Active Directory と Google SecOps を統合する

このドキュメントでは、Active Directory を Google Security Operations(Google SecOps)と統合する方法について説明します。

統合バージョン: 37.0

この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。

ユースケース

Active Directory との統合は、次のユースケースの解決に役立ちます。

  • ユーザーの有効化と無効化: Google SecOps の機能を使用して、侵害された可能性のあるユーザー アカウントを無効にし、不正アクセスを防止します。

  • パスワードをリセットする: Google SecOps の機能を使用して、Active Directory でユーザーのパスワードを自動的にリセットし、変更をユーザーに通知します。

  • グループを管理する: Google SecOps の機能を使用して、ロールに基づいて適切なセキュリティ グループに新しいユーザーを追加し、ユーザーに適切なアクセス権が付与されていることを確認します。

  • ユーザー情報の取得: Google SecOps の機能を使用して、特定のユーザー アカウントのグループ メンバーシップ、最終ログイン日時、連絡先情報などのユーザーの詳細情報を取得します。

  • オフボーディングを自動化する: Google SecOps の機能を使用して、従業員がオフボーディングされる場合にアカウントを無効にし、グループから削除して、ファイルの所有権を移行します。

始める前に

Active Directory と Google SecOps を正常に統合するには、/etc/hosts ファイルを構成する必要があります。

DNS 設定で DNS 解決が構成されていて、Active Directory ドメインが完全修飾 DNS 名で解決される場合は、/etc/hosts ファイルを構成する必要はありません。

/etc/hosts ファイルを構成する

/etc/hosts ファイルを構成する手順は次のとおりです。

  1. リモート エージェント コンテナ イメージで、/etc/hosts ファイルに移動します。

  2. 次のコマンドを入力して、/etc/hosts ファイルを編集します。 sudo vi /etc/hosts/

  3. /etc/hosts ファイルに、Active Directory への接続に使用するホストの IP アドレスとホスト名(192.0.2.195 hostname.example など)を追加します。

  4. 変更を保存します。

統合に認証局証明書が必要ない場合は、統合パラメータの構成に進みます。

統合に認証局証明書が必要な場合は、次のセクションに進みます。

省略可: 認証局(CA)証明書を構成する

必要に応じて、認証局(CA)証明書ファイルを使用して Active Directory 統合を構成できます。

CA 証明書を使用して統合を構成するには、次の手順を完了します。

  1. CA 証明書を取得するには、cat mycert.crt コマンドを入力します。

    bash-3.2# cat mycert.crt
-----BEGIN CERTIFICATE-----
CERTIFICATE_STRING
-----END CERTIFICATE-----
bash-3.2#

  2. -----BEGIN CERTIFICATE----- 文字列と -----END CERTIFICATE----- 文字列を使用してルート CA 証明書ファイルを base64 形式でエンコードするには、cat mycert.crt |base64 コマンドを入力します。

    bash-3.2# cat mycert.crt |base64
BASE64_ENCODED_CERTIFICATE_STRING
bash-3.2#

  3. BASE64_ENCODED_CERTIFICATE_STRING の値をコピーし、Google SecOps Active Directory の統合構成CA Certificate File - parsed into Base64 String パラメータ値フィールドに入力します。

  4. Server パラメータの Google SecOps Active Directory 統合構成を構成するには、IP アドレスではなく、Active Directory サーバーのホスト名を入力します。

  5. [テスト] をクリックして構成をテストします。

Active Directory を Google SecOps と統合する

Active Directory との統合には、次のパラメータが必要です。

パラメータ 説明
Server

必須。

Active Directory サーバーの IP アドレスまたはホスト名。

このパラメータは、IP アドレスの代わりに DNS 名も受け入れます。

このパラメータはカスタムポートをサポートしていません。
Username

必須。

Active Directory に接続するユーザーのメールアドレス(user@example.com など)。

このパラメータは、userPrincipalName 属性も受け入れます。
Domain

必須。

ネットワーク名前空間内のドメインの完全な DNS パス。

このパラメータを構成するには、SUBDOMAIN.ROOT_DOMAIN の形式でドメインの完全修飾ドメイン名(FQDN)を入力します。

たとえば、内部 Active Directory ドメインが example.local の場合、入力する FQDN は example.local です。内部 Active Directory ドメインが corp.example.com の場合、入力する FQDN は corp.example.com です。
Password

必須。

ユーザー アカウントのパスワード。
Custom Query Fields

省略可。

Active Directory 統合のカスタム フィールド(customField1, customField2 など)。
CA Certificate File - parsed into Base64 String

省略可。

CA 証明書を構成するときに取得した、Base64 形式でエンコードされた CA 証明書ファイル文字列。このパラメータを構成するには、完全な BASE64_ENCODED_CERTIFICATE_STRING 値を入力します。
Use SSL

省略可。

選択すると、統合によって Active Directory サーバーに接続するときに SSL 証明書が検証されます。

デフォルトでは選択されていません。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応する手動アクションを実行するをご覧ください。

ユーザーをグループに追加する

グループにユーザーを追加アクションを使用して、グループにユーザーを追加します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Add User to Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Group Name

必須。

ユーザーを追加するグループのカンマ区切りのリスト。

アクションの出力

[ユーザーをグループに追加] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Add User to Group] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

 アクションが成功しました。
Error executing action "Add User to Group". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Add User to Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ホストの組織部門を変更する

ホストの OU を変更アクションを使用して、ホストの組織部門(OU)を変更します。

このアクションは Google SecOps の Hostname エンティティに対して実行されます。

アクション入力

[Change Host OU] アクションには、次のパラメータが必要です。

パラメータ 説明
OU Name

必須。

新しいユーザー OU の名前。

アクションの出力

[Change Host OU] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、Change Host OU アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーの組織部門を変更する

ユーザーの OU を変更アクションを使用して、ユーザーの組織部門(OU)を変更します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Change User OU] アクションには、次のパラメータが必要です。

パラメータ 説明
OU Name

必須。

新しいユーザー OU の名前。

アクションの出力

[Change User OU] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Change User OU] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アカウントを無効にする

ユーザー アカウントを無効にするには、[Disable Account] アクションを使用します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Disable Account] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[アカウントを無効にする] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

パソコンを無効にする

コンピュータ アカウントを無効にするには、[Disable Computer] アクションを使用します。

このアクションは Google SecOps の Hostname エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Disable Computer] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Disable Computer] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

アカウントを有効にする

ユーザー アカウントを有効にするには、[Enable Account] アクションを使用します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Enable Account] アクションは次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Enable Account] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

パソコンを有効にする

コンピュータ アカウントを有効にするには、[コンピュータを有効にする] アクションを使用します。

このアクションは Google SecOps の Hostname エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Enable Computer] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Enable Computer] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

エンティティの拡充

エンティティの拡充アクションを使用して、Hostname エンティティまたは Username エンティティを Active Directory プロパティで拡充します。

このアクションは非同期です。必要に応じて、Google SecOps IDE でアクションのスクリプト タイムアウト値を調整します。

[エンティティを拡充] アクションは、次の Google SecOps エンティティに対して実行されます。

  • User
  • Hostname

アクション入力

エンティティの拡充アクションには、次のパラメータが必要です。

パラメータ 説明
Mark entities as internal

必須。

選択すると、アクションは、エンリッチメントが成功したエンティティを内部エンティティとして自動的にマークします。
Specific Attribute Names To Enrich With

省略可。

エンティティを拡充する属性名のカンマ区切りのリスト。

値を設定しない場合、アクションは使用可能なすべての属性でエンティティを拡充します。属性に複数の値が含まれている場合、アクションは使用可能なすべての値で属性を拡充します。

このパラメータでは大文字と小文字が区別されます。
Should Case Wall table be filtered by the specified attributes?

省略可。

選択すると、ケースウォール テーブルには Specific Attribute Names To Enrich With パラメータ値で指定した属性のみが入力されます。

デフォルトでは選択されていません。
Should JSON result be filtered by the specified attributes?

省略可。

選択すると、JSON 結果には Specific Attribute Names To Enrich With パラメータ値で指定した属性のみが返されます。

デフォルトでは選択されていません。

アクションの出力

[エンティティを拡充] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
スクリプトの結果 利用可能
エンティティ拡充

[エンティティを拡充] アクションは、次のエンティティ拡充をサポートしています。

拡充フィールド名 ロジック
AD_primaryGroupID JSON の結果に値が存在する場合、アクションはその値を返します。
AD_logonCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_cn JSON の結果に値が存在する場合、アクションはその値を返します。
AD_countryCode JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectClass JSON の結果に値が存在する場合、アクションはその値を返します。
AD_userPrincipalName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_adminCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogonTimestamp JSON の結果に値が存在する場合、アクションはその値を返します。
AD_manager JSON の結果に値が存在する場合、アクションはその値を返します。
AD_instanceType JSON の結果に値が存在する場合、アクションはその値を返します。
AD_distinguishedName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_dSCorePropagationData JSON の結果に値が存在する場合、アクションはその値を返します。
AD_msDS-SupportedEncryptionTypes JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectSid JSON の結果に値が存在する場合、アクションはその値を返します。
AD_whenCreated JSON の結果に値が存在する場合、アクションはその値を返します。
AD_uSNCreated JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lockoutTime JSON の結果に値が存在する場合、アクションはその値を返します。
AD_badPasswordTime JSON の結果に値が存在する場合、アクションはその値を返します。
AD_pwdLastSet JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sAMAccountName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectCategory JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogon JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectGUID JSON の結果に値が存在する場合、アクションはその値を返します。
AD_whenChanged JSON の結果に値が存在する場合、アクションはその値を返します。
AD_badPwdCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_accountExpires JSON の結果に値が存在する場合、アクションはその値を返します。
AD_displayName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_name JSON の結果に値が存在する場合、アクションはその値を返します。
AD_memberOf JSON の結果に値が存在する場合、アクションはその値を返します。
AD_codePage JSON の結果に値が存在する場合、アクションはその値を返します。
AD_userAccountControl JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sAMAccountType JSON の結果に値が存在する場合、アクションはその値を返します。
AD_uSNChanged JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sn JSON の結果に値が存在する場合、アクションはその値を返します。
AD_givenName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogoff JSON の結果に値が存在する場合、アクションはその値を返します。
JSON の結果

次の例は、エンティティの拡充アクションを使用した場合に受信される JSON 結果の出力を示しています。

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
スクリプトの結果

次の表に、[エンティティを拡充] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

パスワードの更新を強制する

[パスワードの更新を強制する] アクションを使用すると、ユーザーが次回ログイン時にパスワードの変更を求められるようになります。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Force Password Update] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[パスワードの強制更新] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループ メンバーを取得する

グループ メンバーの取得アクションを使用して、指定した Active Directory グループのメンバーを取得します。

このアクションは、ユーザー メンバーとホスト名メンバーの両方の取得をサポートし、ネストされたグループ内の検索をサポートします。

アクション入力

[グループ メンバーを取得] アクションには、次のパラメータが必要です。

パラメータ 説明
Group Name

必須。

リストされたメンバーを含むグループの名前。
Members Type

必須。

グループのメンバー タイプ。

デフォルト値は User です。
Perform Nested Search

省略可。

選択すると、アクションはメイン グループに属するグループに関する追加の詳細情報を取得します。

デフォルトでは選択されていません。
Limit

必須。

Active Directory から取得するリストの最大数。

デフォルト値は 100 です。

アクションの出力

[Get Group Members] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、グループ メンバーを取得アクションを使用したときに受信した JSON 結果の出力です。

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
スクリプトの結果

次の表に、[Get Group Members] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

マネージャーの連絡先情報を取得する

Get Manager Contact Details アクションを使用して、Active Directory からマネージャーの連絡先情報を取得します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Get Manager Contact Details] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
エンティティ拡充テーブル 利用可能
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
エンティティ拡充

[Get Manager Contact Details] アクションは、次のエンティティの拡充をサポートしています。

拡充フィールド名 ロジック
AD_Manager_Name JSON の結果に値が存在する場合、アクションはその値を返します。
AD_Manager_phone JSON の結果に値が存在する場合、アクションはその値を返します。
AD_primaryGroupID JSON の結果に値が存在する場合、アクションはその値を返します。
AD_logonCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_cn JSON の結果に値が存在する場合、アクションはその値を返します。
AD_countryCode JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectClass JSON の結果に値が存在する場合、アクションはその値を返します。
AD_userPrincipalName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_adminCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogonTimestamp JSON の結果に値が存在する場合、アクションはその値を返します。
AD_manager JSON の結果に値が存在する場合、アクションはその値を返します。
AD_instanceType JSON の結果に値が存在する場合、アクションはその値を返します。
AD_distinguishedName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_dSCorePropagationData JSON の結果に値が存在する場合、アクションはその値を返します。
AD_msDS-SupportedEncryptionTypes JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectSid JSON の結果に値が存在する場合、アクションはその値を返します。
AD_whenCreated JSON の結果に値が存在する場合、アクションはその値を返します。
AD_uSNCreated JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lockoutTime JSON の結果に値が存在する場合、アクションはその値を返します。
AD_badPasswordTime JSON の結果に値が存在する場合、アクションはその値を返します。
AD_pwdLastSet JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sAMAccountName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectCategory JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogon JSON の結果に値が存在する場合、アクションはその値を返します。
AD_objectGUID JSON の結果に値が存在する場合、アクションはその値を返します。
AD_whenChanged JSON の結果に値が存在する場合、アクションはその値を返します。
AD_badPwdCount JSON の結果に値が存在する場合、アクションはその値を返します。
AD_accountExpires JSON の結果に値が存在する場合、アクションはその値を返します。
AD_displayName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_name JSON の結果に値が存在する場合、アクションはその値を返します。
AD_memberOf JSON の結果に値が存在する場合、アクションはその値を返します。
AD_codePage JSON の結果に値が存在する場合、アクションはその値を返します。
AD_userAccountControl JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sAMAccountType JSON の結果に値が存在する場合、アクションはその値を返します。
AD_uSNChanged JSON の結果に値が存在する場合、アクションはその値を返します。
AD_sn JSON の結果に値が存在する場合、アクションはその値を返します。
AD_givenName JSON の結果に値が存在する場合、アクションはその値を返します。
AD_lastLogoff JSON の結果に値が存在する場合、アクションはその値を返します。
JSON の結果

次の例は、[Get Manager Contact Details] アクションを使用した場合に受信される JSON 結果の出力です。

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
出力メッセージ

Ping アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

 アクションが成功しました。
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、Get Manager Contact Details アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザーがグループに属しているか

ユーザーがグループに所属しているかアクションを使用して、ユーザーが特定のグループのメンバーであるかどうかを確認します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Is User in Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Group Name

必須。

確認するグループ名(administrators など)。

アクションの出力

[ユーザーがグループに属しているか] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Is User in Group] アクションを使用した場合に受信する JSON 結果の出力を示しています。

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
スクリプトの結果

次の表に、[Is User in Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザー グループの一覧を取得する

ユーザー グループのリスト アクションを使用して、Active Directory で使用可能なすべてのユーザー グループのリストを取得します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

ユーザー グループを一覧表示アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、ユーザー グループを一覧表示アクションを使用した場合に受信される JSON 結果の出力を示しています。

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
スクリプトの結果

次の表に、List User Groups アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Ping

Ping アクションを使用して、Active Directory への接続をテストします。

このアクションは、すべての Google SecOps エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Ping] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ロックされたアカウントの解除

ロックされたアカウントのブロックを解除するには、[Release Locked Account] アクションを使用します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

なし

アクションの出力

[Release Locked Account] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Release Locked Account] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

グループからユーザーを削除する

[Remove User From Group] アクションを使用して、ユーザーをグループから削除します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Remove User From Group] アクションには、次のパラメータが必要です。

パラメータ 説明
Group Name

必須。

ユーザーを削除するグループのカンマ区切りリスト。

アクションの出力

[Remove User From Group] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Remove User From Group] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

 アクションが成功しました。
Error executing action "Remove User From Group". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Remove User From Group] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

Active Directory を検索する

Active Directory の検索アクションを使用して、指定されたクエリで Active Directory を検索します。

このアクションは Google SecOps エンティティに対しては実行されません。

アクション入力

[Search Active Directory] アクションには、次のパラメータが必要です。

パラメータ 説明
Query String

必須。

Active Directory で実行するクエリ文字列。
Limit

省略可。

Active Directory から取得するリストの最大数。

アクションの出力

[Search Active Directory] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用可能
出力メッセージ 利用可能
スクリプトの結果 利用可能
JSON の結果

次の例は、[Search Active Directory] アクションを使用した場合に受信される JSON 結果の出力です。

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
出力メッセージ

[Active Directory を検索] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

 アクションが成功しました。
Error executing action "Search Active Directory". Reason: ERROR_REASON

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Search Active Directory] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

ユーザー パスワードを設定する

ユーザー パスワードを構成するには、[ユーザー パスワードの設定] アクションを使用します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Set User Password] アクションには、次のパラメータが必要です。

パラメータ 説明
New Password

必須。

新しいパスワード値。

アクションの出力

[ユーザー パスワードを設定] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
スクリプトの結果 利用可能
スクリプトの結果

次の表に、[Set User Password] アクションを使用した場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

AD ホストの属性を更新する

[Update attributes of an AD Host] アクションを使用して、Active Directory の現在のホストの属性を更新します。

このアクションは Google SecOps の Hostname エンティティに対して実行されます。

アクション入力

[AD ホストの属性を更新する] アクションには、次のパラメータが必要です。

パラメータ 説明
Attribute Name

必須。

更新する属性の名前(Description など)。
Attribute Value

必須。

属性の新しい値。

アクションの出力

[AD ホストの属性を更新する] アクションは、次の出力を提供します。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Update attributes of an AD Host] アクションは、次の出力メッセージを返すことができます。

出力メッセージ メッセージの説明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 アクションが成功しました。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Update attributes of an AD Host] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

AD ユーザーの属性を更新する

[Update attributes of an AD User] アクションを使用して、Active Directory の現在のユーザーの属性を更新します。

このアクションは Google SecOps の User エンティティに対して実行されます。

アクション入力

[Update attributes of an AD User] アクションには、次のパラメータが必要です。

パラメータ 説明
Attribute Name

必須。

更新する属性の名前(Description など)。
Attribute Value

必須。

属性の新しい値。

アクションの出力

[AD ユーザーの属性を更新する] アクションでは、次の出力が提供されます。

アクションの出力タイプ 対象
ケースウォールのアタッチメント 利用不可
ケースウォールのリンク 利用不可
ケースウォール テーブル 利用不可
拡充テーブル 利用不可
JSON の結果 利用不可
出力メッセージ 利用可能
スクリプトの結果 利用可能
出力メッセージ

[Update attributes of an AD User] アクションは、次の出力メッセージを返すことがあります。

出力メッセージ メッセージの説明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 アクションが成功しました。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

操作に失敗しました。

サーバーへの接続、入力パラメータ、または認証情報を確認してください。
スクリプトの結果

次の表に、[Update attributes of an AD User] アクションを使用する場合のスクリプト結果出力の値を示します。

スクリプトの結果名
is_success True または False

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。