatorComparisonMethod": null,
        "tiIndicatorSource": null,
        "tiIndicatorType": null,
        "tiIndicatorValue": null,
        "updatedAt": "2025-05-12T18:41:08.366615Z"
    },
    "containerInfo": {
        "id": null,
        "image": null,
        "labels": null,
        "name": null
    },
    "kubernetesInfo": {
        "cluster": null,
        "controllerKind": null,
        "controllerLabels": null,
        "controllerName": null,
        "namespace": null,
        "namespaceLabels": null,
        "node": null,
        "pod": null,
        "podLabels": null
    },
    "ruleInfo": {
        "description": null,
        "id": "1763599692710649014",
        "name": "Registry Value Modified",
        "queryLang": "1.0",
        "queryType": "events",
        "s1ql": "EventType = \"Registry Value Modified\"",
        "scopeLevel": "account",
        "severity": "Critical",
        "treatAsThreat": "UNDEFINED"
    },
    "sourceParentProcessInfo": {
        "commandline": "C:\\Windows\\system32\\services.exe",
        "effectiveUser": null,
        "fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
        "fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
        "fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
        "filePath": "C:\\Windows\\System32\\services.exe",
        "fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "services.exe",
        "pid": "896",
        "pidStarttime": "2024-04-26T17:33:41.962000Z",
        "realUser": null,
        "storyline": "DD880F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "DC880F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "sourceProcessInfo": {
        "commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
        "effectiveUser": null,
        "fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
        "fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
        "fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
        "filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
        "fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
        "integrityLevel": "system",
        "loginUser": null,
        "name": "cyserver.exe",
        "pid": "3204",
        "pidStarttime": "2024-04-26T17:34:17.273000Z",
        "realUser": null,
        "storyline": "74890F57CA4DC0BB",
        "subsystem": "sys_win32",
        "uniqueId": "73890F57CA4DC0BB",
        "user": "NT AUTHORITY\\SYSTEM"
    },
    "targetProcessInfo": {
        "tgtFileCreatedAt": "1970-01-01T00:00:00Z",
        "tgtFileHashSha1": null,
        "tgtFileHashSha256": null,
        "tgtFileId": null,
        "tgtFileIsSigned": "signed",
        "tgtFileModifiedAt": "1970-01-01T00:00:00Z",
        "tgtFileOldPath": null,
        "tgtFilePath": null,
        "tgtProcCmdLine": null,
        "tgtProcImagePath": null,
        "tgtProcIntegrityLevel": "unknown",
        "tgtProcName": null,
        "tgtProcPid": null,
        "tgtProcSignedStatus": null,
        "tgtProcStorylineId": null,
        "tgtProcUid": null,
        "tgtProcessStartTime": "1970-01-01T00:00:00Z"
    }
}

SentinelOne - Threats Connector

使用 SentinelOne - Threats Connector 從 SentinelOne 擷取威脅。

您可以使用連結器,根據動態清單篩選快訊。

SentinelOne - Threats Connector 會使用 alert_name 參數篩選快訊。

如果選取 Use whitelist as a blacklist 參數,連接器只會擷取 alert_name 與動態清單中任何值都不相符的快訊。

如果未在動態清單中設定 alert_name 值,連接器會擷取所有快訊。

如果未選取 Use whitelist as a blacklist 參數,連接器只會擷取 alert_name 符合動態清單中值的快訊。

連接器輸入內容

SentinelOne - Threats Connector 需要下列參數:

參數 說明
Product Field Name

必填。

儲存產品名稱的欄位名稱。

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值 siemplify_event 會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。

預設值為 siemplify_event
Event Field Name

必填。

決定事件名稱 (子類型) 的欄位名稱。

預設值為 threatinfo_classification
Environment Field Name

選填。

儲存環境名稱的欄位名稱。

如果缺少環境欄位,連接器會使用預設值。

預設值為 ""
Environment Regex Pattern

選填。

要在「Environment Field Name」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
Script Timeout

必填。

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。

預設值為 180
API Root

必填。

SentinelOne API 根層級。

預設值為 https://usea1-partners.sentinelone.net/
API Token

必填。

SentinelOne API 權杖。
API Version

選填。

連接器要使用的 SentinelOne API 版本。

如果您未設定值,連接器預設會使用 API 2.0 版。
Fetch Max Days Backwards

選填。

要擷取快訊的日期 (以天為單位,從現在算起)。

這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。

預設值為 1
Max Alerts Per Cycle

選填。

每次連接器疊代要處理的快訊數量上限。

預設值為 25
Disable Overflow

選填。

如果選取此選項,連接器會忽略 Google SecOps 溢位機制。

預設為未選取。
Use whitelist as a blacklist

必填。

如果選取這個選項,連接器會將動態清單做為封鎖清單。

預設為未選取。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 SentinelOne 伺服器時驗證 SSL 憑證。

預設為選取。
Proxy Server Address

選填。

要使用的 Proxy 伺服器位址。
Proxy Username

選填。

用於驗證的 Proxy 使用者名稱。
Proxy Password

選填。

用於驗證的 Proxy 密碼。
Event Object Type Filter

選填。

以半形逗號分隔的事件物件清單,可傳回威脅資訊。

連接器會使用這個參數做為篩選器,只傳回特定物件,例如 process, ip, indicators

如未設定值,連結器會擷取所有事件物件類型。
Event Type Filter

選填。

以半形逗號分隔的事件類型清單,用於傳回威脅資訊。

連接器會使用這個參數做為篩選器,只傳回特定事件類型,例如 Process Creation, Behavioral Indicators
Max Events To Return

選填。

每個威脅要傳回的事件數。

最大值為 199

預設值為 199

連接器規則

連接器支援 Proxy。

連接器支援許可清單和封鎖清單。

連接器事件

連接器事件範例如下:

{
    "data": [
        {
            "accountId": "ACCOUNT_ID",
            "accountName": "SentinelOne",
            "agentComputerName": "desktop-example",
            "agentDomain": "WORKGROUP",
            "agentId": "AGENT_ID",
            "agentInfected": false,
            "agentIp": "203.0.113.180",
            "agentIsActive": false,
            "agentIsDecommissioned": true,
            "agentMachineType": "desktop",
            "agentNetworkStatus": "connecting",
            "agentOsType": "windows",
            "agentVersion": "3.6.6.104",
            "annotation": null,
            "annotationUrl": null,
            "automaticallyResolved": false,
            "browserType": null,
            "certId": "",
            "classification": "generic.heuristic",
            "classificationSource": "Cloud",
            "classifierName": "MANUAL",
            "cloudVerdict": "provider_unknown",
            "collectionId": "COLLECTION_ID",
            "commandId": "835975626369402963",
            "createdAt": "2020-03-02T21:30:13.014874Z",
            "createdDate": "2020-03-02T21:30:12.748000Z",
            "description": "malware detected - not mitigated yet",
            "engines": [
                "manual"
            ],
            "fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
            "fileCreatedDate": null,
            "fileDisplayName": "example.exe",
            "fileExtensionType": "Executable",
            "fileIsDotNet": null,
            "fileIsExecutable": true,
            "fileIsSystem": false,
            "fileMaliciousContent": null,
            "fileObjectId": "99FF941D82E382D1",
            "filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
            "fileSha256": null,
            "fileVerificationType": "NotSigned",
            "fromCloud": false,
            "fromScan": false,
            "id": "ID",
            "indicators": [],
            "initiatedBy": "dvCommand",
            "initiatedByDescription": "Deep Visibility Command",
            "initiatingUserId": "INITIATING_USER_ID",
            "isCertValid": false,
            "isInteractiveSession": false,
            "isPartialStory": false,
            "maliciousGroupId": "MALICED_GROUP_ID",
            "maliciousProcessArguments": "-ServerName:App.Example.mca",
            "markedAsBenign": false,
            "mitigationMode": "protect",
            "mitigationReport": {
                "kill": {
                    "status": "success"
                },
                "network_quarantine": {
                    "status": null
                },
                "quarantine": {
                    "status": "success"
                },
                "remediate": {
                    "status": null
                },
                "rollback": {
                    "status": null
                },
                "unquarantine": {
                    "status": null
                }
            },
            "mitigationStatus": "mitigated",
            "publisher": "",
            "rank": 2,
            "resolved": true,
            "siteId": "SITE_ID",
            "siteName": "Example.com",
            "threatAgentVersion": "3.6.6.104",
            "threatName": "example.exe",
            "updatedAt": "2020-04-02T14:51:21.901754Z",
            "username": "DESKTOP-example\\username",
            "whiteningOptions": [
                "hash"
            ]
        }
    ],
    "pagination": {
        "nextCursor": "VALUE",
        "totalItems": 161
    }
}

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。