将 Active Directory 与 Google SecOps 集成

本文档介绍了如何将 Active Directory 与 Google Security Operations (Google SecOps) 集成。

集成版本:37.0

此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。

使用场景

Active Directory 集成可帮助您解决以下用例:

  • 激活和停用用户:使用 Google SecOps 功能停用可能被盗用的用户账号,并防止进一步的未经授权的访问。

  • 重置密码:使用 Google SecOps 功能自动重置 Active Directory 中的用户密码,并通知用户密码已更改。

  • 管理群组:使用 Google SecOps 功能,根据新用户的角色将他们添加到相应的安全群组,并确保用户拥有正确的访问权限。

  • 检索用户信息:使用 Google SecOps 功能检索用户详细信息,例如特定用户账号的群组成员身份、上次登录时间和联系信息。

  • 自动执行离职流程:当员工离职时,使用 Google SecOps 功能停用账号、将其从群组中移除,并转移文件所有权。

准备工作

如需成功将 Active Directory 与 Google SecOps 集成,您必须配置 /etc/hosts 文件。

如果您已通过 DNS 设置配置 DNS 解析,并且您的 Active Directory 域通过完全限定 DNS 名称进行解析,则无需配置 /etc/hosts 文件。

配置 /etc/hosts 文件

如需配置 /etc/hosts 文件,请完成以下步骤:

  1. 在远程代理容器映像上,前往 /etc/hosts 文件。

  2. 输入以下命令以修改 /etc/hosts 文件:sudo vi /etc/hosts/

  3. /etc/hosts 文件中,添加用于连接到 Active Directory 的主机的 IP 地址和主机名,例如 192.0.2.195 hostname.example

  4. 保存更改。

如果您不需要集成所需的证书授权机构证书,请继续配置集成参数

如果您需要集成所需的证书授权机构证书,请继续前往下一部分。

可选:配置证书授权机构 (CA) 证书

如有需要,您可以使用证书授权机构 (CA) 证书文件配置 Active Directory 集成。

如需配置与 CA 证书的集成,请完成以下步骤:

  1. 如需获取 CA 证书,请输入 cat mycert.crt 命令:

    bash-3.2# cat mycert.crt
    -----BEGIN CERTIFICATE-----
    CERTIFICATE_STRING
    -----END CERTIFICATE-----
    bash-3.2#
    
  2. 如需使用 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字符串将根 CA 证书文件编码为 base64 格式,请输入 cat mycert.crt |base64 命令:

    bash-3.2# cat mycert.crt |base64
    BASE64_ENCODED_CERTIFICATE_STRING
    bash-3.2#
    
  3. 复制 BASE64_ENCODED_CERTIFICATE_STRING 值,并将其输入到 Google SecOps Active Directory 集成配置中的 CA Certificate File - parsed into Base64 String 参数值字段中。

  4. 如需配置 Server 参数 Google SecOps Active Directory 集成配置,请输入 Active Directory 服务器的主机名,而不是 IP 地址。

  5. 点击测试以测试配置。

将 Active Directory 与 Google SecOps 集成

Active Directory 集成需要以下参数:

参数 说明
Server

必填。

Active Directory 服务器的 IP 地址或主机名。

此参数还接受 DNS 名称,而不是 IP 地址。

此参数不支持自定义端口。

Username

必填。

要连接到 Active Directory 的用户的电子邮件地址,例如 user@example.com

此参数还接受 userPrincipalName 属性。

Domain

必填。

网络命名空间中网域的完整 DNS 路径。

如需配置此参数,请输入您的网域的完全限定域名 (FQDN),格式如下:SUBDOMAIN.ROOT_DOMAIN

例如,如果您的内部 Active Directory 网域是 example.local,则要输入的 FQDN 是 example.local。如果您的内部 Active Directory 网域是 corp.example.com,则要输入的 FQDN 是 corp.example.com
Password

必填。

用户账号的密码。

Custom Query Fields

可选。

Active Directory 集成的自定义字段,例如 customField1, customField2

CA Certificate File - parsed into Base64 String

可选。

配置 CA 证书时获得的以 base64 格式编码的 CA 证书文件字符串。如需配置此参数,请输入完整的 BASE64_ENCODED_CERTIFICATE_STRING 值。

Use SSL

可选。

如果选择此选项,集成会在连接到 Active Directory 服务器时验证 SSL 证书。

默认情况下未选中。

如需了解如何在 Google SecOps 中配置集成,请参阅配置集成

如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例

操作

如需详细了解操作,请参阅 在工作台页面中处理待处理的操作执行手动操作

将用户添加到群组

使用将用户添加到群组操作将用户添加到群组。

此操作在 Google SecOps User 实体上运行。

操作输入

将用户添加到群组操作需要以下参数:

参数 说明
Group Name

必填。

要将用户添加到的群组的英文逗号分隔列表。

操作输出

将用户添加到群组操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

将用户添加到群组操作可以返回以下输出消息:

输出消息 消息说明

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

操作成功。
Error executing action "Add User to Group". Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用将用户添加到群组操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

更改宿主组织部门

使用更改宿主组织部门操作来更改宿主的组织部门 (OU)。

此操作在 Google SecOps Hostname 实体上运行。

操作输入

更改宿主组织部门操作需要以下参数:

参数 说明
OU Name

必填。

新用户 OU 的名称。

操作输出

更改宿主组织机构部门操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用更改宿主组织部门操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

更改用户组织部门

使用更改用户组织部门操作来更改用户的组织部门 (OU)。

此操作在 Google SecOps User 实体上运行。

操作输入

更改用户 OU 操作需要以下参数:

参数 说明
OU Name

必填。

新用户 OU 的名称。

操作输出

更改用户 OU 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用更改用户 OU 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

停用账号

使用停用账号操作停用用户账号。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

停用账号操作会提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用停用账号操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

停用电脑

使用停用计算机操作停用计算机账号。

此操作在 Google SecOps Hostname 实体上运行。

操作输入

无。

操作输出

停用计算机操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用停用计算机操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

启用账号

使用启用账号操作来启用用户账号。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

启用账号操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用 Enable Account 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

启用电脑

使用启用计算机操作来启用计算机账号。

此操作在 Google SecOps Hostname 实体上运行。

操作输入

无。

操作输出

启用计算机操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用启用计算机操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

丰富实体

使用 Enrich Entities 操作可使用 Active Directory 属性来丰富 HostnameUsername 实体。

此操作是异步的。如有必要,请在 Google SecOps IDE 中调整操作的脚本超时值。

丰富实体操作可针对以下 Google SecOps 实体运行:

  • User
  • Hostname

操作输入

丰富实体操作需要以下参数:

参数 说明
Mark entities as internal

必填。

如果选择此项,该操作会自动将成功扩充的实体标记为内部实体。

Specific Attribute Names To Enrich With

可选。

以英文逗号分隔的属性名称列表,用于丰富实体。

如果您未设置任何值,该操作会使用所有可用的属性来丰富实体。如果某个属性包含多个值,该操作会使用所有可用的值来丰富该属性。

此参数区分大小写。

Should Case Wall table be filtered by the specified attributes?

可选。

如果选择此项,该操作将仅使用您在 Specific Attribute Names To Enrich With 参数值中指定的属性填充支持请求墙表格。

默认情况下未选中。

Should JSON result be filtered by the specified attributes?

可选。

如果选中此复选框,JSON 结果将仅返回您在 Specific Attribute Names To Enrich With 参数值中指定的属性。

默认情况下未选中。

操作输出

丰富实体操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
实体丰富化表 可用
JSON 结果 可用
脚本结果 可用
实体丰富化

丰富实体操作支持以下实体丰富功能:

扩充项字段名称 逻辑
AD_primaryGroupID 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_logonCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_cn 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_countryCode 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectClass 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_userPrincipalName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_adminCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogonTimestamp 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_manager 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_instanceType 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_distinguishedName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_dSCorePropagationData 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_msDS-SupportedEncryptionTypes 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectSid 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_whenCreated 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_uSNCreated 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lockoutTime 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_badPasswordTime 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_pwdLastSet 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sAMAccountName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectCategory 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogon 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectGUID 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_whenChanged 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_badPwdCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_accountExpires 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_displayName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_name 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_memberOf 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_codePage 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_userAccountControl 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sAMAccountType 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_uSNChanged 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sn 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_givenName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogoff 如果 JSON 结果中存在该值,则该操作会返回该值。
JSON 结果

以下示例展示了使用丰富实体操作时收到的 JSON 结果输出:

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
脚本结果

下表列出了使用 Enrich Entities 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

强制更新密码

使用强制更新密码操作,要求用户在下次登录时更改密码。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

强制更新密码操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用强制更新密码操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

获取群组成员

使用 Get Group Members 操作可检索指定 Active Directory 群组的成员。

此操作支持检索用户和主机名成员,并支持在嵌套群组中进行搜索。

操作输入

获取群组成员操作需要以下参数:

参数 说明
Group Name

必填。

包含所列成员的群组的名称。

Members Type

必填。

群组的成员类型。

默认值为 User

Perform Nested Search

可选。

如果选中,该操作会检索有关主群组所包含群组的其他详细信息。

默认情况下未选中。

Limit

必填。

要从 Active Directory 中检索的列表数量上限。

默认值为 100。

操作输出

获取群组成员操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
脚本结果 可用
JSON 结果

以下示例展示了使用获取群组成员操作时收到的 JSON 结果输出:

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
脚本结果

下表列出了使用 Get Group Members 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

获取经理的联系信息

使用 Get Manager Contact Details 操作从 Active Directory 获取经理的联系信息。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

获取经理联系信息操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
实体丰富化表 可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
实体丰富化

获取经理联系信息操作支持以下实体丰富功能:

扩充项字段名称 逻辑
AD_Manager_Name 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_Manager_phone 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_primaryGroupID 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_logonCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_cn 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_countryCode 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectClass 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_userPrincipalName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_adminCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogonTimestamp 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_manager 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_instanceType 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_distinguishedName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_dSCorePropagationData 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_msDS-SupportedEncryptionTypes 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectSid 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_whenCreated 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_uSNCreated 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lockoutTime 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_badPasswordTime 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_pwdLastSet 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sAMAccountName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectCategory 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogon 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_objectGUID 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_whenChanged 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_badPwdCount 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_accountExpires 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_displayName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_name 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_memberOf 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_codePage 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_userAccountControl 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sAMAccountType 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_uSNChanged 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_sn 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_givenName 如果 JSON 结果中存在该值,则该操作会返回该值。
AD_lastLogoff 如果 JSON 结果中存在该值,则该操作会返回该值。
JSON 结果

以下示例展示了使用获取经理联系详情操作时收到的 JSON 结果输出:

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
输出消息

Ping 操作可以返回以下输出消息:

输出消息 消息说明

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

操作成功。
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Get Manager Contact Details 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

用户是否在群组中

使用 Is User in Group 操作检查用户是否是特定群组的成员。

此操作在 Google SecOps User 实体上运行。

操作输入

用户是否在群组中操作需要以下参数:

参数 说明
Group Name

必填。

要检查的群组名称,例如 administrators

操作输出

用户是否属于群组操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
脚本结果 可用
JSON 结果

以下示例展示了使用用户是否在群组中操作时收到的 JSON 结果输出:

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
脚本结果

下表列出了使用 Is User in Group 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

列出用户群组

使用 List User Groups 操作获取 Active Directory 中所有可用用户组的列表。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

列出用户组操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
脚本结果 可用
JSON 结果

以下示例显示了使用列出用户群组操作时收到的 JSON 结果输出:

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
脚本结果

下表列出了使用列出用户群组操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

Ping

使用 Ping 操作测试与 Active Directory 的连接。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

为锁定账号解除保全

使用释放锁定账号操作来解锁已锁定的账号。

此操作在 Google SecOps User 实体上运行。

操作输入

无。

操作输出

释放锁定账号操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用解锁锁定账号操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

从群组中移除用户

使用从群组中移除用户操作可将用户从群组中移除。

此操作在 Google SecOps User 实体上运行。

操作输入

从群组中移除用户操作需要以下参数:

参数 说明
Group Name

必填。

要从中移除用户的群组的英文逗号分隔列表。

操作输出

从群组中移除用户操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

从群组中移除用户操作可返回以下输出消息:

输出消息 消息说明

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

操作成功。
Error executing action "Remove User From Group". Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Remove User From Group 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

搜索 Active Directory

使用搜索 Active Directory 操作,通过指定查询搜索 Active Directory。

此操作不适用于 Google SecOps 实体。

操作输入

搜索 Active Directory 操作需要以下参数:

参数 说明
Query String

必填。

要在 Active Directory 中执行的查询字符串。

Limit

可选。

要从 Active Directory 中检索的列表数量上限。

操作输出

搜索 Active Directory 操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 可用
输出消息 可用
脚本结果 可用
JSON 结果

以下示例展示了使用搜索 Active Directory 操作时收到的 JSON 结果输出:

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
输出消息

搜索 Active Directory 操作可以返回以下输出消息:

输出消息 消息说明

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

操作成功。
Error executing action "Search Active Directory". Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用搜索 Active Directory 操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

设置用户密码

使用设置用户密码操作来配置用户密码。

此操作在 Google SecOps User 实体上运行。

操作输入

设置用户密码操作需要以下参数:

参数 说明
New Password

必填。

新密码值。

操作输出

设置用户密码操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
脚本结果 可用
脚本结果

下表列出了使用设置用户密码操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

更新 AD 主机的属性

使用 Update attributes of an AD Host 操作可更新 Active Directory 中当前主机的属性。

此操作在 Google SecOps Hostname 实体上运行。

操作输入

更新 AD 主机的属性操作需要以下参数:

参数 说明
Attribute Name

必填。

要更新的属性的名称,例如 Description

Attribute Value

必填。

属性的新值。

操作输出

更新 AD 主机的属性操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

更新 AD 主机的属性操作可以返回以下输出消息:

输出消息 消息说明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

操作成功。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用更新广告主属性操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

更新 AD 用户的属性

使用更新 AD 用户的属性操作来更新 Active Directory 中当前用户的属性。

此操作在 Google SecOps User 实体上运行。

操作输入

更新 AD 用户的属性操作需要以下参数:

参数 说明
Attribute Name

必填。

要更新的属性的名称,例如 Description

Attribute Value

必填。

属性的新值。

操作输出

更新 AD 用户的属性操作提供以下输出:

操作输出类型 可用性
案例墙附件 不可用
案例墙链接 不可用
“支持请求墙”表格 不可用
丰富化表 不可用
JSON 结果 不可用
输出消息 可用
脚本结果 可用
输出消息

更新 AD 用户的属性操作可以返回以下输出消息:

输出消息 消息说明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

操作成功。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用更新 AD 用户的属性操作时脚本结果输出的值:

脚本结果名称
is_success TrueFalse

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。