Integrar o Active Directory ao Google SecOps

Este documento explica como integrar o Active Directory ao Google Security Operations (Google SecOps).

Versão da integração: 37.0

Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.

Casos de uso

A integração com o Active Directory pode ajudar você a resolver os seguintes casos de uso:

  • Ativar e desativar usuários:use os recursos do Google SecOps para desativar uma conta de usuário potencialmente comprometida e impedir mais acessos não autorizados.

  • Redefinir senhas:use os recursos do Google SecOps para redefinir automaticamente a senha do usuário no Active Directory e notificar o usuário sobre a mudança.

  • Gerenciar grupos:use os recursos do Google SecOps para adicionar novos usuários aos grupos de segurança adequados com base na função deles e garantir que tenham as permissões de acesso corretas.

  • Recuperar informações do usuário:use os recursos do Google SecOps para recuperar detalhes do usuário, como associações a grupos, horário do último login e dados de contato de uma conta de usuário específica.

  • Automatizar o desligamento:use os recursos do Google SecOps para desativar contas, remover usuários de grupos e transferir a propriedade de arquivos quando um funcionário se desligar.

Antes de começar

Para integrar o Active Directory ao Google SecOps, é necessário configurar o arquivo /etc/hosts.

Se você tiver a resolução de DNS configurada com sua configuração de DNS e seu domínio do Active Directory for resolvido pelo nome DNS totalmente qualificado, não será necessário configurar o arquivo /etc/hosts.

Configurar o arquivo /etc/hosts

Para configurar o arquivo /etc/hosts, siga estas etapas:

  1. Na imagem do contêiner do agente remoto, acesse o arquivo /etc/hosts.

  2. Digite o comando a seguir para editar o arquivo /etc/hosts: sudo vi /etc/hosts/.

  3. No arquivo /etc/hosts, adicione o endereço IP e o nome do host que você usa para se conectar ao Active Directory, como 192.0.2.195 hostname.example.

  4. Salve as alterações.

Se você não precisar do certificado da autoridade de certificação para a integração, configure os parâmetros de integração.

Se você precisar do certificado da autoridade de certificação para a integração, acesse a seção a seguir.

Opcional: configure o certificado da autoridade de certificação (CA)

Se necessário, configure a integração do Active Directory usando um arquivo de certificado de autoridade certificadora (AC).

Para configurar a integração com um certificado da CA, siga estas etapas:

  1. Para receber o certificado da CA, digite o comando cat mycert.crt:

    bash-3.2# cat mycert.crt
-----BEGIN CERTIFICATE-----
CERTIFICATE_STRING
-----END CERTIFICATE-----
bash-3.2#

  2. Para codificar o arquivo de certificado de CA raiz no formato base64 com as strings -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----, insira o comando cat mycert.crt |base64:

    bash-3.2# cat mycert.crt |base64
BASE64_ENCODED_CERTIFICATE_STRING
bash-3.2#

  3. Copie o valor BASE64_ENCODED_CERTIFICATE_STRING e insira-o no campo de valor do parâmetro CA Certificate File - parsed into Base64 String na configuração de integração do Active Directory do Google SecOps.

  4. Para configurar o parâmetro Server na configuração de integração do Active Directory do Google SecOps, insira o nome do host do servidor do Active Directory, não o endereço IP.

  5. Clique em Testar para testar a configuração.

Integrar o Active Directory ao Google SecOps

A integração do Active Directory exige os seguintes parâmetros:

Parâmetro Descrição
Server

Obrigatório.

O endereço IP ou o nome do host do servidor do Active Directory.

Esse parâmetro também aceita nomes DNS em vez de endereços IP.

Esse parâmetro não é compatível com portas personalizadas.
Username

Obrigatório.

O endereço de e-mail do usuário para se conectar ao Active Directory, como user@example.com.

Esse parâmetro também aceita o atributo userPrincipalName.
Domain

Obrigatório.

O caminho DNS completo para seu domínio no namespace da rede.

Para configurar esse parâmetro, insira o nome de domínio totalmente qualificado (FQDN) do seu domínio no seguinte formato: SUBDOMAIN.ROOT_DOMAIN.

Por exemplo, se o domínio interno do Active Directory for example.local, o FQDN a ser inserido será example.local. Se o domínio interno do Active Directory for corp.example.com, o FQDN a ser inserido será corp.example.com.
Password

Obrigatório.

A senha da conta de usuário.
Custom Query Fields

Opcional.

Campos personalizados da integração do Active Directory, como customField1, customField2.
CA Certificate File - parsed into Base64 String

Opcional.

A string do arquivo de certificado de CA codificada no formato base64 que você obteve ao configurar o certificado de CA. Para configurar esse parâmetro, insira o valor BASE64_ENCODED_CERTIFICATE_STRING completo.
Use SSL

Opcional.

Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Active Directory.

Não selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Adicionar usuário ao grupo

Use a ação Adicionar usuário ao grupo para adicionar usuários a grupos.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Adicionar usuário ao grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Name

Obrigatório.

Uma lista separada por vírgulas de grupos para adicionar usuários.

Saídas de ação

A ação Adicionar usuário ao grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar usuário ao grupo pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

 A ação foi concluída.
Error executing action "Add User to Group". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar usuário ao grupo:

Nome do resultado do script Valor
is_success True ou False

Mudar a UO do host

Use a ação Mudar UO do host para mudar a unidade organizacional (UO) de um host.

Essa ação é executada na entidade Hostname do Google SecOps.

Entradas de ação

A ação Mudar unidade organizacional do host exige os seguintes parâmetros:

Parâmetro Descrição
OU Name

Obrigatório.

O nome da nova OU de usuário.

Saídas de ação

A ação Mudar OU do host fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar UO do host:

Nome do resultado do script Valor
is_success True ou False

Mudar a unidade organizacional do usuário

Use a ação Mudar a unidade organizacional do usuário para mudar a unidade organizacional (UO) de um usuário.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Mudar unidade organizacional do usuário exige os seguintes parâmetros:

Parâmetro Descrição
OU Name

Obrigatório.

O nome da nova OU de usuário.

Saídas de ação

A ação Mudar OU do usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Mudar UO do usuário:

Nome do resultado do script Valor
is_success True ou False

Desativar conta

Use a ação Desativar conta para desativar uma conta de usuário.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Desativar conta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desativar conta:

Nome do resultado do script Valor
is_success True ou False

Desativar computador

Use a ação Desativar computador para desativar uma conta de computador.

Essa ação é executada na entidade Hostname do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Desativar computador fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Desativar computador:

Nome do resultado do script Valor
is_success True ou False

Ativar conta

Use a ação Ativar conta para ativar uma conta de usuário.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ativar conta fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ativar conta:

Nome do resultado do script Valor
is_success True ou False

Ativar computador

Use a ação Ativar computador para ativar uma conta de computador.

Essa ação é executada na entidade Hostname do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ativar computador fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ativar computador:

Nome do resultado do script Valor
is_success True ou False

Enriquecer entidades

Use a ação Enriquecer entidades para enriquecer as entidades Hostname ou Username com propriedades do Active Directory.

Essa ação é assíncrona. Ajuste o valor de tempo limite do script no ambiente de desenvolvimento integrado do Google SecOps para a ação, se necessário.

A ação Enriquecer entidades é executada nas seguintes entidades do Google SecOps:

  • User
  • Hostname

Entradas de ação

A ação Enriquecer entidades exige os seguintes parâmetros:

Parâmetro Descrição
Mark entities as internal

Obrigatório.

Se selecionada, a ação marca automaticamente as entidades enriquecidas como internas.
Specific Attribute Names To Enrich With

Opcional.

Uma lista separada por vírgulas de nomes de atributos para enriquecer as entidades.

Se você não definir um valor, a ação vai enriquecer as entidades com todos os atributos disponíveis. Se um atributo tiver vários valores, a ação vai enriquecer o atributo com todos os valores disponíveis.

Esse parâmetro diferencia maiúsculas de minúsculas.
Should Case Wall table be filtered by the specified attributes?

Opcional.

Se selecionada, a ação preenche a tabela de casos apenas com os atributos especificados no valor do parâmetro Specific Attribute Names To Enrich With.

Não selecionada por padrão.
Should JSON result be filtered by the specified attributes?

Opcional.

Se selecionado, o resultado JSON vai retornar apenas atributos especificados no valor do parâmetro Specific Attribute Names To Enrich With.

Não selecionada por padrão.

Saídas de ação

A ação Enriquecer entidades fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Resultado do script Disponível
Enriquecimento de entidade

A ação Enriquecer entidades é compatível com o seguinte enriquecimento de entidades:

Nome do campo de enriquecimento Lógica
AD_primaryGroupID A ação retorna o valor se ele existir no resultado JSON.
AD_logonCount A ação retorna o valor se ele existir no resultado JSON.
AD_cn A ação retorna o valor se ele existir no resultado JSON.
AD_countryCode A ação retorna o valor se ele existir no resultado JSON.
AD_objectClass A ação retorna o valor se ele existir no resultado JSON.
AD_userPrincipalName A ação retorna o valor se ele existir no resultado JSON.
AD_adminCount A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogonTimestamp A ação retorna o valor se ele existir no resultado JSON.
AD_manager A ação retorna o valor se ele existir no resultado JSON.
AD_instanceType A ação retorna o valor se ele existir no resultado JSON.
AD_distinguishedName A ação retorna o valor se ele existir no resultado JSON.
AD_dSCorePropagationData A ação retorna o valor se ele existir no resultado JSON.
AD_msDS-SupportedEncryptionTypes A ação retorna o valor se ele existir no resultado JSON.
AD_objectSid A ação retorna o valor se ele existir no resultado JSON.
AD_whenCreated A ação retorna o valor se ele existir no resultado JSON.
AD_uSNCreated A ação retorna o valor se ele existir no resultado JSON.
AD_lockoutTime A ação retorna o valor se ele existir no resultado JSON.
AD_badPasswordTime A ação retorna o valor se ele existir no resultado JSON.
AD_pwdLastSet A ação retorna o valor se ele existir no resultado JSON.
AD_sAMAccountName A ação retorna o valor se ele existir no resultado JSON.
AD_objectCategory A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogon A ação retorna o valor se ele existir no resultado JSON.
AD_objectGUID A ação retorna o valor se ele existir no resultado JSON.
AD_whenChanged A ação retorna o valor se ele existir no resultado JSON.
AD_badPwdCount A ação retorna o valor se ele existir no resultado JSON.
AD_accountExpires A ação retorna o valor se ele existir no resultado JSON.
AD_displayName A ação retorna o valor se ele existir no resultado JSON.
AD_name A ação retorna o valor se ele existir no resultado JSON.
AD_memberOf A ação retorna o valor se ele existir no resultado JSON.
AD_codePage A ação retorna o valor se ele existir no resultado JSON.
AD_userAccountControl A ação retorna o valor se ele existir no resultado JSON.
AD_sAMAccountType A ação retorna o valor se ele existir no resultado JSON.
AD_uSNChanged A ação retorna o valor se ele existir no resultado JSON.
AD_sn A ação retorna o valor se ele existir no resultado JSON.
AD_givenName A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogoff A ação retorna o valor se ele existir no resultado JSON.
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer entidades:

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer entidades:

Nome do resultado do script Valor
is_success True ou False

Forçar atualização de senha

Use a ação Forçar atualização de senha para exigir que um usuário mude a senha no próximo login.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Forçar atualização de senha fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Forçar atualização de senha:

Nome do resultado do script Valor
is_success True ou False

Acessar participantes do grupo

Use a ação Get Group Members para recuperar os membros de um grupo especificado do Active Directory.

Essa ação permite recuperar os membros do usuário e do nome do host, além de pesquisar em grupos aninhados.

Entradas de ação

A ação Receber membros do grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Name

Obrigatório.

O nome do grupo que contém os membros listados.
Members Type

Obrigatório.

O tipo de membro do grupo.

O valor padrão é User.
Perform Nested Search

Opcional.

Se selecionada, a ação vai recuperar mais detalhes sobre os grupos que fazem parte do grupo principal.

Não selecionada por padrão.
Limit

Obrigatório.

O número máximo de listagens a serem recuperadas do Active Directory.

O valor padrão é 100.

Saídas de ação

A ação Extrair membros do grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber membros do grupo:

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Get Group Members:

Nome do resultado do script Valor
is_success True ou False

Receber detalhes de contato do gerente

Use a ação Receber detalhes de contato do gerente para obter os detalhes de contato do gerente no Active Directory.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Receber detalhes de contato do gerente fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Enriquecimento de entidade

A ação Receber detalhes de contato do gerente é compatível com o seguinte enriquecimento de entidade:

Nome do campo de enriquecimento Lógica
AD_Manager_Name A ação retorna o valor se ele existir no resultado JSON.
AD_Manager_phone A ação retorna o valor se ele existir no resultado JSON.
AD_primaryGroupID A ação retorna o valor se ele existir no resultado JSON.
AD_logonCount A ação retorna o valor se ele existir no resultado JSON.
AD_cn A ação retorna o valor se ele existir no resultado JSON.
AD_countryCode A ação retorna o valor se ele existir no resultado JSON.
AD_objectClass A ação retorna o valor se ele existir no resultado JSON.
AD_userPrincipalName A ação retorna o valor se ele existir no resultado JSON.
AD_adminCount A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogonTimestamp A ação retorna o valor se ele existir no resultado JSON.
AD_manager A ação retorna o valor se ele existir no resultado JSON.
AD_instanceType A ação retorna o valor se ele existir no resultado JSON.
AD_distinguishedName A ação retorna o valor se ele existir no resultado JSON.
AD_dSCorePropagationData A ação retorna o valor se ele existir no resultado JSON.
AD_msDS-SupportedEncryptionTypes A ação retorna o valor se ele existir no resultado JSON.
AD_objectSid A ação retorna o valor se ele existir no resultado JSON.
AD_whenCreated A ação retorna o valor se ele existir no resultado JSON.
AD_uSNCreated A ação retorna o valor se ele existir no resultado JSON.
AD_lockoutTime A ação retorna o valor se ele existir no resultado JSON.
AD_badPasswordTime A ação retorna o valor se ele existir no resultado JSON.
AD_pwdLastSet A ação retorna o valor se ele existir no resultado JSON.
AD_sAMAccountName A ação retorna o valor se ele existir no resultado JSON.
AD_objectCategory A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogon A ação retorna o valor se ele existir no resultado JSON.
AD_objectGUID A ação retorna o valor se ele existir no resultado JSON.
AD_whenChanged A ação retorna o valor se ele existir no resultado JSON.
AD_badPwdCount A ação retorna o valor se ele existir no resultado JSON.
AD_accountExpires A ação retorna o valor se ele existir no resultado JSON.
AD_displayName A ação retorna o valor se ele existir no resultado JSON.
AD_name A ação retorna o valor se ele existir no resultado JSON.
AD_memberOf A ação retorna o valor se ele existir no resultado JSON.
AD_codePage A ação retorna o valor se ele existir no resultado JSON.
AD_userAccountControl A ação retorna o valor se ele existir no resultado JSON.
AD_sAMAccountType A ação retorna o valor se ele existir no resultado JSON.
AD_uSNChanged A ação retorna o valor se ele existir no resultado JSON.
AD_sn A ação retorna o valor se ele existir no resultado JSON.
AD_givenName A ação retorna o valor se ele existir no resultado JSON.
AD_lastLogoff A ação retorna o valor se ele existir no resultado JSON.
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes de contato do gerente:

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

 A ação foi concluída.
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes de contato do gerente:

Nome do resultado do script Valor
is_success True ou False

Is User in Group

Use a ação O usuário está no grupo? para verificar se o usuário é membro de um grupo específico.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação O usuário está no grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Name

Obrigatório.

O nome do grupo a ser verificado, como administrators.

Saídas de ação

A ação O usuário está no grupo? fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação O usuário está no grupo?:

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação O usuário está no grupo?:

Nome do resultado do script Valor
is_success True ou False

Listar grupos de usuários

Use a ação List User Groups para receber uma lista de todos os grupos de usuários disponíveis no Active Directory.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação List User Groups (Listar grupos de usuários) fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List User Groups:

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List User Groups:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com o Active Directory.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Liberar conta bloqueada

Use a ação Liberar conta bloqueada para desbloquear uma conta.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Liberar conta bloqueada fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Liberar conta bloqueada:

Nome do resultado do script Valor
is_success True ou False

Remover usuário do grupo

Use a ação Remover usuário do grupo para remover o usuário dos grupos.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Remover usuário do grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Name

Obrigatório.

Uma lista separada por vírgulas de grupos de que os usuários serão removidos.

Saídas de ação

A ação Remover usuário do grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Remover usuário do grupo pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

 A ação foi concluída.
Error executing action "Remove User From Group". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Remover usuário do grupo:

Nome do resultado do script Valor
is_success True ou False

Pesquisar no Active Directory

Use a ação Pesquisar no Active Directory para pesquisar no Active Directory usando uma consulta especificada.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Pesquisar Active Directory exige os seguintes parâmetros:

Parâmetro Descrição
Query String

Obrigatório.

A string de consulta a ser executada no Active Directory.
Limit

Opcional.

O número máximo de listagens a serem recuperadas do Active Directory.

Saídas de ação

A ação Pesquisar Active Directory fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar Active Directory:

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
Mensagens de saída

A ação Pesquisar Active Directory pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

 A ação foi concluída.
Error executing action "Search Active Directory". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar Active Directory:

Nome do resultado do script Valor
is_success True ou False

Definir senha do usuário

Use a ação Definir senha do usuário para configurar a senha do usuário.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Definir senha do usuário exige os seguintes parâmetros:

Parâmetro Descrição
New Password

Obrigatório.

Um novo valor de senha.

Saídas de ação

A ação Definir senha do usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Definir senha do usuário:

Nome do resultado do script Valor
is_success True ou False

Atualizar atributos de um host do AD

Use a ação Atualizar atributos de um host do AD para atualizar os atributos dos hosts atuais no Active Directory.

Essa ação é executada na entidade Hostname do Google SecOps.

Entradas de ação

A ação Atualizar atributos de um host do AD exige os seguintes parâmetros:

Parâmetro Descrição
Attribute Name

Obrigatório.

O nome do atributo a ser atualizado, como Description.
Attribute Value

Obrigatório.

Um novo valor para o atributo.

Saídas de ação

A ação Atualizar atributos de um host de anúncio fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Atualizar atributos de um host do AD pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 A ação foi concluída.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar atributos de um host do AD:

Nome do resultado do script Valor
is_success True ou False

Atualizar atributos de um usuário do AD

Use a ação Atualizar atributos de um usuário do AD para atualizar os atributos dos usuários atuais no Active Directory.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Atualizar atributos de um usuário do AD exige os seguintes parâmetros:

Parâmetro Descrição
Attribute Name

Obrigatório.

O nome do atributo a ser atualizado, como Description.
Attribute Value

Obrigatório.

Um novo valor para o atributo.

Saídas de ação

A ação Atualizar atributos de um usuário do AD oferece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Atualizar atributos de um usuário do AD pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 A ação foi concluída.
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar atributos de um usuário do AD:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.