SentinelOne v2를 Google SecOps와 통합
통합 버전: 37.0
이 문서에서는 SentinelOne v2를 Google Security Operations (Google SecOps)와 통합하고 구성하는 방법을 설명합니다.
이 통합은 SentinelOne API 2.0을 사용합니다.
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드의 압축된 사본을 다운로드할 수 있습니다.
사용 사례
SentinelOne 통합은 다음 사용 사례를 해결하는 데 도움이 됩니다.
감염된 엔드포인트 격리: Google SecOps 기능을 사용하여 감염된 호스트를 격리하고 측면 이동 및 데이터 무단 반출을 방지합니다.
자세한 엔드포인트 정보 가져오기: Google SecOps 기능을 사용하여 심층 호스트 분석으로 침해 사고 데이터를 보강하여 컨텍스트와 의사 결정을 개선합니다. 에이전트 버전, 운영체제, 네트워크 인터페이스 등 알림과 관련된 엔드포인트에 관한 세부정보를 SentinelOne에서 자동으로 쿼리할 수 있습니다.
심층 가시성 검사 시작: Google SecOps 기능을 사용하여 의심스러운 기기에서 위협과 숨겨진 멀웨어를 찾고 비정상적인 파일 수정이나 레지스트리 변경과 같은 의심스러운 활동이 감지되면 SentinelOne을 사용하여 전체 디스크 검사를 시작합니다.
위협 인텔리전스로 위협 조사: Google SecOps 기능을 사용하여 SentinelOne 알림을 위협 인텔리전스 데이터와 상호 연관시켜 정확도를 높이고, SentinelOne 알림 내에서 발견된 의심스러운 해시, 파일 경로 또는 IP 주소를 위협 인텔리전스 플랫폼으로 전달합니다.
멀웨어 분류: Google SecOps 기능을 사용하여 정적 분석 도구로 멀웨어를 자동으로 분류하여 인시던트 대응을 간소화합니다. 감염된 엔드포인트에서 샘플을 추출하고, 환경 내에서 분석을 트리거하고, 정적 분석을 기반으로 악성코드 분류를 받을 수 있습니다.
시작하기 전에
SentinelOne v2 통합을 사용하려면 SentinelOne API 토큰이 필요합니다.
API 토큰을 생성하려면 다음 단계를 완료하세요.
SentinelOne 관리 콘솔에서 설정 > 사용자로 이동합니다.
사용자 이름을 클릭합니다.
Actions API Token Operations로 이동합니다.
API 토큰 생성을 클릭합니다. API 토큰을 복사하여 통합을 구성합니다. 생성된 API 토큰은 6개월 동안 유효합니다.
통합 매개변수
SentinelOne v2 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API root |
필수 항목입니다. SentinelOne API 루트입니다. 기본값은 |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. 통합을 위한 API 토큰을 생성하는 방법을 자세히 알아보려면 시작하기 전에를 참고하세요. SentinelOne 보안 정책에 따라 6개월마다 새 API 토큰을 만들어야 합니다. |
Verify SSL |
필수 항목입니다. 선택하면 Sentinel 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
위협 메모 추가
위협 메모 추가 작업을 사용하여 SentinelOne의 위협에 메모를 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 메모 추가 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 메모를 추가할 위협의 ID입니다. |
Note |
필수 항목입니다. 위협에 추가할 메모입니다. |
작업 출력
위협 메모 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
위협 메모 추가 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Threat Note". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 메모 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 차단 목록 레코드 만들기
Create Hash Black List Record 작업을 사용하여 SentinelOne의 차단 목록에 해시를 추가합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 차단 목록 레코드 만들기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Operating System |
필수 항목입니다. 해시의 운영체제입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
(선택사항) 차단 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
(선택사항) 차단 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account IDs |
(선택사항) 차단 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
(선택사항) 해시와 관련된 추가 정보입니다. 기본값은 |
Add to global blocklist |
필수 항목입니다. 선택하면 이 작업은 전역 차단 목록에 해시를 추가합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 차단 목록 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 해시 블랙리스트 레코드 생성 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"Entity": "ENTITY_ID",
"EntityResult": [{
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.678280Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.678690Z"
}, {
"userName": "user",
"description": "Created by user.",
"userId": "USER_ID",
"scopeName": "Test Group 2",
"value": "36F9CA40B3CE96FCEE1CF1D4A7222935536FD25A",
"source": "user",
"updatedAt": "2020-07-02T14:41:20.683858Z",
"osType": "windows",
"scope": {
"groupIds": ["GROUP_ID"]
},
"type": "white_hash",
"id": "ENTITY_ID",
"createdAt": "2020-07-02T14:41:20.684677Z"
}]
}
]
출력 메시지
해시 차단 목록 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Hash Black List Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 블랙리스트 레코드 생성 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 제외 레코드 만들기
해시 제외 레코드 만들기 작업을 사용하여 SentinelOne의 제외 목록에 해시를 추가합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 제외 레코드 만들기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Operation System |
필수 항목입니다. 해시의 운영체제 (OS)입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
(선택사항) 해시를 제외 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Group IDs |
(선택사항) 해시를 제외 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Account IDs |
(선택사항) 해시를 제외 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
(선택사항) 해시와 관련된 추가 정보입니다. |
Add to global exclusion list |
(선택사항) 선택하면 작업에서 해시를 전역 제외 목록에 추가합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 제외 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 해시 제외 레코드 만들기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
출력 메시지
해시 제외 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Hash Exclusion Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 제외 레코드 만들기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
경로 제외 레코드 만들기
경로 제외 레코드 만들기 작업을 사용하여 SentinelOne의 제외 목록에 경로를 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
경로 제외 기록 만들기 작업에는 다음 매개변수가 필요합니다.
기본값은 Suppress Alerts입니다.
| 매개변수 | 설명 |
|---|---|
Path |
필수 항목입니다. 제외 목록에 추가할 경로입니다. |
Operation System |
필수 항목입니다. 해시의 운영체제 (OS)입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Site IDs |
(선택사항) 해시를 제외 목록으로 전송할 사이트 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Group IDs |
(선택사항) 해시를 제외 목록으로 전송할 그룹 ID의 쉼표로 구분된 목록입니다. 작업에는 유효한 값이 하나 이상 필요합니다. |
Account IDs |
(선택사항) 해시를 제외 목록으로 전송할 계정 ID의 쉼표로 구분된 목록입니다. |
Description |
(선택사항) 해시와 관련된 추가 정보입니다. |
Add to global exclusion list |
(선택사항) 선택하면 작업에서 해시를 전역 제외 목록에 추가합니다. 이 매개변수를 선택하면 작업에서 |
Include Subfolders |
(선택사항) 선택하면 작업에 제공된 경로의 하위 폴더가 포함됩니다. 이 파라미터는 |
Mode |
(선택사항) 제외된 경로에 사용할 모드입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
경로 제외 레코드 만들기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 경로 제외 레코드 생성 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ENTITY_ID":
{
"ID": "ALLOWLISTED_ENTITY_ID",
"Created Time": "ITEM_CREATION_TIME",
"Scope ID": "SITE_OR_GROUP_ID",
"Scope Name": "example_scope"
}
}
]
출력 메시지
경로 제외 레코드 만들기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Create Path Exclusion Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 경로 제외 레코드 만들기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 블랙리스트 레코드 삭제
해시 블랙리스트 레코드 삭제 작업을 사용하여 SentinelOne의 차단 목록에서 해시를 삭제합니다.
이 작업은 SHA-1 해시만 지원합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 블랙리스트 레코드 삭제 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Site IDs |
(선택사항) 해시를 삭제할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
(선택사항) 해시를 삭제할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account IDs |
(선택사항) 해시를 삭제할 계정 ID의 쉼표로 구분된 목록입니다. |
Remove from global black list |
(선택사항) 선택하면 작업이 전역 차단 목록에서 해시를 삭제합니다. 이 매개변수를 선택하면 작업에서 |
작업 출력
해시 블랙리스트 레코드 삭제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
해시 블랙리스트 레코드 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Delete Hash Blacklist Record". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 블랙리스트 레코드 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
네트워크에서 상담사 연결 해제
네트워크에서 에이전트 연결 해제 작업을 사용하여 에이전트의 호스트 이름 또는 IP 주소를 사용하여 네트워크에서 에이전트를 연결 해제합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에서 에이전트 연결 해제 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에서 에이전트 연결 해제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 파일 다운로드
위협 파일 다운로드 작업을 사용하여 SentinelOne의 위협과 관련된 파일을 다운로드합니다.
SentinelOne에서 위협 파일을 가져오려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 제한
SentinelOne에서 파일을 가져오지만 다운로드 URL을 제공하지 않으면 위협 파일 다운로드 작업이 제한 시간에 도달할 수 있습니다.
시간 제한의 원인을 조사하려면 위협 타임라인으로 이동하세요.
작업 입력
위협 파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 파일을 다운로드할 위협의 ID입니다. |
Password |
필수 항목입니다. 위협 파일이 포함된 압축 폴더의 비밀번호입니다. 비밀번호 요구사항은 다음과 같습니다.
비밀번호의 최대 길이는 256자(영문 기준)입니다. |
Download Folder Path |
필수 항목입니다. 위협 파일을 저장할 폴더의 경로입니다. |
Overwrite |
필수 항목입니다. 선택하면 작업에서 이름이 동일한 파일을 덮어씁니다. 기본적으로 선택되지 않습니다. |
작업 출력
위협 파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 위협 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"absolute_path": "ABSOLUTE_PATH"
}
출력 메시지
위협 파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download Threat File". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 파일 다운로드 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 보강
엔드포인트 보강 작업을 사용하여 IP 주소 또는 호스트 이름을 사용하여 엔드포인트에 관한 정보를 보강합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
엔드포인트 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Create Insight |
(선택사항) 선택하면 작업에서 엔드포인트에 관한 정보가 포함된 통계를 만듭니다. |
Only Infected Endpoints Insights |
(선택사항) 선택하면 작업은 감염된 엔드포인트에 대한 통계만 생성합니다. |
작업 출력
엔드포인트 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔드포인트 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"activeDirectory": {
"computerDistinguishedName": "CN=LP-EXAMPLE,CN=Computers,DC=EXAMPLE,DC=LOCAL",
"computerMemberOf": [],
"lastUserDistinguishedName": "CN=Example,OU=Users,OU=PS,OU=IL,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"lastUserMemberOf": [
"CN=esx.cs,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Backup Operators,CN=Builtin,DC=EXAMPLE,DC=LOCAL",
"CN=esx.product,OU=ESX,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=EXAMPLE_Admins,OU=QA,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Local Admin,OU=GROUPS,OU=IL,OU=IT,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=CSM,OU=Operations,OU=EXAMPLE,DC=EXAMPLE,DC=LOCAL",
"CN=Event Log Readers,CN=Builtin,DC=EXAMPLE,DC=LOCAL"
]
},
"activeThreats": 0,
"agentVersion": "4.1.4.82",
"allowRemoteShell": false,
"appsVulnerabilityStatus": "patch_required",
"computerName": "LP-EXAMPLE",
"consoleMigrationStatus": "N/A",
"coreCount": 8,
"cpuCount": 8,
"cpuId": "Intel(R) Core(TM) i7-8650U CPU @ 1.90GHz",
"createdAt": "2020-05-31T07:22:14.695136Z",
"domain": "EXAMPLE",
"encryptedApplications": false,
"externalId": "",
"externalIp": "192.0.2.91",
"groupId": "863712577864500060",
"groupIp": "192.0.2.0",
"groupName": "Test Group",
"id": "ID",
"inRemoteShellSession": false,
"infected": false,
"installerType": ".msi",
"isActive": false,
"isDecommissioned": false,
"isPendingUninstall": false,
"isUninstalled": false,
"isUpToDate": true,
"lastActiveDate": "2021-01-12T12:59:43.143066Z",
"lastIpToMgmt": "192.0.2.20",
"lastLoggedInUserName": "EXAMPLE",
"licenseKey": "",
"locationType": "fallback",
"locations": [
{
"id": "ID",
"name": "Fallback",
"scope": "global"
}
],
"machineType": "laptop",
"mitigationMode": "protect",
"mitigationModeSuspicious": "protect",
"modelName": "Dell Inc. - Latitude 7490",
"networkInterfaces": [
{
"id": "ID",
"inet": [
"192.0.2.20"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2",
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "Wi-Fi",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"192.168.193.193"
],
"inet6": [
"2001:db8:ffff:ffff:ffff:ffff:ffff:ffff"
],
"name": "vEthernet (Default Switch)",
"physical": "MAC_ADDRESS"
},
{
"id": "ID",
"inet": [
"201.0.113.1"
],
"inet6": [
"2001:db8:1:1:1:1:1:1",
"2001:db8:2:2:2:2:2:2"
],
"name": "vEthernet (DockerNAT)",
"physical": "MAC_ADDRESS"
}
],
"networkStatus": "connecting",
"osArch": "64 bit",
"osName": "Windows 10 Pro",
"osRevision": "18363",
"osStartTime": "2021-01-03T15:38:32Z",
"osType": "windows",
"osUsername": null,
"rangerStatus": "NotApplicable",
"rangerVersion": null,
"registeredAt": "2020-05-31T07:22:14.691561Z",
"scanAbortedAt": null,
"scanFinishedAt": "2020-05-31T09:28:53.867014Z",
"scanStartedAt": "2020-05-31T07:25:37.814972Z",
"scanStatus": "finished",
"siteId": "SITE_ID",
"siteName": "example.com",
"threatRebootRequired": false,
"totalMemory": 16263,
"updatedAt": "2021-01-18T13:33:43.834618Z",
"userActionsNeeded": [],
"uuid": "UUID"
}
출력 메시지
엔드포인트 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Endpoints". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔드포인트 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
상담사 상태 가져오기
Get Agent Status 작업을 사용하여 제공된 항목을 기반으로 엔드포인트의 에이전트 상태에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
Get Agent Status 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 상담사 상태 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"status": "Not active"
}
출력 메시지
상담사 상태 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Agent Status". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Agent Status(에이전트 상태 가져오기) 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 애플리케이션 목록 가져오기
엔드포인트의 애플리케이션 목록 가져오기 작업을 사용하여 제공된 엔티티를 통해 엔드포인트에서 사용 가능한 애플리케이션에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
엔드포인트의 애플리케이션 목록 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Max Applications To Return |
(선택사항) 반환할 최대 애플리케이션 수입니다. 숫자를 설정하지 않으면 작업에서 사용 가능한 모든 애플리케이션을 반환합니다. |
작업 출력
엔드포인트의 애플리케이션 목록 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔드포인트의 애플리케이션 목록 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"installedDate": "2021-01-06T08:55:56.762000Z",
"name": "Mozilla Firefox 84.0.1 (x64 en-US)",
"publisher": "Mozilla",
"size": 211562,
"version": "84.0.1"
}
]
}
출력 메시지
엔드포인트의 애플리케이션 목록 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Application List for Endpoint".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔드포인트의 애플리케이션 목록 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
차단 목록 가져오기
차단 목록 가져오기 작업을 사용하여 SentinelOne의 차단 목록에서 사용할 수 있는 모든 항목의 목록을 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
블랙리스트 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Hash |
(선택사항) 차단 목록에서 확인할 해시의 쉼표로 구분된 목록입니다. 이 작업은 발견된 해시만 반환합니다.
|
Site IDs |
(선택사항) 차단 목록 항목을 반환할 사이트 ID의 쉼표로 구분된 목록입니다. |
Group IDs |
(선택사항) 차단 목록 항목을 반환할 그룹 ID의 쉼표로 구분된 목록입니다. |
Account Ids |
(선택사항) 차단 목록 항목을 반환할 계정 ID의 쉼표로 구분된 목록입니다. |
Limit |
(선택사항) 반환할 차단 목록 항목 수입니다.
최댓값은 기본값은 |
Query |
(선택사항) 결과를 필터링하는 쿼리입니다. |
Use Global Blacklist |
(선택사항) 선택하면 이 작업은 전역 차단 목록에서 해시를 반환합니다. 기본적으로 선택되지 않습니다. |
작업 출력
블랙리스트 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
Get Blacklist 작업은 다음 표를 반환할 수 있습니다.
테이블 이름: 차단 목록 해시
표 열:
- 해시
- 범위
- 설명
- OS
- 사용자(User)
JSON 결과
다음 예는 블랙리스트 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"userName": "Example",
"description": "test",
"userId": "USER_ID",
"scopeName": "Example.com",
"value": "cf23df2207d99a74fbe169e3eba035e633bxxxxx",
"source": "user",
"updatedAt": "2020-02-27T15:02:54.686991Z",
"osType": "windows",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "8353960925573xxxxx",
"createdAt": "2020-02-27T15:02:54.687675Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "3395856ce81f2b7382dee72602f798b642fxxxxx",
"source": "cloud",
"updatedAt": "2020-03-18T14:42:02.730095Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-03-18T14:42:02.730449Z"
}, {
"description": "Detected by SentinelOne Cloud",
"userId": null,
"scopeName": "Example.com",
"value": "df531d66173235167ac502b867f3cae2170xxxxx",
"source": "cloud",
"updatedAt": "2020-04-08T07:27:35.686775Z",
"osType": "linux",
"scope": {
"siteIds": ["SITE_ID"]
},
"type": "black_hash",
"id": "ENTITY_ID",
"createdAt": "2020-04-08T07:27:35.687168Z"
}
]
출력 메시지
블랙리스트 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Blacklist". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 블랙리스트 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
심층 가시성 쿼리 결과 가져오기
Get Deep Visibility Query Result 작업을 사용하여 딥 가시성 쿼리 결과에 관한 정보를 가져옵니다.
이 작업은 심층 가시성 쿼리 시작 작업과 함께 실행하세요.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Get Deep Visibility Query Result 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query ID |
필수 항목입니다. 결과를 반환할 쿼리의 ID입니다. ID 값은 심층 가시성 쿼리 시작 작업의 JSON 결과에서 |
Limit |
(선택사항) 반환할 이벤트 수입니다. 최댓값은 기본값은 |
작업 출력
Get Deep Visibility Query Result 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
Get Deep Visibility Query Result 작업은 다음 표를 반환할 수 있습니다.
표 이름: SentinelOne Events
표 열:
- 이벤트 유형
- 사이트 이름
- 시간
- 에이전트 OS
- 프로세스 ID
- 프로세스 UID
- 프로세스 이름
- MD5
- SHA256
출력 메시지
Get Deep Visibility Query Result 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully found events for query: QUERY_ID. |
작업이 완료되었습니다. |
Error executing action "Get Deep Visibility Query Result". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Deep Visibility Query Result 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 시간의 이벤트를 가져옵니다.
Get Events for Endpoint Hours Back 작업을 사용하여 엔드포인트의 최신 이벤트에 관한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
Get Events for Endpoint Hours Back 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Hours Back |
필수 항목입니다. 현재 시점으로부터 이벤트를 가져올 시간입니다. |
Events Amount Limit |
(선택사항) 이벤트 유형별로 반환할 최대 이벤트 수입니다. 기본값은 |
Include File Events Information |
(선택사항) 선택하면 작업이 |
Include Indicator Events Information |
(선택사항) 선택하면 작업이 |
Include DNS Events Information |
(선택사항) 선택하면 작업이 |
Include Network Actions Events Information |
(선택사항) 선택하면 작업이 |
Include URL Events Information |
(선택사항) 선택하면 작업이 |
Include Registry Events Information |
(선택사항) 선택하면 작업이 |
Include Scheduled Task Events Information |
(선택사항) 선택하면 작업이 |
작업 출력
Get Events for Endpoint Hours Back 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 Get Events for Endpoint Hours Back 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"activeContentFileId": null,
"activeContentHash": null,
"activeContentPath": null,
"activeContentSignedStatus": null,
"activeContentType": null,
"agentDomain": "",
"agentGroupId": "GROUP_ID",
"agentId": "ID",
"agentInfected": false,
"agentIp": "192.0.2.160",
"agentIsActive": true,
"agentIsDecommissioned": false,
"agentMachineType": "server",
"agentName": "ip-203-0-113-205",
"agentNetworkStatus": "connected",
"agentOs": "linux",
"agentTimestamp": "2020-03-19T08:17:01.575Z",
"agentUuid": "UUID",
"agentVersion": "3.3.1.14",
"attributes": [
{
"display": "Created At",
"display_attribute": false,
"field_id": "agentTimestamp",
"priority": 3,
"queryable": false,
"section": "Main Attributes",
"value": "2020-03-19T08:17:01.575Z"
},{
"display": "Site ID",
"display_attribute": false,
"field_id": "siteId",
"priority": 7,
"queryable": true,
"section": "Endpoint Info",
"value": null
}
],
"containerId": null,
"containerImage": null,
"containerLabels": null,
"containerName": null,
"createdAt": "2020-03-19T08:17:01.575000Z",
"eventType": "Process Creation",
"hasParent": true,
"id": "ID",
"k8sCluame": null,
"k8sControllerLabels": null,
"k8sControllerName": null,
"k8sControllerType": null,
"k8sNamespace": null,
"k8sNamespaceLabels": null,
"k8sNode": null,
"k8sPodLabels": null,
"k8sPodName": null,
"md5": null,
"objectType": "process",
"parentPid": "32461",
"parentProcessName": "dash",
"parentProcessStartTime": "2020-03-19T08:17:01.785Z",
"parentProcessUniqueKey": "KEY",
"pid": "32462",
"processCmd": " run-parts --report /etc/cron.hourly",
"processDisplayName": null,
"processGroupId": "GROUP_ID",
"processImagePath": "/bin/run-parts",
"processImageSha1Hash": "66df74a1f7cc3509c87d6a190ff90ac86caf440d",
"processIntegrityLevel": "INTEGRITY_LEVEL_UNKNOWN",
"processIsRedirectedCommandProcessor": "False",
"processIsWow64": "False",
"processName": "run-parts",
"processRoot": "False",
"processSessionId": "0",
"processStartTime": "2020-03-19T08:17:01.787Z",
"processSubSystem": "SUBSYSTEM_UNKNOWN",
"processUniqueKey": "KEY",
"publisher": null,
"relatedToThreat": "False",
"sha256": null,
"signatureSignedInvalidReason": null,
"signedStatus": "unsigned",
"siteName": "example.com",
"trueContext": "c98a4557-94b5-da31-5074-fe6360f17228",
"user": "unknown",
"verifiedStatus": null
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 632
}
}
출력 메시지
Get Events for Endpoint Hours Back 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Events for Endpoint Hours Back".
Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Get Events for Endpoint Hours Back 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
그룹 세부정보 가져오기
그룹 세부정보 가져오기 작업을 사용하여 제공된 그룹에 관한 자세한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그룹 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Group Names |
필수 항목입니다. 세부정보를 가져올 그룹 이름입니다. 이 매개변수는 여러 값을 쉼표로 구분된 목록으로 허용합니다. |
작업 출력
그룹 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
그룹 세부정보 가져오기 작업은 다음 표를 반환할 수 있습니다.
표 이름: SentinelOne Groups
표 열:
- ID
- 이름
- 유형
- Rank
- 크리에이터
- 생성 시간
JSON 결과
다음 예는 그룹 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"GROUP_NAME":"UNEDITABLE_VARIABLERESPONSE_DATA"
}
]
출력 메시지
그룹 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그룹 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
해시 평판 가져오기
(지원 중단됨) 해시 평판 가져오기 작업을 사용하여 SentinelOne에서 해시에 관한 정보를 가져옵니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
작업 입력
해시 평판 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Reputation Threshold |
(선택사항) 엔티티를 의심스러운 것으로 표시하는 평판 임곗값입니다. 값을 설정하지 않으면 작업에서 의심스러운 항목을 표시하지 않습니다. 최댓값은 기본값은 |
Create Insight |
(선택사항) 선택하면 작업에서 평판에 관한 정보가 포함된 통계를 만듭니다. |
Only Suspicious Hashes Insight |
(선택사항) 선택하면 작업은 평판이 |
작업 출력
해시 평판 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
보강 테이블
해시 평판 가져오기 작업을 통해 다음 필드를 보강할 수 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
SENO_reputation |
JSON 결과에 존재하는 경우에 반환합니다. |
스크립트 결과
다음 표에는 해시 평판 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트의 프로세스 목록 가져오기 - 지원 중단됨
시스템 상태 가져오기
시스템 상태 가져오기 작업을 사용하여 시스템 상태를 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 상태 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 시스템 상태 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"system_status": {
"data": {
"health": "ok"
}},
"db_status": {
"data": {
"health": "ok"
}},
"cache_status": {
"data": {
"health": "ok"
}
}
}
스크립트 결과
다음 표에는 시스템 상태 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
시스템 버전 가져오기
시스템 버전 가져오기 작업을 사용하여 시스템 버전을 가져옵니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
시스템 버전 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 시스템 버전 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 가져오기
Get Threats 작업을 사용하여 SentinelOne의 위협에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Mitigation Status |
(선택사항) 쉼표로 구분된 위협 상태 목록입니다. 이 작업은 구성된 상태와 일치하는 위협만 반환합니다. 가능한 값은 다음과 같습니다.
|
Created until |
(선택사항) 위협의 종료 시간입니다(예: |
Created from |
(선택사항) 위협의 시작 시간입니다(예: |
Resolved Threats |
(선택사항) 선택하면 작업에서 해결된 위협만 반환합니다. |
Threat Display Name |
(선택사항) 반환할 위협의 표시 이름입니다. |
Limit |
(선택사항) 반환할 위협 수입니다. 기본값은 |
API Version |
(선택사항) 작업에 사용할 API 버전입니다. 값을 설정하지 않으면 작업에서 2.1 버전을 사용합니다. API 버전은 JSON 결과 구조에 영향을 미칩니다. 최신 API 버전을 설정하는 것이 좋습니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
위협 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 위협 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"accountId": "ACCOUNT_ID",
"accountName": "ACCOUNT_NAME",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "192.0.2.176",
"agentIsActive": false,
"agentIsDecommissioned": false,
"agentMachineType": "desktop",
"agentNetworkStatus": "connected",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "838490132723152335",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"external_ticket_id": null,
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "THREAT_ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "0BB46E119EF0AE51",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": true,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": "sent"
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-07-07T17:19:48.260119Z",
"username": "DESKTOP-example\\ddiserens",
"whiteningOptions": []
}
출력 메시지
위협 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Threats". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
심층 가시성 쿼리 시작
Initiate Deep Visibility Query 작업을 사용하여 Deep Visibility 쿼리 검색을 시작합니다.
이 작업은 Get Deep Visibility Query Result 작업에 필요한 쿼리 ID 값을 반환합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Initiate Deep Visibility Query 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 검색 쿼리입니다. 쿼리 구문에 대한 자세한 내용은 SentinelOne Deep Visibility Cheat Sheet을 참고하세요. |
Start Date |
(선택사항) 검색 시작일입니다. 값을 설정하지 않으면 작업에서 기본적으로 현재 시점으로부터 30일 전의 이벤트를 가져옵니다. |
End Date |
(선택사항) 검색의 종료일입니다. 값을 설정하지 않으면 작업에서 현재 시간을 사용합니다. |
작업 출력
심층 가시성 쿼리 시작 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 심층 가시성 쿼리 시작 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"query_id": "QUERY_ID"
}
]
출력 메시지
심층 가시성 쿼리 시작 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Initiate Deep Visibility Query". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 심층 가시성 쿼리 시작 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
전체 스캔 시작
전체 검사 시작 작업을 사용하여 SentinelOne의 엔드포인트에서 전체 디스크 검사를 시작합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
전체 검사 시작 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
전체 검사 시작 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Initiate Full Scan". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 전체 검사 시작 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
사이트 나열
사이트 목록 작업을 사용하여 SentinelOne에서 사용 가능한 사이트를 나열합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
사이트 목록 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Filter Key |
(선택사항) 사이트를 필터링하는 키입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Filter Logic |
(선택사항) 적용할 필터 논리입니다. 필터 로직은 가능한 값은 다음과 같습니다.
기본값은 |
Filter Value |
(선택사항) 필터에 사용할 값입니다. 필터 로직은
값을 설정하지 않으면 작업에서 필터를 무시합니다. |
Max Records To Return |
(선택사항) 반환할 레코드 수입니다. 기본값은 |
작업 출력
사이트 나열 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
사이트 목록 작업은 다음 표를 반환할 수 있습니다.
표 이름: 사용 가능한 사이트
표 열:
- 이름
- ID
- 크리에이터
- 만료
- 유형
- 상태
출력 메시지
사이트 목록 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "List Sites". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 사이트 목록 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협으로 표시
위협으로 표시 작업을 사용하여 의심스러운 위협을 SentinelOne에서 실제 위협으로 표시합니다.
SentinelOne에서 위협을 표시하려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
의심스러운 감지만 위협으로 표시할 수 있습니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협으로 표시 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat IDs |
필수 항목입니다. 위협으로 표시할 감지 ID의 쉼표로 구분된 목록입니다. |
작업 출력
위협으로 표시 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 위협으로 표시 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"ID": "DETECTION_ID",
"marked_as_threat": "true"
}
]
출력 메시지
위협으로 표시 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Mark as Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협으로 표시 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 완화
위협 완화 작업을 사용하여 SentinelOne의 위협에 대한 완화 작업을 실행합니다.
SentinelOne에서 위협을 완화하려면 다음 역할 중 하나가 필요합니다.
AdminIR TeamSOC
롤백은 Windows에만 적용됩니다. 위협 해결은 macOS 및 Windows에만 적용됩니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 완화 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Mitigation action |
필수 항목입니다. 감지된 위협에 대한 완화 조치입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Threat IDs |
필수 항목입니다. 완화할 위협 ID의 쉼표로 구분된 목록입니다. |
작업 출력
위협 완화 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 위협 완화 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"mitigated": true,
"mitigation_action": "quarantine",
"Threat_ID": "THREAT_ID"
}
]
출력 메시지
위협 완화 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Mitigate Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 완화 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
상담사 이동
에이전트 이동 작업을 사용하여 동일한 사이트에서 제공된 그룹으로 에이전트를 이동합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
Move Agents 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Group ID |
(선택사항) 에이전트를 이동할 그룹의 ID입니다. |
Group Name |
(선택사항) 에이전트를 이동할 그룹의 이름입니다.
|
작업 출력
Move Agents 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Move Agents 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Move Agents". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Move Agents 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 연결을 테스트합니다.
이 작업은 모든 Google SecOps 항목에서 실행됩니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
에이전트를 네트워크에 다시 연결
에이전트를 네트워크에 다시 연결 작업을 사용하여 연결이 끊긴 엔드포인트를 네트워크에 다시 연결합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
없음
작업 출력
네트워크에 에이전트 다시 연결 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용할 수 없음 |
| 스크립트 결과 | 사용 가능 |
스크립트 결과
다음 표에는 네트워크에 에이전트 다시 연결 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
위협 해결
위협 해결 작업을 사용하여 SentinelOne에서 위협을 해결합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
위협 해결 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat IDs |
필수 항목입니다. 해결할 위협 ID의 쉼표로 구분된 목록입니다. |
Annotation |
(선택사항) 위협 해결을 위한 근거입니다. |
작업 출력
위협 해결 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 위협 해결 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
[
{
"resolved": false,
"Threat_ID": "THREAT_ID"
}
]
출력 메시지
위협 해결 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Resolve Threat". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 위협 해결 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
알림 업데이트
알림 업데이트 작업을 사용하여 SentinelOne에서 위협 알림을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
알림 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Alert ID |
필수 항목입니다. 업데이트할 알림의 ID입니다. |
Status |
(선택사항) 알림 상태입니다. 가능한 값은 다음과 같습니다.
|
Verdict |
(선택사항) 알림에 대한 평결입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
업데이트 알림 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 알림 업데이트 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
출력 메시지
알림 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
Successfully updated alert with ID
ALERT_ID in SentinelOne. |
작업이 완료되었습니다. |
Error executing action "Update Alert". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 알림 업데이트 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
분석가 평결 업데이트
분석가 평결 업데이트 작업을 사용하여 SentinelOne에서 위협의 분석가 평결을 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
분석가 평결 업데이트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 분석가 평결을 업데이트할 쉼표로 구분된 위협 ID 목록입니다. |
Analyst Verdict |
필수 항목입니다. 분석가 판결입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
분석가 의견 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
분석가 평결 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update Analyst Verdict". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 분석가 평결 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
Update Incident Status(인시던트 상태 업데이트)
인시던트 상태 업데이트 작업을 사용하여 SentinelOne에서 위협 인시던트 상태를 업데이트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Update Incident Status(인시던트 상태 업데이트) 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Threat ID |
필수 항목입니다. 사고 상태를 업데이트할 쉼표로 구분된 위협 ID 목록입니다. |
Status |
필수 항목입니다. 인시던트 상태입니다. 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
인시던트 상태 업데이트 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
인시던트 상태 업데이트 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Update Incident Status". Reason: ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 인시던트 상태 업데이트 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
SentinelOne - Alerts Connector
SentinelOne - Alerts Connector를 사용하여 SentinelOne의 알림을 수집합니다.
커넥터를 사용하면 ruleInfo.name 매개변수를 기반으로 동적 목록을 사용하여 알림을 필터링할 수 있습니다. 이 목록의 동작은 Use dynamic list as a blocklist 매개변수에 따라 다릅니다.
Use dynamic list as a blocklist를 선택하지 않으면 다음이 적용됩니다.동적 목록은 허용 목록으로 작동합니다. 커넥터는
ruleInfo.name이 목록의 값과 일치하는 알림만 수집합니다. 목록이 비어 있으면 알림이 수집되지 않습니다.Use dynamic list as a blocklist을 선택하는 경우:동적 목록은 차단 목록으로 작동합니다. 커넥터는
ruleInfo.name가 목록의 값과 일치하는 알림을 제외한 모든 알림을 수집합니다. 목록이 비어 있으면 모든 알림이 수집됩니다.
커넥터 매개변수
SentinelOne - Alerts Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. 기본값은 |
PythonProcessTimeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. SentinelOne 인스턴스의 API 루트입니다. |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. |
Status Filter |
(선택사항) 수집할 알림 상태의 쉼표로 구분된 목록입니다. 가능한 값은 다음과 같습니다.
값이 제공되지 않으면 커넥터가 |
Case Name Template |
(선택사항) 맞춤 케이스 이름을 정의하는 템플릿입니다. 커넥터는 이벤트에 첫 번째 이벤트의 문자열 값에서 채워지는 FIELD_NAME 형식의 자리표시자를 사용할 수 있습니다. 예: |
Alert Name Template |
(선택사항) 알림 이름을 정의하는 템플릿입니다. 첫 번째 이벤트의 문자열 값에서 채워지는 FIELD_NAME 형식의 자리표시자를 사용할 수 있습니다. 예: 값이 제공되지 않거나 템플릿이 유효하지 않으면 커넥터는 기본 알림 이름을 사용합니다. |
Lowest Severity To Fetch |
(선택사항) 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 다음과 같습니다.
값이 제공되지 않으면 모든 심각도가 수집됩니다. |
Max Hours Backwards |
필수 항목입니다. 현재 시간 전의 알림을 가져올 시간입니다. 기본값은 |
Max Alerts To Fetch |
필수 항목입니다. 커넥터 반복마다 처리할 최대 알림 수입니다. 최댓값은 기본값은 |
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 사용 설정되지 않습니다. |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 사용 설정되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 SentinelOne 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
알림 구조
다음 표에서는 SentinelOne 알림 필드를 Google SecOps 알림 필드에 매핑하는 방법을 설명합니다.
| Siemplify 알림 필드 | SentinelOne 알림 필드 (API의 JSON 키) |
|---|---|
SourceSystemName |
프레임워크에 의해 채워집니다. |
TicketId |
alertInfo.alertId |
DisplayId |
SentinelOne_Alert_{alertInfo.alertId} |
Name |
SentinelOne Alert: {ruleInfo.name} |
Reason |
ruleInfo.s1q1 |
Description |
ruleInfo.description |
DeviceVendor |
하드코딩됨: SentinelOne |
DeviceProduct |
대체 값: Alerts |
Priority |
ruleInfo.severity에서 매핑됨 |
RuleGenerator |
SentinelOne Alert: {ruleInfo.name} |
SourceGroupingIdentifier |
ruleInfo.name |
Severity |
ruleInfo.severity에서 매핑됨 |
Risk Score |
심각도의 정수 표현 |
StartTime |
alertInfo.createdAt에서 변환됨 |
EndTime |
alertInfo.createdAt에서 변환됨 |
Siemplify Alert - Extensions |
해당 사항 없음 |
Siemplify Alert - Attachments |
해당 사항 없음 |
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"agentDetectionInfo": {
"accountId": "1727154225040260868",
"machineType": "server",
"name": "windows-server-20230913",
"osFamily": "windows",
"osName": "Windows Server 2019 Datacenter",
"osRevision": "17763",
"siteId": "1727154229628829519",
"uuid": "da943d26318e46a8b3f6fc480c02636d",
"version": "23.1.2.400"
},
"agentRealtimeInfo": {
"id": "1896661984701699721",
"infected": true,
"isActive": true,
"isDecommissioned": false,
"machineType": "server",
"name": "windows-server-20230913",
"os": "windows",
"uuid": "da943d26318e46a8b3f6fc480c02636d"
},
"alertInfo": {
"alertId": "1947486263439640318",
"analystVerdict": "Undefined",
"createdAt": "2024-05-11T00:27:23.135000Z",
"dnsRequest": null,
"dnsResponse": null,
"dstIp": null,
"dstPort": null,
"dvEventId": "01HXJGR13VFVQAHW6TPDZ78WSX_35",
"eventType": "REGVALUEMODIFIED",
"hitType": "Events",
"incidentStatus": "Unresolved",
"indicatorCategory": null,
"indicatorDescription": null,
"indicatorName": null,
"isEdr": true,
"loginAccountDomain": null,
"loginAccountSid": null,
"loginIsAdministratorEquivalent": null,
"loginIsSuccessful": null,
"loginType": null,
"loginsUserName": null,
"modulePath": null,
"moduleSha1": null,
"netEventDirection": null,
"registryKeyPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryOldValue": "0060030100000000",
"registryOldValueType": "BINARY",
"registryPath": "MACHINE\\SYSTEM\\ControlSet001\\Services\\CSAgent\\Sim\\NT",
"registryValue": "0070030100000000",
"reportedAt": "2024-05-11T00:27:33.873767Z",
"source": "STAR",
"srcIp": null,
"srcMachineIp": null,
"srcPort": null,
"tiIndicatorComparisonMethod": null,
"tiIndicatorSource": null,
"tiIndicatorType": null,
"tiIndicatorValue": null,
"updatedAt": "2025-05-12T18:41:08.366615Z"
},
"containerInfo": {
"id": null,
"image": null,
"labels": null,
"name": null
},
"kubernetesInfo": {
"cluster": null,
"controllerKind": null,
"controllerLabels": null,
"controllerName": null,
"namespace": null,
"namespaceLabels": null,
"node": null,
"pod": null,
"podLabels": null
},
"ruleInfo": {
"description": null,
"id": "1763599692710649014",
"name": "Registry Value Modified",
"queryLang": "1.0",
"queryType": "events",
"s1ql": "EventType = \"Registry Value Modified\"",
"scopeLevel": "account",
"severity": "Critical",
"treatAsThreat": "UNDEFINED"
},
"sourceParentProcessInfo": {
"commandline": "C:\\Windows\\system32\\services.exe",
"effectiveUser": null,
"fileHashMd5": "0d464c4bf9d85412d6ef15eea3a91e72",
"fileHashSha1": "582a7cbf0bf13889080900cd7bea368bf77f8faf",
"fileHashSha256": "243e370c279b3b8062e5dd81d8df539705397cc68472168251ed54134b13d70b",
"filePath": "C:\\Windows\\System32\\services.exe",
"fileSignerIdentity": "MICROSOFT WINDOWS PUBLISHER",
"integrityLevel": "system",
"loginUser": null,
"name": "services.exe",
"pid": "896",
"pidStarttime": "2024-04-26T17:33:41.962000Z",
"realUser": null,
"storyline": "DD880F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "DC880F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"sourceProcessInfo": {
"commandline": "\"C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe\"",
"effectiveUser": null,
"fileHashMd5": "1d6ec27dc8bbf1509a4ebf81b9ea6c26",
"fileHashSha1": "dca4478ce7db9f98b930b12096205be8a587620e",
"fileHashSha256": "c043dfeafb79b60018f3098f5908eb57b2fe84dbdfde0c83e613b4b42d7255c6",
"filePath": "C:\\Program Files\\Palo Alto Networks\\Traps\\cyserver.exe",
"fileSignerIdentity": "PALO ALTO NETWORKS (NETHERLANDS) B.V.",
"integrityLevel": "system",
"loginUser": null,
"name": "cyserver.exe",
"pid": "3204",
"pidStarttime": "2024-04-26T17:34:17.273000Z",
"realUser": null,
"storyline": "74890F57CA4DC0BB",
"subsystem": "sys_win32",
"uniqueId": "73890F57CA4DC0BB",
"user": "NT AUTHORITY\\SYSTEM"
},
"targetProcessInfo": {
"tgtFileCreatedAt": "1970-01-01T00:00:00Z",
"tgtFileHashSha1": null,
"tgtFileHashSha256": null,
"tgtFileId": null,
"tgtFileIsSigned": "signed",
"tgtFileModifiedAt": "1970-01-01T00:00:00Z",
"tgtFileOldPath": null,
"tgtFilePath": null,
"tgtProcCmdLine": null,
"tgtProcImagePath": null,
"tgtProcIntegrityLevel": "unknown",
"tgtProcName": null,
"tgtProcPid": null,
"tgtProcSignedStatus": null,
"tgtProcStorylineId": null,
"tgtProcUid": null,
"tgtProcessStartTime": "1970-01-01T00:00:00Z"
}
}
SentinelOne - 위협 커넥터
SentinelOne - 위협 커넥터를 사용하여 SentinelOne의 위협을 수집합니다.
커넥터를 사용하면 동적 목록을 기반으로 알림을 필터링할 수 있습니다.
SentinelOne - 위협 커넥터는 alert_name 매개변수를 사용하여 알림을 필터링합니다.
Use whitelist as a blacklist 매개변수를 선택하면 커넥터는 alert_name이 동적 목록의 값과 일치하지 않는 알림만 수집합니다.
동적 목록에서 alert_name 값을 구성하지 않으면 커넥터가 모든 알림을 인그레스합니다.
Use whitelist as a blacklist 매개변수를 선택하지 않으면 커넥터는 alert_name이 동적 목록의 값과 일치하는 알림만 수집합니다.
커넥터 입력
SentinelOne - 위협 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Script Timeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Root |
필수 항목입니다. SentinelOne API 루트입니다. 기본값은 |
API Token |
필수 항목입니다. SentinelOne API 토큰입니다. |
API Version |
(선택사항) 커넥터가 사용할 SentinelOne API 버전입니다. 값을 설정하지 않으면 커넥터는 기본적으로 API 버전 2.0을 사용합니다. |
Fetch Max Days Backwards |
(선택사항) 현재로부터 며칠 전까지의 알림을 가져올지 나타냅니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Alerts Per Cycle |
(선택사항) 커넥터 반복마다 처리할 최대 알림 수입니다. 기본값은 |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다. |
Use whitelist as a blacklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다. |
Verify SSL |
필수 항목입니다. 선택하면 SentinelOne 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택됩니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
Event Object Type Filter |
(선택사항) 위협 정보와 함께 반환할 이벤트 객체의 쉼표로 구분된 목록입니다. 커넥터는 이 매개변수를 필터로 사용하여 값을 설정하지 않으면 커넥터가 모든 이벤트 객체 유형을 인그레스합니다. |
Event Type Filter |
(선택사항) 위협 정보와 함께 반환할 이벤트 유형의 쉼표로 구분된 목록입니다. 커넥터는 이 매개변수를 필터로 사용하여 |
Max Events To Return |
(선택사항) 위협별로 반환할 이벤트 수입니다. 최댓값은 기본값은 |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터는 허용 목록과 차단 목록을 지원합니다.
커넥터 이벤트
커넥터 이벤트의 예는 다음과 같습니다.
{
"data": [
{
"accountId": "ACCOUNT_ID",
"accountName": "SentinelOne",
"agentComputerName": "desktop-example",
"agentDomain": "WORKGROUP",
"agentId": "AGENT_ID",
"agentInfected": false,
"agentIp": "203.0.113.180",
"agentIsActive": false,
"agentIsDecommissioned": true,
"agentMachineType": "desktop",
"agentNetworkStatus": "connecting",
"agentOsType": "windows",
"agentVersion": "3.6.6.104",
"annotation": null,
"annotationUrl": null,
"automaticallyResolved": false,
"browserType": null,
"certId": "",
"classification": "generic.heuristic",
"classificationSource": "Cloud",
"classifierName": "MANUAL",
"cloudVerdict": "provider_unknown",
"collectionId": "COLLECTION_ID",
"commandId": "835975626369402963",
"createdAt": "2020-03-02T21:30:13.014874Z",
"createdDate": "2020-03-02T21:30:12.748000Z",
"description": "malware detected - not mitigated yet",
"engines": [
"manual"
],
"fileContentHash": "fc5a9b5e806f35a7b285e012ef8df3f06f399492",
"fileCreatedDate": null,
"fileDisplayName": "example.exe",
"fileExtensionType": "Executable",
"fileIsDotNet": null,
"fileIsExecutable": true,
"fileIsSystem": false,
"fileMaliciousContent": null,
"fileObjectId": "99FF941D82E382D1",
"filePath": "\\Device\\HarddiskVolume3\\Program Files\\example.exe",
"fileSha256": null,
"fileVerificationType": "NotSigned",
"fromCloud": false,
"fromScan": false,
"id": "ID",
"indicators": [],
"initiatedBy": "dvCommand",
"initiatedByDescription": "Deep Visibility Command",
"initiatingUserId": "INITIATING_USER_ID",
"isCertValid": false,
"isInteractiveSession": false,
"isPartialStory": false,
"maliciousGroupId": "MALICED_GROUP_ID",
"maliciousProcessArguments": "-ServerName:App.Example.mca",
"markedAsBenign": false,
"mitigationMode": "protect",
"mitigationReport": {
"kill": {
"status": "success"
},
"network_quarantine": {
"status": null
},
"quarantine": {
"status": "success"
},
"remediate": {
"status": null
},
"rollback": {
"status": null
},
"unquarantine": {
"status": null
}
},
"mitigationStatus": "mitigated",
"publisher": "",
"rank": 2,
"resolved": true,
"siteId": "SITE_ID",
"siteName": "Example.com",
"threatAgentVersion": "3.6.6.104",
"threatName": "example.exe",
"updatedAt": "2020-04-02T14:51:21.901754Z",
"username": "DESKTOP-example\\username",
"whiteningOptions": [
"hash"
]
}
],
"pagination": {
"nextCursor": "VALUE",
"totalItems": 161
}
}
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.