Active Directory in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Active Directory in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 37.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
Anwendungsfälle
Die Active Directory-Integration kann Ihnen bei den folgenden Anwendungsfällen helfen:
Nutzer aktivieren und deaktivieren:Mit Google SecOps können Sie ein potenziell manipuliertes Nutzerkonto deaktivieren und weiteren unbefugten Zugriff verhindern.
Passwörter zurücksetzen:Nutzen Sie die Google SecOps-Funktionen, um das Nutzerpasswort in Active Directory automatisch zurückzusetzen und den Nutzer über die Änderung zu benachrichtigen.
Gruppen verwalten:Mit den Google SecOps-Funktionen können Sie neue Nutzer basierend auf ihrer Rolle den entsprechenden Sicherheitsgruppen hinzufügen und dafür sorgen, dass die Nutzer die richtigen Zugriffsberechtigungen haben.
Nutzerinformationen abrufen:Mit Google SecOps-Funktionen können Sie Nutzerdetails wie Gruppenmitgliedschaften, den Zeitpunkt der letzten Anmeldung und Kontaktinformationen zu einem bestimmten Nutzerkonto abrufen.
Offboarding automatisieren:Mit Google SecOps können Sie Konten deaktivieren, sie aus Gruppen entfernen und die Dateiinhaberschaft übertragen, wenn ein Mitarbeiter ausscheidet.
Hinweise
Damit Active Directory erfolgreich in Google SecOps eingebunden werden kann, müssen Sie die Datei /etc/hosts konfigurieren.
Wenn die DNS-Auflösung in Ihrer DNS-Konfiguration eingerichtet ist und Ihre Active Directory-Domain über den voll qualifizierten DNS-Namen aufgelöst wird, müssen Sie die Datei /etc/hosts nicht konfigurieren.
/etc/hosts-Datei konfigurieren
Führen Sie die folgenden Schritte aus, um die Datei /etc/hosts zu konfigurieren:
Rufen Sie in Ihrem Remote-Agent-Container-Image die Datei
/etc/hostsauf.Geben Sie den folgenden Befehl ein, um die Datei
/etc/hostszu bearbeiten:sudo vi /etc/hosts/.Fügen Sie in der Datei
/etc/hostsdie IP-Adresse und den Hostnamen des Hosts hinzu, den Sie zum Herstellen einer Verbindung zu Active Directory verwenden, z. B.192.0.2.195 hostname.example.Speichern Sie die Änderungen.
Wenn Sie das Zertifizierungsstellenzertifikat für die Integration nicht benötigen, fahren Sie mit der Konfiguration der Integrationsparameter fort.
Wenn Sie das Zertifikat der Zertifizierungsstelle für die Integration benötigen, fahren Sie mit dem nächsten Abschnitt fort.
Optional: CA-Zertifikat konfigurieren
Bei Bedarf können Sie die Active Directory-Integration mit einer Zertifizierungsstellen-Zertifikatsdatei konfigurieren.
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
Geben Sie den Befehl
cat mycert.crtein, um das Zertifikat der Zertifizierungsstelle abzurufen:bash-3.2# cat mycert.crt -----BEGIN CERTIFICATE----- CERTIFICATE_STRING -----END CERTIFICATE----- bash-3.2#Geben Sie den
cat mycert.crt |base64-Befehl ein, um die Datei des Stammzertifizierungsstellenzertifikats mit den Strings-----BEGIN CERTIFICATE-----und-----END CERTIFICATE-----in das Base64-Format zu codieren:bash-3.2# cat mycert.crt |base64 BASE64_ENCODED_CERTIFICATE_STRING bash-3.2#Kopieren Sie den Wert
BASE64_ENCODED_CERTIFICATE_STRINGund geben Sie ihn in das Feld für den ParameterwertCA Certificate File - parsed into Base64 Stringin der Konfiguration der Google SecOps Active Directory-Integration ein.Wenn Sie den Parameter
Serverfür die Konfiguration der Google SecOps Active Directory-Integration konfigurieren, geben Sie den Hostnamen Ihres Active Directory-Servers und nicht die IP-Adresse ein.Klicken Sie auf Testen, um die Konfiguration zu testen.
Integrationsparameter
Für die Active Directory-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Server |
Erforderlich. Der Hostname, DNS-Name oder die IP-Adresse des Active Directory-Servers. Die Integration kommuniziert über das LDAP-Protokoll. Sie können einen benutzerdefinierten Port verwenden, indem Sie ihn an die Adresse anhängen (z. B. Standardmäßig wird bei aktivierter SSL/TLS-Verschlüsselung Port 636 und bei deaktivierter SSL/TLS-Verschlüsselung Port 389 verwendet. |
Username |
Erforderlich. Die E-Mail-Adresse des Nutzers, der eine Verbindung zu Active Directory herstellen soll, z. B. Dieser Parameter akzeptiert auch das Attribut |
Domain |
Erforderlich. Der vollständige DNS-Pfad zu Ihrer Domain im Netzwerk-Namespace. Geben Sie zum Konfigurieren dieses Parameters den vollständig qualifizierten Domainnamen (FQDN) Ihrer Domain im folgenden Format ein: example.local ist, lautet der einzugebende FQDN example.local. Wenn Ihre interne Active Directory-Domain corp.example.com ist, lautet der einzugebende FQDN corp.example.com. |
Password |
Erforderlich. Das Passwort für das Nutzerkonto. |
Custom Query Fields |
Optional. Benutzerdefinierte Felder der Active Directory-Integration, z. B. |
CA Certificate File - parsed into Base64 String |
Optional. Der in das Base64-Format codierte CA-Zertifikatsdateistring, den Sie beim Konfigurieren des CA-Zertifikats erhalten haben. Geben Sie zum Konfigurieren dieses Parameters den vollständigen BASE64_ENCODED_CERTIFICATE_STRING-Wert ein. |
Use SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Active Directory-Server validiert. Bei Auswahl wird für die Integration das sichere LDAPS (Port 636) verwendet. Wenn nicht ausgewählt, wird Standard-LDAP (Port 389) verwendet. Diese Option ist standardmäßig nicht ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Nutzer zu Gruppe hinzufügen
Mit der Aktion Nutzer zu Gruppe hinzufügen können Sie Nutzer zu Gruppen hinzufügen.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Nutzer zur Gruppe hinzufügen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Group Name |
Erforderlich. Eine durch Kommas getrennte Liste der Gruppen, denen Nutzer hinzugefügt werden sollen. |
Aktionsausgaben
Die Aktion Nutzer zu Gruppe hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Nutzer der Gruppe hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add User to Group". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Nutzer der Gruppe hinzufügen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Host-OE ändern
Mit der Aktion Host-OE ändern können Sie die Organisationseinheit (OE) eines Hosts ändern.
Diese Aktion wird für die Google SecOps-Hostname-Entität ausgeführt.
Aktionseingaben
Für die Aktion Change Host OU sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
OU Name |
Erforderlich. Der Name der neuen Organisationseinheit für Nutzer. |
Aktionsausgaben
Die Aktion Host-Organisationseinheit ändern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Host OU (Organisationseinheit des Host ändern) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nutzer-OE ändern
Mit der Aktion Organisationseinheit des Nutzers ändern können Sie die Organisationseinheit eines Nutzers ändern.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Change User OU sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
OU Name |
Erforderlich. Der Name der neuen Organisationseinheit für Nutzer. |
Aktionsausgaben
Die Aktion Organisations-Einheit des Nutzers ändern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change User OU (Organisationseinheit des Nutzers ändern) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Konto deaktivieren
Verwenden Sie die Aktion Konto deaktivieren, um ein Nutzerkonto zu deaktivieren.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Konto deaktivieren gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Konto deaktivieren aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Computer deaktivieren
Verwenden Sie die Aktion Computer deaktivieren, um ein Computerkonto zu deaktivieren.
Diese Aktion wird für die Google SecOps-Hostname-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Computer deaktivieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Computer deaktivieren verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Konto aktivieren
Mit der Aktion Konto aktivieren können Sie ein Nutzerkonto aktivieren.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Enable Account (Konto aktivieren) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Konto aktivieren verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Computer aktivieren
Verwenden Sie die Aktion Computer aktivieren, um ein Computerkonto zu aktivieren.
Diese Aktion wird für die Google SecOps-Hostname-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Computer aktivieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Computer aktivieren aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entitäten anreichern
Verwenden Sie die Aktion Entitäten anreichern, um die Entitäten Hostname oder Username mit Active Directory-Properties anzureichern.
Diese Aktion ist asynchron. Passen Sie bei Bedarf den Zeitüberschreitungswert für das Script in der Google SecOps IDE für die Aktion an.
Die Aktion Enrich Entities wird für die folgenden Google SecOps-Entitäten ausgeführt:
UserHostname
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Mark entities as internal |
Erforderlich. Wenn diese Option ausgewählt ist, werden die erfolgreich angereicherten Entitäten automatisch als interne Entitäten gekennzeichnet. |
Specific Attribute Names To Enrich With |
Optional. Eine durch Kommas getrennte Liste von Attributnamen, mit denen die Einheiten angereichert werden sollen. Wenn Sie keinen Wert festlegen, werden Entitäten mit allen verfügbaren Attributen angereichert. Wenn ein Attribut mehrere Werte enthält, wird es durch die Aktion mit allen verfügbaren Werten angereichert. Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. |
Should Case Wall table be filtered by the specified
attributes? |
Optional. Wenn diese Option ausgewählt ist, werden in der Tabelle „Case Wall“ nur Attribute angezeigt, die Sie im Parameterwert Diese Option ist standardmäßig nicht ausgewählt. |
Should JSON result be filtered by the specified
attributes? |
Optional. Wenn diese Option ausgewählt ist, werden im JSON-Ergebnis nur Attribute zurückgegeben, die Sie im Parameterwert Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Enrich Entities unterstützt die folgenden Anreicherungen von Entitäten:
| Name des Anreicherungsfelds | Logik |
|---|---|
AD_primaryGroupID |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_logonCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_cn |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_countryCode |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectClass |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_userPrincipalName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_adminCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogonTimestamp |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_manager |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_instanceType |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_distinguishedName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_dSCorePropagationData |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_msDS-SupportedEncryptionTypes |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectSid |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_whenCreated |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_uSNCreated |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lockoutTime |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_badPasswordTime |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_pwdLastSet |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sAMAccountName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectCategory |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogon |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectGUID |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_whenChanged |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_badPwdCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_accountExpires |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_displayName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_name |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_memberOf |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_codePage |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_userAccountControl |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sAMAccountType |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_uSNChanged |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sn |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_givenName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogoff |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen wird:
[
{
"EntityResult": {
"primaryGroupID": [513],
"logonCount": [6505],
"cn": ["user name"],
"countryCode": [0],
"objectClass": ["top", "person", "organizationalPerson"],
"userPrincipalName": ["user@example.com"],
"adminCount": [1],
"lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
"manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
"instanceType": [4],
"distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
"dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
"msDS-SupportedEncryptionTypes": [0],
"objectSid": ["ID"],
"whenCreated": ["2011-11-07 08:00:44+00:00"],
"uSNCreated": [7288202],
"lockoutTime": ["1601-01-01 00:00:00+00:00"],
"badPasswordTime": ["date"],
"pwdLastSet": ["date"],
"sAMAccountName": ["example"],
"objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
"lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
"objectGUID": ["GUID"],
"whenChanged": ["2019-01-14 16:49:01+00:00"],
"badPwdCount": [1],
"accountExpires": ["9999-12-31 23:59:59.999999"],
"displayName": ["example user"],
"name": ["user"],
"memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
"codePage": [0],
"userAccountControl": [111],
"sAMAccountType": [805306368],
"uSNChanged": [15301168],
"sn": ["example"],
"givenName": ["user"],
"lastLogoff": ["1601-01-01 00:00:00+00:00"
]},
"Entity": "user@example.com"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Passwortaktualisierung erzwingen
Mit der Aktion Passwortaktualisierung erzwingen können Sie festlegen, dass ein Nutzer sein Passwort bei der nächsten Anmeldung ändern muss.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Force Password Update (Passwortaktualisierung erzwingen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Passwortaktualisierung erzwingen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Gruppenmitglieder abrufen
Verwenden Sie die Aktion Get Group Members (Gruppenmitglieder abrufen), um die Mitglieder einer angegebenen Active Directory-Gruppe abzurufen.
Diese Aktion unterstützt das Abrufen von Nutzer- und Hostnamenmitgliedern und die Suche in verschachtelten Gruppen.
Aktionseingaben
Für die Aktion Get Group Members (Gruppenmitglieder abrufen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Group Name |
Erforderlich. Der Name der Gruppe, die die aufgeführten Mitglieder enthält. |
Members Type |
Erforderlich. Der Mitgliedstyp der Gruppe. Der Standardwert ist |
Perform Nested Search |
Optional. Wenn diese Option ausgewählt ist, werden zusätzliche Details zu den Gruppen abgerufen, die Teil der Hauptgruppe sind. Diese Option ist standardmäßig nicht ausgewählt. |
Limit |
Erforderlich. Die maximale Anzahl der Einträge, die aus Active Directory abgerufen werden sollen. Der Standardwert ist 100. |
Aktionsausgaben
Die Aktion Get Group Members (Gruppenmitglieder abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get Group Members (Gruppenmitglieder abrufen) empfangen wird:
[
{
"cn":"Example User1",
"displayName":"Example User1",
"distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
},
{
"cn":"Example User2",
"displayName":"Example User2",
"distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
},
{
"cn":"Example User3",
"displayName":"Example User3",
"distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Group Members (Gruppenmitglieder abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Kontaktdaten des Managers abrufen
Verwenden Sie die Aktion Get Manager Contact Details (Kontaktdaten des Vorgesetzten abrufen), um die Kontaktdaten des Vorgesetzten aus Active Directory abzurufen.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Get Manager Contact Details (Kontaktdaten des Managers abrufen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Entitätsanreicherung
Die Aktion Get Manager Contact Details (Kontaktdaten des Managers abrufen) unterstützt die folgenden Entitätsanreicherungen:
| Name des Anreicherungsfelds | Logik |
|---|---|
AD_Manager_Name |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_Manager_phone |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_primaryGroupID |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_logonCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_cn |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_countryCode |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectClass |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_userPrincipalName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_adminCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogonTimestamp |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_manager |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_instanceType |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_distinguishedName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_dSCorePropagationData |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_msDS-SupportedEncryptionTypes |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectSid |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_whenCreated |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_uSNCreated |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lockoutTime |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_badPasswordTime |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_pwdLastSet |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sAMAccountName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectCategory |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogon |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_objectGUID |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_whenChanged |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_badPwdCount |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_accountExpires |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_displayName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_name |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_memberOf |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_codePage |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_userAccountControl |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sAMAccountType |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_uSNChanged |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_sn |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_givenName |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
AD_lastLogoff |
Die Aktion gibt den Wert zurück, sofern er im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Manager Contact Details (Kontaktdaten des Managers abrufen) empfangen wird:
[
{
"EntityResult":
{
"primaryGroupID": [513],
"logonCount": [6505],
"cn": ["user name"],
"countryCode": [0],
"objectClass": ["top", "person", "organizationalPerson"],
"userPrincipalName": ["user@example.com"],
"adminCount": [1],
"lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
"manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
"instanceType": [4],
"distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
"dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
"msDS-SupportedEncryptionTypes": [0],
"objectSid": ["ID"],
"whenCreated": ["2011-11-07 08:00:44+00:00"],
"uSNCreated": [7288202],
"lockoutTime": ["1601-01-01 00:00:00+00:00"],
"badPasswordTime": ["date"],
"pwdLastSet": ["date"],
"sAMAccountName": ["example"],
"objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
"lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
"objectGUID": ["{id}"],
"whenChanged": ["2019-01-14 16:49:01+00:00"],
"badPwdCount": [1],
"accountExpires": ["9999-12-31 23:59:59.999999"],
"displayName": ["example"],
"name": ["user"],
"memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4 u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
"codePage": [0],
"userAccountControl": [111],
"sAMAccountType": [805306368],
"uSNChanged": [15301168],
"sn": ["example"],
"givenName": ["user"],
"lastLogoff": ["1601-01-01 00:00:00+00:00"]
},
"Entity": "user@example.com"
}
]
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Manager Contact Details".
Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Manager Contact Details (Kontaktdaten des Managers abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ist Nutzer in Gruppe
Mit der Aktion Is User in Group (Ist Nutzer in Gruppe) können Sie prüfen, ob der Nutzer Mitglied einer bestimmten Gruppe ist.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Nutzer ist Mitglied der Gruppe sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Group Name |
Erforderlich. Der Name der Gruppe, die geprüft werden soll, z. B. |
Aktionsausgaben
Die Aktion Is User in Group (Nutzer ist in Gruppe) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Nutzer ist Mitglied der Gruppe empfangen wird:
[
{
"EntityResult": true,
"Entity": "USER1@EXAMPLE.COM"
}, {
"EntityResult": false,
"Entity": "USER2@EXAMPLE.COM"
}, {
"EntityResult": true,
"Entity": "USER3@EXAMPLE.COM"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Is User in Group (Ist Nutzer in Gruppe) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nutzergruppen auflisten
Mit der Aktion List User Groups (Nutzergruppen auflisten) können Sie eine Liste aller in Active Directory verfügbaren Nutzergruppen abrufen.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Nutzergruppen auflisten gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Nutzergruppen auflisten empfangen wird:
[
{
"EntityResult": ["Domain Users"],
"Entity": "user@example.com"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Nutzergruppen auflisten verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Active Directory zu testen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Gesperrtes Konto freigeben
Mit der Aktion Gesperrtes Konto entsperren können Sie ein gesperrtes Konto entsperren.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Release Locked Account (Gesperrtes Konto entsperren) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Release Locked Account verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nutzer aus Gruppe entfernen
Verwenden Sie die Aktion Nutzer aus Gruppe entfernen, um den Nutzer aus Gruppen zu entfernen.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Nutzer aus Gruppe entfernen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Group Name |
Erforderlich. Eine durch Kommas getrennte Liste der Gruppen, aus denen die Nutzer entfernt werden sollen. |
Aktionsausgaben
Die Aktion Nutzer aus Gruppe entfernen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Nutzer aus Gruppe entfernen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Remove User From Group". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Nutzer aus Gruppe entfernen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Active Directory durchsuchen
Mit der Aktion Active Directory durchsuchen können Sie Active Directory anhand einer angegebenen Abfrage durchsuchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Active Directory durchsuchen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query String |
Erforderlich. Der Abfragestring, der in Active Directory ausgeführt werden soll. |
Limit |
Optional. Die maximale Anzahl der Einträge, die aus Active Directory abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Active Directory durchsuchen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Active Directory durchsuchen empfangen wird:
[
{
"primaryGroupID": [
513
],
"logonCount": [
6505
],
"cn": [
"user name"
],
"countryCode": [
0
],
"objectClass": [
"top",
"person",
"organizationalPerson"
],
"userPrincipalName": [
"user@example.com"
],
"adminCount": [
1
],
"lastLogonTimestamp": [
"2019-01-09 08:42:03.540783+00:00"
],
"manager": [
"CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
],
"instanceType": [
4
],
"distinguishedName": [
"CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
],
"dSCorePropagationData": [
"2019-01-14 14:39:16+00:00"
],
"msDS-SupportedEncryptionTypes": [
0
],
"objectSid": [
"ID"
],
"whenCreated": [
"2011-11-07 08:00:44+00:00"
],
"uSNCreated": [
7288202
],
"lockoutTime": [
"1601-01-01 00:00:00+00:00"
],
"badPasswordTime": [
"date"
],
"pwdLastSet": [
"date"
],
"sAMAccountName": [
"example"
],
"objectCategory": [
"CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
],
"lastLogon": [
"2019-01-14 17:13:54.463070+00:00"
],
"objectGUID": [
"GUID"
],
"whenChanged": [
"2019-01-14 16:49:01+00:00"
],
"badPwdCount": [
1
],
"accountExpires": [
"9999-12-31 23:59:59.999999"
],
"displayName": [
"example"
],
"name": [
"user"
],
"memberOf": [
"CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
"CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
"CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
],
"codePage": [
0
],
"userAccountControl": [
111
],
"sAMAccountType": [
805306368
],
"uSNChanged": [
15301168
],
"sn": [
"example"
],
"givenName": [
"user"
],
"lastLogoff": [
"1601-01-01 00:00:00+00:00"
]
}
]
Ausgabemeldungen
Die Aktion Active Directory durchsuchen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search Active Directory". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Active Directory durchsuchen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Nutzerpasswort festlegen
Verwenden Sie die Aktion Nutzerpasswort festlegen, um das Nutzerpasswort zu konfigurieren.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Nutzerpasswort festlegen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
New Password |
Erforderlich. Ein neuer Passwortwert. |
Aktionsausgaben
Die Aktion Nutzerpasswort festlegen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Scriptergebnis | Verfügbar |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Nutzerpasswort festlegen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Attribute eines AD-Hosts aktualisieren
Mit der Aktion Attribute eines AD-Hosts aktualisieren können Sie die Attribute für die aktuellen Hosts in Active Directory aktualisieren.
Diese Aktion wird für die Google SecOps-Hostname-Entität ausgeführt.
Aktionseingaben
Für die Aktion Attribute eines AD-Hosts aktualisieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Attribute Name |
Erforderlich. Der Name des zu aktualisierenden Attributs, z. B. |
Attribute Value |
Erforderlich. Ein neuer Wert für das Attribut. |
Aktionsausgaben
Die Aktion Attribute eines AD-Hosts aktualisieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Attribute eines AD-Hosts aktualisieren kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Failed to update the
ATTRIBUTE_NAME for the following
entities: ENTITY_ID_LIST.
|
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Attribute eines AD-Hosts aktualisieren verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Attribute eines AD-Nutzers aktualisieren
Mit der Aktion Attribute eines AD-Nutzers aktualisieren können Sie die Attribute für die aktuellen Nutzer in Active Directory aktualisieren.
Diese Aktion wird für die Google SecOps-User-Entität ausgeführt.
Aktionseingaben
Für die Aktion Attribute eines AD-Nutzers aktualisieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Attribute Name |
Erforderlich. Der Name des zu aktualisierenden Attributs, z. B. |
Attribute Value |
Erforderlich. Ein neuer Wert für das Attribut. |
Aktionsausgaben
Die Aktion Attribute eines AD-Nutzers aktualisieren bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Attribute eines AD-Nutzers aktualisieren kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Failed to update the
ATTRIBUTE_NAME for the following
entities: ENTITY_ID_LIST.
|
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Attribute eines AD-Nutzers aktualisieren verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten