Integrar Active Directory con Google SecOps

En este documento se explica cómo integrar Active Directory con Google Security Operations (Google SecOps).

Versión de integración: 37.0

Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el segmento de Cloud Storage.

Casos prácticos

La integración de Active Directory puede ayudarte a resolver los siguientes casos prácticos:

  • Activar y desactivar usuarios: usa las funciones de Google SecOps para desactivar una cuenta de usuario que pueda estar en riesgo y evitar que se produzcan más accesos no autorizados.

  • Restablecer contraseñas: usa las funciones de SecOps de Google para restablecer automáticamente la contraseña del usuario en Active Directory y notificarle el cambio.

  • Gestionar grupos: usa las funciones de SecOps de Google para añadir nuevos usuarios a los grupos de seguridad adecuados en función de su rol y asegúrate de que tengan los permisos de acceso correctos.

  • Recuperar información del usuario: usa las funciones de Google SecOps para recuperar detalles del usuario, como las pertenencias a grupos, la hora del último inicio de sesión y la información de contacto de una cuenta de usuario específica.

  • Automatizar la baja: usa las funciones de Google SecOps para inhabilitar cuentas, eliminarlas de grupos y transferir la propiedad de los archivos cuando un empleado se vaya.

Antes de empezar

Para integrar correctamente Active Directory con Google SecOps, debes configurar el archivo /etc/hosts.

Si has configurado la resolución de DNS con tu configuración de DNS y tu dominio de Active Directory se resuelve mediante el nombre de DNS completo, no tienes que configurar el archivo /etc/hosts.

Configurar el archivo /etc/hosts

Para configurar el archivo /etc/hosts, sigue estos pasos:

  1. En la imagen de tu contenedor de agentes remoto, ve al archivo /etc/hosts.

  2. Introduce el siguiente comando para editar el archivo /etc/hosts: sudo vi /etc/hosts/.

  3. En el archivo /etc/hosts, añade la dirección IP y el nombre de host del host que usas para conectarte a Active Directory, como 192.0.2.195 hostname.example.

  4. Guarda los cambios.

Si no necesitas el certificado de la autoridad de certificación para la integración, ve a la configuración de los parámetros de integración.

Si necesitas el certificado de la autoridad de certificación para la integración, ve a la sección siguiente.

Opcional: Configurar el certificado de la autoridad de certificación (CA)

Si es necesario, puedes configurar la integración de Active Directory mediante un archivo de certificado de autoridad de certificación (CA).

Para configurar la integración con un certificado de CA, sigue estos pasos:

  1. Para obtener el certificado de CA, introduce el comando cat mycert.crt:

    bash-3.2# cat mycert.crt
-----BEGIN CERTIFICATE-----
CERTIFICATE_STRING
-----END CERTIFICATE-----
bash-3.2#

  2. Para codificar el archivo del certificado de la AC raíz en formato base64 con las cadenas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, introduce el comando cat mycert.crt |base64:

    bash-3.2# cat mycert.crt |base64
BASE64_ENCODED_CERTIFICATE_STRING
bash-3.2#

  3. Copia el valor de BASE64_ENCODED_CERTIFICATE_STRING CA Certificate File - parsed into Base64 String e introdúcelo en el campo de valor del parámetro de la configuración de integración de Google SecOps Active Directory.

  4. Para configurar el parámetro Server de la configuración de integración de Google SecOps Active Directory, introduce el nombre de host de tu servidor de Active Directory, no la dirección IP.

  5. Haz clic en Probar para probar la configuración.

Integrar Active Directory con Google SecOps

La integración de Active Directory requiere los siguientes parámetros:

Parámetro Descripción
Server

Obligatorio.

La dirección IP o el nombre de host del servidor de Active Directory.

Este parámetro también acepta nombres de DNS en lugar de direcciones IP.

Este parámetro no admite puertos personalizados.
Username

Obligatorio.

La dirección de correo del usuario para conectarse a Active Directory, como user@example.com.

Este parámetro también acepta el atributo userPrincipalName.
Domain

Obligatorio.

La ruta DNS completa a tu dominio en el espacio de nombres de la red.

Para configurar este parámetro, introduce el nombre de dominio completo (FQDN) de tu dominio con el siguiente formato: SUBDOMAIN.ROOT_DOMAIN.

Por ejemplo, si tu dominio interno de Active Directory es example.local, el nombre de dominio completo que debes introducir es example.local. Si tu dominio interno de Active Directory es corp.example.com, el nombre de dominio completo que debes introducir es corp.example.com.
Password

Obligatorio.

La contraseña de la cuenta de usuario.
Custom Query Fields

Opcional.

Campos personalizados de la integración de Active Directory, como customField1, customField2.
CA Certificate File - parsed into Base64 String

Opcional.

La cadena del archivo de certificado de la AC codificada en formato base64 que has obtenido al configurar el certificado de la AC. Para configurar este parámetro, introduzca el valor BASE64_ENCODED_CERTIFICATE_STRING completo.
Use SSL

Opcional.

Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de Active Directory.

No está seleccionada de forma predeterminada.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Añadir usuario a un grupo

Usa la acción Añadir usuario al grupo para añadir usuarios a grupos.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción Añadir usuario al grupo requiere los siguientes parámetros:

Parámetro Descripción
Group Name

Obligatorio.

Lista separada por comas de los grupos a los que se añadirán los usuarios.

Resultados de la acción

La acción Añadir usuario al grupo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir usuario al grupo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

 La acción se ha realizado correctamente.
Error executing action "Add User to Group". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir usuario al grupo:

Nombre del resultado del script Valor
is_success True o False

Cambiar la UO del host

Usa la acción Cambiar unidad organizativa del host para cambiar la unidad organizativa (UO) de un host.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acciones

La acción Cambiar unidad organizativa de host requiere los siguientes parámetros:

Parámetro Descripción
OU Name

Obligatorio.

El nombre de la nueva unidad organizativa de usuario.

Resultados de la acción

La acción Cambiar unidad organizativa de host proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Cambiar unidad organizativa del host:

Nombre del resultado del script Valor
is_success True o False

Cambiar la UO de un usuario

Usa la acción Cambiar unidad organizativa de usuario para cambiar la unidad organizativa (UO) de un usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción Cambiar unidad organizativa de usuario requiere los siguientes parámetros:

Parámetro Descripción
OU Name

Obligatorio.

El nombre de la nueva unidad organizativa de usuario.

Resultados de la acción

La acción Cambiar unidad organizativa de usuario proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Cambiar unidad organizativa del usuario:

Nombre del resultado del script Valor
is_success True o False

Inhabilitar cuenta

Usa la acción Inhabilitar cuenta para inhabilitar una cuenta de usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Inhabilitar cuenta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Deshabilitar cuenta:

Nombre del resultado del script Valor
is_success True o False

Inhabilitar ordenador

Usa la acción Inhabilitar ordenador para inhabilitar una cuenta de ordenador.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Inhabilitar ordenador proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Inhabilitar ordenador:

Nombre del resultado del script Valor
is_success True o False

Habilitar cuenta

Usa la acción Habilitar cuenta para habilitar una cuenta de usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Habilitar cuenta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Habilitar cuenta:

Nombre del resultado del script Valor
is_success True o False

Habilitar ordenador

Usa la acción Habilitar ordenador para habilitar una cuenta de ordenador.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Habilitar ordenador proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Habilitar ordenador:

Nombre del resultado del script Valor
is_success True o False

Enriquecer entidades

Usa la acción Enrich Entities (Enriquecer entidades) para enriquecer las entidades Hostname o Username con propiedades de Active Directory.

Esta acción es asíncrona. Si es necesario, ajusta el valor de tiempo de espera de la secuencia de comandos en el IDE de Google SecOps para la acción.

La acción Enrich Entities se ejecuta en las siguientes entidades de Google SecOps:

  • User
  • Hostname

Entradas de acciones

La acción Enrich Entities requiere los siguientes parámetros:

Parámetro Descripción
Mark entities as internal

Obligatorio.

Si se selecciona esta opción, la acción marca automáticamente las entidades enriquecidas correctamente como entidades internas.
Specific Attribute Names To Enrich With

Opcional.

Lista de nombres de atributos separados por comas para enriquecer las entidades.

Si no define ningún valor, la acción enriquecerá las entidades con todos los atributos disponibles. Si un atributo contiene varios valores, la acción lo enriquece con todos los valores disponibles.

Este parámetro distingue entre mayúsculas y minúsculas.
Should Case Wall table be filtered by the specified attributes?

Opcional.

Si se selecciona esta opción, la acción rellena la tabla de la cronología del caso solo con los atributos que haya especificado en el valor del parámetro Specific Attribute Names To Enrich With.

No está seleccionada de forma predeterminada.
Should JSON result be filtered by the specified attributes?

Opcional.

Si se selecciona esta opción, el resultado JSON solo devolverá los atributos que haya especificado en el valor del parámetro Specific Attribute Names To Enrich With.

No está seleccionada de forma predeterminada.

Resultados de la acción

La acción Enriquecer entidades proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Enriquecimiento de entidades

La acción Enriquecer entidades admite el siguiente enriquecimiento de entidades:

Nombre del campo de enriquecimiento Lógica
AD_primaryGroupID La acción devuelve el valor si existe en el resultado JSON.
AD_logonCount La acción devuelve el valor si existe en el resultado JSON.
AD_cn La acción devuelve el valor si existe en el resultado JSON.
AD_countryCode La acción devuelve el valor si existe en el resultado JSON.
AD_objectClass La acción devuelve el valor si existe en el resultado JSON.
AD_userPrincipalName La acción devuelve el valor si existe en el resultado JSON.
AD_adminCount La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogonTimestamp La acción devuelve el valor si existe en el resultado JSON.
AD_manager La acción devuelve el valor si existe en el resultado JSON.
AD_instanceType La acción devuelve el valor si existe en el resultado JSON.
AD_distinguishedName La acción devuelve el valor si existe en el resultado JSON.
AD_dSCorePropagationData La acción devuelve el valor si existe en el resultado JSON.
AD_msDS-SupportedEncryptionTypes La acción devuelve el valor si existe en el resultado JSON.
AD_objectSid La acción devuelve el valor si existe en el resultado JSON.
AD_whenCreated La acción devuelve el valor si existe en el resultado JSON.
AD_uSNCreated La acción devuelve el valor si existe en el resultado JSON.
AD_lockoutTime La acción devuelve el valor si existe en el resultado JSON.
AD_badPasswordTime La acción devuelve el valor si existe en el resultado JSON.
AD_pwdLastSet La acción devuelve el valor si existe en el resultado JSON.
AD_sAMAccountName La acción devuelve el valor si existe en el resultado JSON.
AD_objectCategory La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogon La acción devuelve el valor si existe en el resultado JSON.
AD_objectGUID La acción devuelve el valor si existe en el resultado JSON.
AD_whenChanged La acción devuelve el valor si existe en el resultado JSON.
AD_badPwdCount La acción devuelve el valor si existe en el resultado JSON.
AD_accountExpires La acción devuelve el valor si existe en el resultado JSON.
AD_displayName La acción devuelve el valor si existe en el resultado JSON.
AD_name La acción devuelve el valor si existe en el resultado JSON.
AD_memberOf La acción devuelve el valor si existe en el resultado JSON.
AD_codePage La acción devuelve el valor si existe en el resultado JSON.
AD_userAccountControl La acción devuelve el valor si existe en el resultado JSON.
AD_sAMAccountType La acción devuelve el valor si existe en el resultado JSON.
AD_uSNChanged La acción devuelve el valor si existe en el resultado JSON.
AD_sn La acción devuelve el valor si existe en el resultado JSON.
AD_givenName La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogoff La acción devuelve el valor si existe en el resultado JSON.
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Enrich Entities (Enriquecer entidades):

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:

Nombre del resultado del script Valor
is_success True o False

Forzar la actualización de la contraseña

Usa la acción Forzar actualización de contraseña para obligar a un usuario a cambiar su contraseña la próxima vez que inicie sesión.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Forzar actualización de contraseña proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Forzar actualización de contraseña:

Nombre del resultado del script Valor
is_success True o False

Obtener miembros del grupo

Usa la acción Obtener miembros del grupo para recuperar los miembros de un grupo de Active Directory específico.

Esta acción permite recuperar tanto los miembros de usuario como los de nombre de host, así como buscar en grupos anidados.

Entradas de acciones

La acción Obtener miembros del grupo requiere los siguientes parámetros:

Parámetro Descripción
Group Name

Obligatorio.

El nombre del grupo que contiene los miembros indicados.
Members Type

Obligatorio.

El tipo de miembro del grupo.

El valor predeterminado es User.
Perform Nested Search

Opcional.

Si se selecciona, la acción obtiene detalles adicionales sobre los grupos que forman parte del grupo principal.

No está seleccionada de forma predeterminada.
Limit

Obligatorio.

Número máximo de fichas que se pueden recuperar de Active Directory.

El valor predeterminado es 100.

Resultados de la acción

La acción Obtener miembros del grupo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el ejemplo siguiente se muestra la salida de resultados JSON recibida al usar la acción Get Group Members (Obtener miembros del grupo):

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener miembros del grupo:

Nombre del resultado del script Valor
is_success True o False

Obtener los datos de contacto del administrador

Usa la acción Obtener detalles de contacto del gestor para obtener los detalles de contacto del gestor de Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Obtener detalles de contacto del administrador proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Enriquecimiento de entidades

La acción Obtener datos de contacto del administrador admite el siguiente enriquecimiento de entidades:

Nombre del campo de enriquecimiento Lógica
AD_Manager_Name La acción devuelve el valor si existe en el resultado JSON.
AD_Manager_phone La acción devuelve el valor si existe en el resultado JSON.
AD_primaryGroupID La acción devuelve el valor si existe en el resultado JSON.
AD_logonCount La acción devuelve el valor si existe en el resultado JSON.
AD_cn La acción devuelve el valor si existe en el resultado JSON.
AD_countryCode La acción devuelve el valor si existe en el resultado JSON.
AD_objectClass La acción devuelve el valor si existe en el resultado JSON.
AD_userPrincipalName La acción devuelve el valor si existe en el resultado JSON.
AD_adminCount La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogonTimestamp La acción devuelve el valor si existe en el resultado JSON.
AD_manager La acción devuelve el valor si existe en el resultado JSON.
AD_instanceType La acción devuelve el valor si existe en el resultado JSON.
AD_distinguishedName La acción devuelve el valor si existe en el resultado JSON.
AD_dSCorePropagationData La acción devuelve el valor si existe en el resultado JSON.
AD_msDS-SupportedEncryptionTypes La acción devuelve el valor si existe en el resultado JSON.
AD_objectSid La acción devuelve el valor si existe en el resultado JSON.
AD_whenCreated La acción devuelve el valor si existe en el resultado JSON.
AD_uSNCreated La acción devuelve el valor si existe en el resultado JSON.
AD_lockoutTime La acción devuelve el valor si existe en el resultado JSON.
AD_badPasswordTime La acción devuelve el valor si existe en el resultado JSON.
AD_pwdLastSet La acción devuelve el valor si existe en el resultado JSON.
AD_sAMAccountName La acción devuelve el valor si existe en el resultado JSON.
AD_objectCategory La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogon La acción devuelve el valor si existe en el resultado JSON.
AD_objectGUID La acción devuelve el valor si existe en el resultado JSON.
AD_whenChanged La acción devuelve el valor si existe en el resultado JSON.
AD_badPwdCount La acción devuelve el valor si existe en el resultado JSON.
AD_accountExpires La acción devuelve el valor si existe en el resultado JSON.
AD_displayName La acción devuelve el valor si existe en el resultado JSON.
AD_name La acción devuelve el valor si existe en el resultado JSON.
AD_memberOf La acción devuelve el valor si existe en el resultado JSON.
AD_codePage La acción devuelve el valor si existe en el resultado JSON.
AD_userAccountControl La acción devuelve el valor si existe en el resultado JSON.
AD_sAMAccountType La acción devuelve el valor si existe en el resultado JSON.
AD_uSNChanged La acción devuelve el valor si existe en el resultado JSON.
AD_sn La acción devuelve el valor si existe en el resultado JSON.
AD_givenName La acción devuelve el valor si existe en el resultado JSON.
AD_lastLogoff La acción devuelve el valor si existe en el resultado JSON.
Resultado de JSON

En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Get Manager Contact Details (Obtener detalles de contacto del gestor):

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

 La acción se ha realizado correctamente.
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles de contacto del gestor:

Nombre del resultado del script Valor
is_success True o False

¿El usuario pertenece al grupo?

Usa la acción ¿El usuario pertenece al grupo? para comprobar si el usuario es miembro de un grupo específico.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción ¿El usuario pertenece al grupo? requiere los siguientes parámetros:

Parámetro Descripción
Group Name

Obligatorio.

Nombre del grupo que se va a comprobar, como administrators.

Resultados de la acción

La acción ¿El usuario pertenece al grupo? proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Is User in Group (¿El usuario pertenece al grupo?).

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción ¿El usuario pertenece al grupo?:

Nombre del resultado del script Valor
is_success True o False

List User Groups

Usa la acción List User Groups (Listar grupos de usuarios) para obtener una lista de todos los grupos de usuarios disponibles en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción List User Groups (Mostrar grupos de usuarios) proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción List User Groups (Listar grupos de usuarios):

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List User Groups (Mostrar grupos de usuarios):

Nombre del resultado del script Valor
is_success True o False

Ping

Usa la acción Ping para probar la conectividad con Active Directory.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
is_success True o False

Quitar retenciones de la cuenta bloqueada

Usa la acción Desbloquear cuenta para desbloquear una cuenta bloqueada.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Desbloquear cuenta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Desbloquear cuenta:

Nombre del resultado del script Valor
is_success True o False

Remove User From Group

Usa la acción Quitar usuario del grupo para quitar al usuario de los grupos.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción Quitar usuario del grupo requiere los siguientes parámetros:

Parámetro Descripción
Group Name

Obligatorio.

Lista separada por comas de los grupos de los que se van a quitar los usuarios.

Resultados de la acción

La acción Quitar usuario del grupo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Quitar usuario del grupo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

 La acción se ha realizado correctamente.
Error executing action "Remove User From Group". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Quitar usuario del grupo:

Nombre del resultado del script Valor
is_success True o False

Buscar en Active Directory

Usa la acción Buscar en Active Directory para buscar en Active Directory con una consulta específica.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Buscar en Active Directory requiere los siguientes parámetros:

Parámetro Descripción
Query String

Obligatorio.

Cadena de consulta que se va a ejecutar en Active Directory.
Limit

Opcional.

Número máximo de fichas que se pueden recuperar de Active Directory.

Resultados de la acción

La acción Buscar en Active Directory proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar en Active Directory:

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
Mensajes de salida

La acción Buscar en Active Directory puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

 La acción se ha realizado correctamente.
Error executing action "Search Active Directory". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Buscar en Active Directory:

Nombre del resultado del script Valor
is_success True o False

Definir contraseña de usuario

Usa la acción Establecer contraseña de usuario para configurar la contraseña del usuario.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción Definir contraseña de usuario requiere los siguientes parámetros:

Parámetro Descripción
New Password

Obligatorio.

Un nuevo valor de contraseña.

Resultados de la acción

La acción Definir contraseña de usuario proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Resultado de la secuencia de comandos Disponible
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Definir contraseña de usuario:

Nombre del resultado del script Valor
is_success True o False

Actualizar los atributos de un host de AD

Usa la acción Actualizar atributos de un host de AD para actualizar los atributos de los hosts actuales en Active Directory.

Esta acción se ejecuta en la entidad Hostname de Google SecOps.

Entradas de acciones

La acción Actualizar atributos de un host de AD requiere los siguientes parámetros:

Parámetro Descripción
Attribute Name

Obligatorio.

El nombre del atributo que se va a actualizar, como Description.
Attribute Value

Obligatorio.

Un nuevo valor para el atributo.

Resultados de la acción

La acción Actualizar atributos de un host de AD proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Actualizar atributos de un host de AD puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 La acción se ha realizado correctamente.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Actualizar atributos de un host de AD:

Nombre del resultado del script Valor
is_success True o False

Actualizar los atributos de un usuario de AD

Usa la acción Actualizar atributos de un usuario de AD para actualizar los atributos de los usuarios actuales en Active Directory.

Esta acción se ejecuta en la entidad User de Google SecOps.

Entradas de acciones

La acción Actualizar atributos de un usuario de AD requiere los siguientes parámetros:

Parámetro Descripción
Attribute Name

Obligatorio.

El nombre del atributo que se va a actualizar, como Description.
Attribute Value

Obligatorio.

Un nuevo valor para el atributo.

Resultados de la acción

La acción Actualizar atributos de un usuario de AD proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Actualizar atributos de un usuario de AD puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 La acción se ha realizado correctamente.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Actualizar atributos de un usuario de AD:

Nombre del resultado del script Valor
is_success True o False

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.