Intégrer Active Directory à Google SecOps

Ce document explique comment intégrer Active Directory à Google Security Operations (Google SecOps).

Version de l'intégration : 37.0

Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie compressée du code source complet de cette intégration à partir du bucket Cloud Storage.

Cas d'utilisation

L'intégration d'Active Directory peut vous aider à résoudre les cas d'utilisation suivants :

  • Activer et désactiver des utilisateurs : utilisez les fonctionnalités Google SecOps pour désactiver un compte utilisateur potentiellement piraté et empêcher tout accès non autorisé supplémentaire.

  • Réinitialiser les mots de passe : utilisez les fonctionnalités Google SecOps pour réinitialiser automatiquement le mot de passe de l'utilisateur dans Active Directory et l'informer de la modification.

  • Gérez les groupes : utilisez les fonctionnalités Google SecOps pour ajouter de nouveaux utilisateurs aux groupes de sécurité appropriés en fonction de leur rôle et assurez-vous qu'ils disposent des autorisations d'accès appropriées.

  • Récupérer les informations utilisateur : utilisez les fonctionnalités Google SecOps pour récupérer les informations utilisateur, telles que les appartenances à des groupes, la dernière heure de connexion et les coordonnées d'un compte utilisateur spécifique.

  • Automatisez le départ des employés : utilisez les fonctionnalités Google SecOps pour désactiver les comptes, les supprimer des groupes et transférer la propriété des fichiers lorsqu'un employé quitte l'entreprise.

Avant de commencer

Pour intégrer Active Directory à Google SecOps, vous devez configurer le fichier /etc/hosts.

Si vous avez configuré la résolution DNS avec votre configuration DNS et que votre domaine Active Directory est résolu par le nom DNS complet, vous n'avez pas besoin de configurer le fichier /etc/hosts.

Configurer le fichier /etc/hosts

Pour configurer le fichier /etc/hosts, procédez comme suit :

  1. Sur l'image de conteneur de votre agent à distance, accédez au fichier /etc/hosts.

  2. Saisissez la commande suivante pour modifier le fichier /etc/hosts : sudo vi /etc/hosts/.

  3. Dans le fichier /etc/hosts, ajoutez l'adresse IP et le nom d'hôte de l'hôte que vous utilisez pour vous connecter à Active Directory, par exemple 192.0.2.195 hostname.example.

  4. Enregistrez les modifications.

Si vous n'avez pas besoin du certificat de l'autorité de certification pour l'intégration, passez à la configuration des paramètres d'intégration.

Si vous avez besoin du certificat de l'autorité de certification pour l'intégration, passez à la section suivante.

Facultatif : Configurer le certificat de l'autorité de certification (CA)

Si nécessaire, vous pouvez configurer l'intégration Active Directory à l'aide d'un fichier de certificat d'autorité de certification (CA).

Pour configurer l'intégration avec un certificat d'autorité de certification, procédez comme suit :

  1. Pour obtenir le certificat de l'autorité de certification, saisissez la commande cat mycert.crt :

    bash-3.2# cat mycert.crt
-----BEGIN CERTIFICATE-----
CERTIFICATE_STRING
-----END CERTIFICATE-----
bash-3.2#

  2. Pour encoder le fichier de certificat CA racine au format base64 avec les chaînes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, saisissez la commande cat mycert.crt |base64 :

    bash-3.2# cat mycert.crt |base64
BASE64_ENCODED_CERTIFICATE_STRING
bash-3.2#

  3. Copiez la valeur BASE64_ENCODED_CERTIFICATE_STRING et saisissez-la dans le champ de valeur du paramètre CA Certificate File - parsed into Base64 String dans la configuration de l'intégration Google SecOps Active Directory.

  4. Pour configurer le paramètre Server de la configuration de l'intégration Google SecOps Active Directory, saisissez le nom d'hôte de votre serveur Active Directory, et non l'adresse IP.

  5. Cliquez sur Tester pour tester la configuration.

Intégrer Active Directory à Google SecOps

L'intégration Active Directory nécessite les paramètres suivants :

Paramètre Description
Server

Obligatoire.

Adresse IP ou nom d'hôte du serveur Active Directory.

Ce paramètre accepte également les noms DNS au lieu des adresses IP.

Ce paramètre n'est pas compatible avec les ports personnalisés.
Username

Obligatoire.

Adresse e-mail de l'utilisateur à connecter à Active Directory, par exemple user@example.com.

Ce paramètre accepte également l'attribut userPrincipalName.
Domain

Obligatoire.

Chemin DNS complet vers votre domaine dans l'espace de noms du réseau.

Pour configurer ce paramètre, saisissez le nom de domaine complet de votre domaine au format suivant : SUBDOMAIN.ROOT_DOMAIN.

Par exemple, si votre domaine Active Directory interne est example.local, le nom de domaine complet à saisir est example.local. Si votre domaine Active Directory interne est corp.example.com, le nom de domaine complet à saisir est corp.example.com.
Password

Obligatoire.

Mot de passe du compte utilisateur.
Custom Query Fields

Facultatif.

Champs personnalisés de l'intégration Active Directory, tels que customField1, customField2.
CA Certificate File - parsed into Base64 String

Facultatif.

Chaîne de fichier de certificat CA encodée au format base64 que vous avez obtenue lors de la configuration du certificat CA. Pour configurer ce paramètre, saisissez la valeur BASE64_ENCODED_CERTIFICATE_STRING complète.
Use SSL

Facultatif.

Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Active Directory.

Non sélectionné par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ajouter un utilisateur à un groupe

Utilisez l'action Ajouter l'utilisateur au groupe pour ajouter un utilisateur à des groupes.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action Ajouter un utilisateur à un groupe nécessite les paramètres suivants :

Paramètre Description
Group Name

Obligatoire.

Liste de groupes séparés par une virgule auxquels ajouter des utilisateurs.

Sorties d'action

L'action Ajouter un utilisateur à un groupe fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter un utilisateur à un groupe peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

 L'action a réussi.
Error executing action "Add User to Group". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un utilisateur à un groupe :

Nom du résultat du script Valeur
is_success True ou False

Modifier l'UO hôte

Utilisez l'action Modifier l'UO hôte pour modifier l'unité organisationnelle (UO) d'un hôte.

Cette action s'exécute sur l'entité Hostname de Google SecOps.

Entrées d'action

L'action Modifier l'UO hôte nécessite les paramètres suivants :

Paramètre Description
OU Name

Obligatoire.

Nom de la nouvelle UO utilisateur.

Sorties d'action

L'action Modifier l'UO hôte fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier l'OU hôte :

Nom du résultat du script Valeur
is_success True ou False

Modifier l'UO d'un utilisateur

Utilisez l'action Modifier l'UO de l'utilisateur pour modifier l'unité organisationnelle (UO) d'un utilisateur.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action Modifier l'OU de l'utilisateur nécessite les paramètres suivants :

Paramètre Description
OU Name

Obligatoire.

Nom de la nouvelle UO utilisateur.

Sorties d'action

L'action Modifier l'OU de l'utilisateur fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier l'OU de l'utilisateur :

Nom du résultat du script Valeur
is_success True ou False

Désactiver le compte

Utilisez l'action Désactiver le compte pour désactiver un compte utilisateur.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Disable Account (Désactiver le compte) fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Désactiver le compte :

Nom du résultat du script Valeur
is_success True ou False

Désactiver l'ordinateur

Utilisez l'action Désactiver l'ordinateur pour désactiver un compte d'ordinateur.

Cette action s'exécute sur l'entité Hostname de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Désactiver l'ordinateur fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Désactiver l'ordinateur :

Nom du résultat du script Valeur
is_success True ou False

Activer le compte

Utilisez l'action Activer le compte pour activer un compte utilisateur.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Activer le compte fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Activer le compte :

Nom du résultat du script Valeur
is_success True ou False

Activer l'ordinateur

Utilisez l'action Activer l'ordinateur pour activer un compte d'ordinateur.

Cette action s'exécute sur l'entité Hostname de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Activer l'ordinateur fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Activer l'ordinateur :

Nom du résultat du script Valeur
is_success True ou False

Enrichir les entités

Utilisez l'action Enrichir les entités pour enrichir les entités Hostname ou Username avec les propriétés Active Directory.

Cette action est asynchrone. Si nécessaire, ajustez la valeur du délai avant expiration du script dans l'IDE Google SecOps pour l'action.

L'action Enrichir les entités s'exécute sur les entités Google SecOps suivantes :

  • User
  • Hostname

Entrées d'action

L'action Enrichir les entités nécessite les paramètres suivants :

Paramètre Description
Mark entities as internal

Obligatoire.

Si cette option est sélectionnée, l'action marque automatiquement les entités enrichies comme entités internes.
Specific Attribute Names To Enrich With

Facultatif.

Liste de noms d'attributs séparés par une virgule pour enrichir les entités.

Si vous ne définissez aucune valeur, l'action enrichit les entités avec tous les attributs disponibles. Si un attribut contient plusieurs valeurs, l'action enrichit l'attribut avec toutes les valeurs disponibles.

Ce paramètre est sensible à la casse.
Should Case Wall table be filtered by the specified attributes?

Facultatif.

Si cette option est sélectionnée, l'action remplit le tableau du mur de cas uniquement avec les attributs que vous avez spécifiés dans la valeur du paramètre Specific Attribute Names To Enrich With.

(non sélectionnée par défaut).
Should JSON result be filtered by the specified attributes?

Facultatif.

Si cette option est sélectionnée, le résultat JSON ne renvoie que les attributs que vous avez spécifiés dans la valeur du paramètre Specific Attribute Names To Enrich With.

(non sélectionnée par défaut).

Sorties d'action

L'action Enrichir les entités fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement des entités Disponible
Résultat JSON Disponible
Résultat du script Disponible
Enrichissement d'entités

L'action Enrichir les entités est compatible avec l'enrichissement d'entités suivant :

Nom du champ d'enrichissement Logique
AD_primaryGroupID L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_logonCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_cn L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_countryCode L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectClass L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_userPrincipalName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_adminCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogonTimestamp L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_manager L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_instanceType L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_distinguishedName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_dSCorePropagationData L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_msDS-SupportedEncryptionTypes L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectSid L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_whenCreated L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_uSNCreated L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lockoutTime L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_badPasswordTime L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_pwdLastSet L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sAMAccountName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectCategory L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogon L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectGUID L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_whenChanged L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_badPwdCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_accountExpires L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_displayName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_name L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_memberOf L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_codePage L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_userAccountControl L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sAMAccountType L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_uSNChanged L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sn L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_givenName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogoff L'action renvoie la valeur si elle existe dans le résultat JSON.
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les entités :

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :

Nom du résultat du script Valeur
is_success True ou False

Forcer la mise à jour du mot de passe

Utilisez l'action Forcer la modification du mot de passe pour obliger un utilisateur à changer son mot de passe lors de sa prochaine connexion.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Forcer la modification du mot de passe fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Forcer la modification du mot de passe :

Nom du résultat du script Valeur
is_success True ou False

Obtenir les membres d'un groupe

Utilisez l'action Obtenir les membres du groupe pour récupérer les membres d'un groupe Active Directory spécifié.

Cette action permet de récupérer les membres (utilisateurs et noms d'hôte) et d'effectuer des recherches dans les groupes imbriqués.

Entrées d'action

L'action Obtenir les membres du groupe nécessite les paramètres suivants :

Paramètre Description
Group Name

Obligatoire.

Nom du groupe contenant les membres listés.
Members Type

Obligatoire.

Type de membre du groupe.

La valeur par défaut est User.
Perform Nested Search

Facultatif.

Si cette option est sélectionnée, l'action récupère des informations supplémentaires sur les groupes qui font partie du groupe principal.

Par défaut, cette option n'est pas sélectionnée.
Limit

Obligatoire.

Nombre maximal de fiches à récupérer depuis Active Directory.

La valeur par défaut est 100.

Sorties d'action

L'action Obtenir les membres du groupe fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les membres du groupe :

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les membres du groupe :

Nom du résultat du script Valeur
is_success True ou False

Obtenir les coordonnées d'un responsable

Utilisez l'action Obtenir les coordonnées du responsable pour obtenir les coordonnées du responsable à partir d'Active Directory.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Obtenir les coordonnées du responsable fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement des entités Disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Enrichissement d'entités

L'action Obtenir les coordonnées du responsable est compatible avec l'enrichissement d'entités suivant :

Nom du champ d'enrichissement Logique
AD_Manager_Name L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_Manager_phone L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_primaryGroupID L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_logonCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_cn L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_countryCode L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectClass L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_userPrincipalName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_adminCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogonTimestamp L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_manager L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_instanceType L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_distinguishedName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_dSCorePropagationData L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_msDS-SupportedEncryptionTypes L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectSid L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_whenCreated L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_uSNCreated L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lockoutTime L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_badPasswordTime L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_pwdLastSet L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sAMAccountName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectCategory L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogon L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_objectGUID L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_whenChanged L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_badPwdCount L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_accountExpires L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_displayName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_name L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_memberOf L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_codePage L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_userAccountControl L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sAMAccountType L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_uSNChanged L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_sn L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_givenName L'action renvoie la valeur si elle existe dans le résultat JSON.
AD_lastLogoff L'action renvoie la valeur si elle existe dans le résultat JSON.
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les coordonnées du responsable :

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message affiché Description du message

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

 L'action a réussi.
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les coordonnées du responsable :

Nom du résultat du script Valeur
is_success True ou False

L'utilisateur appartient au groupe

Utilisez l'action L'utilisateur appartient-il au groupe ? pour vérifier si l'utilisateur est membre d'un groupe spécifique.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action L'utilisateur appartient au groupe nécessite les paramètres suivants :

Paramètre Description
Group Name

Obligatoire.

Nom du groupe à vérifier, par exemple administrators.

Sorties d'action

L'action L'utilisateur fait-il partie du groupe ? fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Is User in Group (L'utilisateur appartient-il au groupe ?) :

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action L'utilisateur appartient-il au groupe ? :

Nom du résultat du script Valeur
is_success True ou False

Lister les groupes d'utilisateurs

Utilisez l'action List User Groups (Lister les groupes d'utilisateurs) pour obtenir la liste de tous les groupes d'utilisateurs disponibles dans Active Directory.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Lister les groupes d'utilisateurs fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Lister les groupes d'utilisateurs :

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les groupes d'utilisateurs :

Nom du résultat du script Valeur
is_success True ou False

Ping

Utilisez l'action Ping pour tester la connectivité à Active Directory.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Annuler la procédure de préservation à titre conservatoire pour un compte verrouillé

Utilisez l'action Déverrouiller le compte pour débloquer un compte verrouillé.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Déverrouiller le compte fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Déverrouiller le compte :

Nom du résultat du script Valeur
is_success True ou False

Retirer un utilisateur d'un groupe

Utilisez l'action Supprimer l'utilisateur du groupe pour supprimer l'utilisateur des groupes.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action Supprimer un utilisateur d'un groupe nécessite les paramètres suivants :

Paramètre Description
Group Name

Obligatoire.

Liste de groupes, séparés par une virgule, desquels les utilisateurs doivent être supprimés.

Sorties d'action

L'action Supprimer un utilisateur d'un groupe fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Supprimer un utilisateur d'un groupe peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

 L'action a réussi.
Error executing action "Remove User From Group". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer un utilisateur d'un groupe :

Nom du résultat du script Valeur
is_success True ou False

Rechercher dans Active Directory

Utilisez l'action Rechercher dans Active Directory pour effectuer une recherche dans Active Directory à l'aide d'une requête spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Rechercher dans Active Directory nécessite les paramètres suivants :

Paramètre Description
Query String

Obligatoire.

Chaîne de requête à exécuter dans Active Directory.
Limit

Facultatif.

Nombre maximal de fiches à récupérer depuis Active Directory.

Sorties d'action

L'action Rechercher dans Active Directory fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher dans Active Directory :

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
Messages de sortie

L'action Rechercher dans Active Directory peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

 L'action a réussi.
Error executing action "Search Active Directory". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Rechercher dans Active Directory :

Nom du résultat du script Valeur
is_success True ou False

Définir un mot de passe utilisateur

Utilisez l'action Définir le mot de passe de l'utilisateur pour configurer le mot de passe de l'utilisateur.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action Définir le mot de passe de l'utilisateur nécessite les paramètres suivants :

Paramètre Description
New Password

Obligatoire.

Nouvelle valeur du mot de passe.

Sorties d'action

L'action Définir le mot de passe de l'utilisateur fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le mot de passe de l'utilisateur :

Nom du résultat du script Valeur
is_success True ou False

Mettre à jour les attributs d'un hôte AD

Utilisez l'action Mettre à jour les attributs d'un hôte AD pour mettre à jour les attributs des hôtes actuels dans Active Directory.

Cette action s'exécute sur l'entité Hostname de Google SecOps.

Entrées d'action

L'action Mettre à jour les attributs d'un hôte AD nécessite les paramètres suivants :

Paramètre Description
Attribute Name

Obligatoire.

Nom de l'attribut à mettre à jour, par exemple Description.
Attribute Value

Obligatoire.

Nouvelle valeur de l'attribut.

Sorties d'action

L'action Mettre à jour les attributs d'un hôte AD fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Mettre à jour les attributs d'un hôte AD peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 L'action a réussi.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour les attributs d'un hôte AD :

Nom du résultat du script Valeur
is_success True ou False

Mettre à jour les attributs d'un utilisateur AD

Utilisez l'action Mettre à jour les attributs d'un utilisateur AD pour mettre à jour les attributs des utilisateurs actuels dans Active Directory.

Cette action s'exécute sur l'entité User de Google SecOps.

Entrées d'action

L'action Mettre à jour les attributs d'un utilisateur AD nécessite les paramètres suivants :

Paramètre Description
Attribute Name

Obligatoire.

Nom de l'attribut à mettre à jour, par exemple Description.
Attribute Value

Obligatoire.

Nouvelle valeur de l'attribut.

Sorties d'action

L'action Mettre à jour les attributs d'un utilisateur AD fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Mettre à jour les attributs d'un utilisateur AD peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 L'action a réussi.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour les attributs d'un utilisateur AD :

Nom du résultat du script Valeur
is_success True ou False

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.