SentinelOne Automation with FortiSOAR playbook
Kaasik, Martin (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022052010780
https://urn.fi/URN:NBN:fi:amk-2022052010780
Tiivistelmä
Tämä opinnäytetyö tehtiin Loihde Trustin toimeksiannosta, ja sen tavoitteena oli luoda Security,
Orchestration, Automation, Response (SOAR) -pelikirja avulla automaatio SentinelOne agenttien päivityksiä
varten. Ennen automatisointia ratkaistavana ongelmana oli luoda prosessi, joka ei edellyttäisi
kommunikointia asiakkaan kanssa että olisi lupa päivittää, ellei ongelmaa ilmene.
Tämän opinnäytetyön teoriaosuudessa esitellään, mikä on Security Operations Center (SOC), sen rakenne,
kuvaus sen toiminnasta ja sen käyttämistä työkaluista. Työkalut, joihin keskitytään tarkemmin, ovat SOAR,
SOAR playbook, SOAR connector ja SentinelOne, koska näitä työkaluja käytetään tämän opinnäytetyön
tehtävien toteuttamiseen.
Toteutus käsittelee SOAR-pelikirjan luomista, joka päivittää SentinelOne-agentteja syötetyn tiedon
perusteella. Käytettävät muuttujat luetellaan ja pelikirjan luominen selitetään vaihe vaiheelta. Luvussa 6
tarkistetaan pelikirjan toimivuus testiympäristössä olevilla väliaikaisilla työasemilla.
Johtopäätöksissä tarkastellaan automaation etuja ja haittoja sekä syitä, miksi automaatio on tärkeä
tietoteknikkassa. Johtopäätöksien jälkeen seuraa kommenti osuus jossa käsitellään henkilökohtaisia
ajatuksia tämän opinnäytetyön tuloksista ja ilmenneistä ongelmista. This thesis was commissioned by Loihde Trust and the goal was to create an automation script for SentinelOne agent updates through Security, Orchestration, Automation, Response (SOAR) playbook. Problems
to solve before automation was to create a process that would not require communication and get permission to update from the customer unless a problem arises.
In the theory section of this thesis, there will be an introduction to what is Security Operations Center
(SOC), its structure, a description of what they do and about tools they use. The tools that are more focused on will be SOAR, SOAR playbook, SOAR connector and SentinelOne as these are the tools used to
implement the task of this thesis.
Implementation Chapter 5 is about creating a SOAR playbook which will update SentinelOne agents according to variables that are used. Variables used are listed and the creation of the playbook is explained step
by step. In Chapter 6 the playbook’s functionality will be checked on temporary workstations in the test
environment.
The conclusion section examines the advantages and disadvantages of automation, as well as the reasons
why automation is important in Informational Technology (IT). The section is followed by a Discussion
which is about personal thoughts about the results of this thesis and about the problems that occurred.
Orchestration, Automation, Response (SOAR) -pelikirja avulla automaatio SentinelOne agenttien päivityksiä
varten. Ennen automatisointia ratkaistavana ongelmana oli luoda prosessi, joka ei edellyttäisi
kommunikointia asiakkaan kanssa että olisi lupa päivittää, ellei ongelmaa ilmene.
Tämän opinnäytetyön teoriaosuudessa esitellään, mikä on Security Operations Center (SOC), sen rakenne,
kuvaus sen toiminnasta ja sen käyttämistä työkaluista. Työkalut, joihin keskitytään tarkemmin, ovat SOAR,
SOAR playbook, SOAR connector ja SentinelOne, koska näitä työkaluja käytetään tämän opinnäytetyön
tehtävien toteuttamiseen.
Toteutus käsittelee SOAR-pelikirjan luomista, joka päivittää SentinelOne-agentteja syötetyn tiedon
perusteella. Käytettävät muuttujat luetellaan ja pelikirjan luominen selitetään vaihe vaiheelta. Luvussa 6
tarkistetaan pelikirjan toimivuus testiympäristössä olevilla väliaikaisilla työasemilla.
Johtopäätöksissä tarkastellaan automaation etuja ja haittoja sekä syitä, miksi automaatio on tärkeä
tietoteknikkassa. Johtopäätöksien jälkeen seuraa kommenti osuus jossa käsitellään henkilökohtaisia
ajatuksia tämän opinnäytetyön tuloksista ja ilmenneistä ongelmista.
to solve before automation was to create a process that would not require communication and get permission to update from the customer unless a problem arises.
In the theory section of this thesis, there will be an introduction to what is Security Operations Center
(SOC), its structure, a description of what they do and about tools they use. The tools that are more focused on will be SOAR, SOAR playbook, SOAR connector and SentinelOne as these are the tools used to
implement the task of this thesis.
Implementation Chapter 5 is about creating a SOAR playbook which will update SentinelOne agents according to variables that are used. Variables used are listed and the creation of the playbook is explained step
by step. In Chapter 6 the playbook’s functionality will be checked on temporary workstations in the test
environment.
The conclusion section examines the advantages and disadvantages of automation, as well as the reasons
why automation is important in Informational Technology (IT). The section is followed by a Discussion
which is about personal thoughts about the results of this thesis and about the problems that occurred.