將 Active Directory 與 Google SecOps 整合

本文說明如何將 Active Directory 與 Google Security Operations (Google SecOps) 整合。

整合版本:37.0

這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。

用途

Active Directory 整合功能可協助您解決下列用途:

  • 啟用及停用使用者:使用 Google SecOps 功能停用可能遭入侵的使用者帳戶,防止未經授權的存取行為。

  • 重設密碼:使用 Google SecOps 功能自動重設 Active Directory 中的使用者密碼,並通知使用者這項變更。

  • 管理群組:根據使用者的角色,運用 Google SecOps 功能將新使用者加入適當的安全性群組,並確保使用者擁有正確的存取權。

  • 擷取使用者資訊:使用 Google SecOps 功能擷取使用者詳細資料,例如群組成員、上次登入時間,以及特定使用者帳戶的聯絡資訊。

  • 自動執行離職程序:員工離職時,使用 Google SecOps 功能停用帳戶、將帳戶從群組中移除,並轉移檔案擁有權。

事前準備

如要順利將 Active Directory 與 Google SecOps 整合,請務必設定 /etc/hosts 檔案。

如果您已透過 DNS 設定設定 DNS 解析,且 Active Directory 網域是由完整 DNS 名稱解析,則不需要設定 /etc/hosts 檔案。

設定 /etc/hosts 檔案

如要設定 /etc/hosts 檔案,請完成下列步驟:

  1. 在遠端代理程式容器映像檔中,前往 /etc/hosts 檔案。

  2. 輸入下列指令來編輯 /etc/hosts 檔案: sudo vi /etc/hosts/

  3. /etc/hosts 檔案中,新增用於連線至 Active Directory 的主機 IP 位址和主機名稱,例如 192.0.2.195 hostname.example

  4. 儲存變更。

如果整合作業不需要憑證授權單位憑證,請繼續設定整合參數

如需整合用的認證授權單位憑證,請參閱下一節。

選用:設定憑證授權單位 (CA) 憑證

如有需要,您可以使用憑證授權單位 (CA) 憑證檔案設定 Active Directory 整合功能。

如要設定與 CA 憑證的整合,請完成下列步驟:

  1. 如要取得 CA 憑證,請輸入 cat mycert.crt 指令:

    bash-3.2# cat mycert.crt
-----BEGIN CERTIFICATE-----
CERTIFICATE_STRING
-----END CERTIFICATE-----
bash-3.2#

  2. 如要使用 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 字串將根 CA 憑證檔案編碼為 base64 格式,請輸入 cat mycert.crt |base64 指令:

    bash-3.2# cat mycert.crt |base64
BASE64_ENCODED_CERTIFICATE_STRING
bash-3.2#

  3. 複製BASE64_ENCODED_CERTIFICATE_STRING值,然後在 Google SecOps Active Directory 整合設定的參數值欄位中輸入該值。CA Certificate File - parsed into Base64 String

  4. 如要設定 Server 參數,請在 Google SecOps Active Directory 整合設定中輸入 Active Directory 伺服器的主機名稱,而非 IP 位址。

  5. 按一下「測試」,測試設定。

將 Active Directory 與 Google SecOps 整合

Active Directory 整合需要下列參數:

參數 說明
Server

必填。

Active Directory 伺服器的 IP 位址或主機名稱。

這項參數也接受 DNS 名稱,而非 IP 位址。

這項參數不支援自訂連接埠。
Username

必填。

要連線至 Active Directory 的使用者電子郵件地址,例如 user@example.com

這個參數也接受 userPrincipalName 屬性。
Domain

必填。

網域在網路命名空間中的完整 DNS 路徑。

如要設定這個參數,請輸入網域的完整網域名稱 (FQDN),格式如下:SUBDOMAIN.ROOT_DOMAIN

舉例來說,如果您的內部 Active Directory 網域是 example.local,則要輸入的 FQDN 為 example.local。如果內部 Active Directory 網域是 corp.example.com,則要輸入的 FQDN 是 corp.example.com
Password

必填。

使用者帳戶的密碼。
Custom Query Fields

選填。

Active Directory 整合的自訂欄位,例如 customField1, customField2
CA Certificate File - parsed into Base64 String

選填。

以 Base64 格式編碼的 CA 憑證檔案字串,您在設定 CA 憑證時取得。如要設定這項參數,請輸入完整的 BASE64_ENCODED_CERTIFICATE_STRING 值。
Use SSL

選填。

如果選取這個選項,整合服務會在連線至 Active Directory 伺服器時驗證 SSL 憑證。

預設為未選取。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

將使用者加入群組

使用「將使用者加入群組」動作,將使用者加入群組。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「將使用者新增至群組」動作需要下列參數:

參數 說明
Group Name

必填。

請以半形逗號分隔清單的形式列出要新增使用者的群組。

動作輸出內容

「將使用者加入群組」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將使用者新增至群組」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were already a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to add the following users to the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were added to the group "GROUP_NAME" in Active Directory.

No users were added to the provided groups in Active Directory.

 動作成功。
Error executing action "Add User to Group". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「將使用者新增至群組」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

變更主機機構單位

使用「變更主機機構單位」動作,變更主機的機構單位 (OU)。

這項動作會在 Google SecOps Hostname 實體上執行。

動作輸入內容

「變更主機 OU」動作需要下列參數:

參數 說明
OU Name

必填。

新使用者 OU 的名稱。

動作輸出內容

「變更主機 OU」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「變更主機 OU」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

變更使用者機構單位

使用「變更使用者機構單位」動作,變更使用者的機構單位 (OU)。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「變更使用者 OU」動作需要下列參數:

參數 說明
OU Name

必填。

新使用者 OU 的名稱。

動作輸出內容

「變更使用者 OU」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「變更使用者 OU」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

停用帳戶

使用「停用帳戶」動作停用使用者帳戶。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「停用帳戶」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「停用帳戶」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

停用電腦

使用「停用電腦」動作停用電腦帳戶。

這項動作會在 Google SecOps Hostname 實體上執行。

動作輸入內容

動作輸出內容

「停用電腦」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「停用電腦」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

啟用帳戶

使用「啟用帳戶」動作啟用使用者帳戶。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「啟用帳戶」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「啟用帳戶」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

啟用電腦

使用「啟用電腦」動作啟用電腦帳戶。

這項動作會在 Google SecOps Hostname 實體上執行。

動作輸入內容

動作輸出內容

「啟用電腦」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「啟用電腦」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

充實實體

使用「Enrich Entities」(擴充實體) 動作,以 Active Directory 屬性擴充 HostnameUsername 實體。

這項動作是非同步作業。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

「Enrich Entities」(擴充實體) 動作會在下列 Google SecOps 實體上執行:

  • User
  • Hostname

動作輸入內容

「Enrich Entities」動作需要下列參數:

參數 說明
Mark entities as internal

必填。

如果選取這個選項,系統會自動將成功擴充的實體標示為內部實體。
Specific Attribute Names To Enrich With

選填。

以半形逗號分隔的屬性名稱清單,用於擴充實體。

如未設定任何值,這項動作會使用所有可用屬性擴充實體。如果屬性包含多個值,這項動作會使用所有可用值擴充屬性。

這個參數會區分大小寫。
Should Case Wall table be filtered by the specified attributes?

選填。

如果選取這個動作,案件牆資料表只會填入你在 Specific Attribute Names To Enrich With 參數值中指定的屬性。

預設為未選取。
Should JSON result be filtered by the specified attributes?

選填。

如果選取這個選項,JSON 結果只會傳回您在 Specific Attribute Names To Enrich With 參數值中指定的屬性。

預設為未選取。

動作輸出內容

「Enrich Entities」(擴充實體) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
實體擴充資料表 可用
JSON 結果 可用
指令碼結果 可用
實體充實

「Enrich Entities」動作支援下列實體擴充功能:

補充資料欄位名稱 邏輯
AD_primaryGroupID 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_logonCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_cn 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_countryCode 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectClass 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_userPrincipalName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_adminCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogonTimestamp 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_manager 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_instanceType 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_distinguishedName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_dSCorePropagationData 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_msDS-SupportedEncryptionTypes 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectSid 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_whenCreated 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_uSNCreated 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lockoutTime 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_badPasswordTime 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_pwdLastSet 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sAMAccountName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectCategory 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogon 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectGUID 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_whenChanged 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_badPwdCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_accountExpires 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_displayName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_name 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_memberOf 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_codePage 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_userAccountControl 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sAMAccountType 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_uSNChanged 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sn 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_givenName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogoff 如果 JSON 結果中存在該值,動作就會傳回該值。
JSON 結果

以下範例顯示使用「Enrich Entities」動作時收到的 JSON 結果輸出內容:

[
    {
        "EntityResult": {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["GUID"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example user"],
            "name": ["user"],
            "memberOf": ["CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"
                          ]},
        "Entity": "user@example.com"
    }
]
指令碼結果

下表列出使用「Enrich Entities」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

強制更新密碼

使用「強制更新密碼」動作,要求使用者在下次登入時變更密碼。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「強制更新密碼」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「強制更新密碼」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得群組成員

使用「Get Group Members」(取得群組成員) 動作,擷取指定 Active Directory 群組的成員。

這項操作支援擷取使用者和主機名稱成員,並支援在巢狀群組中搜尋。

動作輸入內容

「取得群組成員」動作需要下列參數:

參數 說明
Group Name

必填。

列出成員的群組名稱。
Members Type

必填。

群組的成員類型。

預設值為 User
Perform Nested Search

選填。

如果選取這個選項,動作會擷取主要群組所屬群組的其他詳細資料。

預設為未選取。
Limit

必填。

從 Active Directory 擷取的商家資訊數量上限。

預設值為 100。

動作輸出內容

「取得群組成員」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得群組成員」動作時收到的 JSON 結果輸出內容:

[
  {
    "cn":"Example User1",
    "displayName":"Example User1",
    "distinguishedName":"CN=Example User1,OU=User Accounts,DC=example,DC=local"
  },
  {
    "cn":"Example User2",
    "displayName":"Example User2",
    "distinguishedName":"CN=Example User2,CN=Users,DC=example,DC=local"
  },
  {
    "cn":"Example User3",
    "displayName":"Example User3",
    "distinguishedName":"CN=Example User3,CN=Users,DC=example,DC=local"
  }
]
指令碼結果

下表列出使用「取得群組成員」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得管理員聯絡資料

使用「取得經理聯絡資料」動作,從 Active Directory 取得經理聯絡資料。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「取得管理員聯絡資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
實體充實

「取得管理員聯絡資訊」動作支援下列實體擴充功能:

補充資料欄位名稱 邏輯
AD_Manager_Name 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_Manager_phone 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_primaryGroupID 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_logonCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_cn 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_countryCode 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectClass 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_userPrincipalName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_adminCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogonTimestamp 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_manager 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_instanceType 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_distinguishedName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_dSCorePropagationData 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_msDS-SupportedEncryptionTypes 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectSid 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_whenCreated 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_uSNCreated 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lockoutTime 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_badPasswordTime 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_pwdLastSet 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sAMAccountName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectCategory 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogon 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_objectGUID 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_whenChanged 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_badPwdCount 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_accountExpires 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_displayName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_name 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_memberOf 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_codePage 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_userAccountControl 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sAMAccountType 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_uSNChanged 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_sn 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_givenName 如果 JSON 結果中存在該值,動作就會傳回該值。
AD_lastLogoff 如果 JSON 結果中存在該值,動作就會傳回該值。
JSON 結果

以下範例顯示使用「Get Manager Contact Details」動作時收到的 JSON 結果輸出內容:

[
   {
        "EntityResult":
        {
            "primaryGroupID": [513],
            "logonCount": [6505],
            "cn": ["user name"],
            "countryCode": [0],
            "objectClass": ["top", "person", "organizationalPerson"],
            "userPrincipalName": ["user@example.com"],
            "adminCount": [1],
            "lastLogonTimestamp": ["2019-01-09 08:42:03.540783+00:00"],
            "manager": ["CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"],
            "instanceType": [4],
            "distinguishedName": ["CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "dSCorePropagationData": ["2019-01-14 14:39:16+00:00"],
            "msDS-SupportedEncryptionTypes": [0],
            "objectSid": ["ID"],
            "whenCreated": ["2011-11-07 08:00:44+00:00"],
            "uSNCreated": [7288202],
            "lockoutTime": ["1601-01-01 00:00:00+00:00"],
            "badPasswordTime": ["date"],
            "pwdLastSet": ["date"],
            "sAMAccountName": ["example"],
            "objectCategory": ["CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"],
            "lastLogon": ["2019-01-14 17:13:54.463070+00:00"],
            "objectGUID": ["{id}"],
            "whenChanged": ["2019-01-14 16:49:01+00:00"],
            "badPwdCount": [1],
            "accountExpires": ["9999-12-31 23:59:59.999999"],
            "displayName": ["example"],
            "name": ["user"],
            "memberOf": ["CN= u05e7 u05d1 u05d5 u05e6 u05d4  u05d1 u05e2 u05d1 u05e8 u05d9 u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL", "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL", "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"],
            "codePage": [0],
            "userAccountControl": [111],
            "sAMAccountType": [805306368],
            "uSNChanged": [15301168],
            "sn": ["example"],
            "givenName": ["user"],
            "lastLogoff": ["1601-01-01 00:00:00+00:00"]
        },
        "Entity": "user@example.com"
    }
]
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

All entities were processed successfully.

Some entities were processed successfully and some weren't. Please check the action log for further information.

No entities were processed.

 動作成功。
Error executing action "Get Manager Contact Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得管理員聯絡資訊」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

使用者是否屬於群組

使用「Is User in Group」(使用者是否屬於群組) 動作,檢查使用者是否為特定群組的成員。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「使用者是否在群組中」動作需要下列參數:

參數 說明
Group Name

必填。

要檢查的群組名稱,例如 administrators

動作輸出內容

「使用者是否屬於群組」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Is User in Group」(使用者是否屬於群組) 動作時收到的 JSON 結果輸出內容:

[
    {
        "EntityResult": true,
        "Entity": "USER1@EXAMPLE.COM"
    }, {
        "EntityResult": false,
        "Entity": "USER2@EXAMPLE.COM"
    }, {
        "EntityResult": true,
        "Entity": "USER3@EXAMPLE.COM"
    }
]
指令碼結果

下表列出使用「Is User in Group」(使用者是否屬於群組) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

列出使用者群組

使用「列出使用者群組」動作,取得 Active Directory 中所有可用使用者群組的清單。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「列出使用者群組」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「列出使用者群組」動作時收到的 JSON 結果輸出內容:

[
    {
        "EntityResult": ["Domain Users"],
        "Entity": "user@example.com"
    }
]
指令碼結果

下表列出使用「列出使用者群組」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 Active Directory 的連線。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

對鎖定的帳戶取消訴訟保留

使用「Release Locked Account」(解除鎖定帳戶) 動作,解除鎖定帳戶。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

動作輸出內容

「Release Locked Account」(解除鎖定帳戶) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「Release Locked Account」(解除鎖定帳戶) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

從群組中移除使用者

使用「Remove User From Group」(從群組中移除使用者) 動作,從群組中移除使用者。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「從群組中移除使用者」動作需要下列參數:

參數 說明
Group Name

必填。

請以逗號分隔清單的形式列出要移除使用者的群組。

動作輸出內容

「從群組中移除使用者」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Remove User From Group」(從群組移除使用者) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully removed the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

The following users were not a part of the group "GROUP_NAME" in Active Directory: ENTITY_ID

Action wasn't able to remove the following users from the group "GROUP_NAME" in Active Directory: ENTITY_ID

No users were removed from the group "GROUP_NAME" in Active Directory.

No users were removed from the provided groups in Active Directory.

 動作成功。
Error executing action "Remove User From Group". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「從群組移除使用者」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋 Active Directory

使用「搜尋 Active Directory」動作,透過指定查詢搜尋 Active Directory。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋 Active Directory」動作需要下列參數:

參數 說明
Query String

必填。

要在 Active Directory 中執行的查詢字串。
Limit

選填。

從 Active Directory 擷取的商家資訊數量上限。

動作輸出內容

「搜尋 Active Directory」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Search Active Directory」動作時收到的 JSON 結果輸出內容:

[
      {
        "primaryGroupID": [
          513
        ],
        "logonCount": [
          6505
        ],
        "cn": [
          "user name"
        ],
        "countryCode": [
          0
        ],
        "objectClass": [
          "top",
          "person",
          "organizationalPerson"
        ],
        "userPrincipalName": [
          "user@example.com"
        ],
        "adminCount": [
          1
        ],
        "lastLogonTimestamp": [
          "2019-01-09 08:42:03.540783+00:00"
        ],
        "manager": [
          "CN=user name,OU=R&D,OU=TLV,OU=host name,DC=domain,DC=LOCAL"
        ],
        "instanceType": [
          4
        ],
        "distinguishedName": [
          "CN=user name,OU=R&D,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "dSCorePropagationData": [
          "2019-01-14 14:39:16+00:00"
        ],
        "msDS-SupportedEncryptionTypes": [
          0
        ],
        "objectSid": [
          "ID"
        ],
        "whenCreated": [
          "2011-11-07 08:00:44+00:00"
        ],
        "uSNCreated": [
          7288202
        ],
        "lockoutTime": [
          "1601-01-01 00:00:00+00:00"
        ],
        "badPasswordTime": [
          "date"
        ],
        "pwdLastSet": [
          "date"
        ],
        "sAMAccountName": [
          "example"
        ],
        "objectCategory": [
          "CN=Person,CN=Schema,CN=Configuration,DC=host,DC=LOCAL"
        ],
        "lastLogon": [
          "2019-01-14 17:13:54.463070+00:00"
        ],
        "objectGUID": [
          "GUID"
        ],
        "whenChanged": [
          "2019-01-14 16:49:01+00:00"
        ],
        "badPwdCount": [
          1
        ],
        "accountExpires": [
          "9999-12-31 23:59:59.999999"
        ],
        "displayName": [
          "example"
        ],
        "name": [
          "user"
        ],
        "memberOf": [
          "CN=\\\\u05e7\\\\u05d1\\\\u05d5\\\\u05e6\\\\u05d4 \\\\u05d1\\\\u05e2\\\\u05d1\\\\u05e8\\\\u05d9\\\\u05ea,OU=TEST,OU=QA,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL",
          "CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=LOCAL",
          "CN=Local Admin,OU=Groups,OU=IT,OU=TLV,OU=host,DC=domain,DC=LOCAL"
        ],
        "codePage": [
          0
        ],
        "userAccountControl": [
          111
        ],
        "sAMAccountType": [
          805306368
        ],
        "uSNChanged": [
          15301168
        ],
        "sn": [
          "example"
        ],
        "givenName": [
          "user"
        ],
        "lastLogoff": [
          "1601-01-01 00:00:00+00:00"
        ]
      }
    ]
輸出訊息

「搜尋 Active Directory」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully performed the query "QUERY_STRING" in Active Directory.

No results to show following the query: "QUERY_STRING".

 動作成功。
Error executing action "Search Active Directory". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋 Active Directory」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

設定使用者密碼

使用「設定使用者密碼」動作設定使用者密碼。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「設定使用者密碼」動作需要下列參數:

參數 說明
New Password

必填。

新密碼值。

動作輸出內容

「設定使用者密碼」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
指令碼結果 可用
指令碼結果

下表列出使用「設定使用者密碼」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

更新 AD 主機的屬性

使用「更新 AD 主機的屬性」動作,更新 Active Directory 中目前主機的屬性。

這項動作會在 Google SecOps Hostname 實體上執行。

動作輸入內容

「更新 AD Host 的屬性」動作需要下列參數:

參數 說明
Attribute Name

必填。

要更新的屬性名稱,例如 Description
Attribute Value

必填。

屬性的新值。

動作輸出內容

「Update attributes of an AD Host」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「更新 AD 主機的屬性」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 動作成功。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「更新 AD 主機的屬性」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

更新 AD 使用者的屬性

使用「更新 AD 使用者的屬性」動作,更新 Active Directory 中目前使用者的屬性。

這項動作會在 Google SecOps User 實體上執行。

動作輸入內容

「更新 AD 使用者的屬性」動作需要下列參數:

參數 說明
Attribute Name

必填。

要更新的屬性名稱,例如 Description
Attribute Value

必填。

屬性的新值。

動作輸出內容

「更新 AD 使用者的屬性」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「更新 AD 使用者的屬性」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Active Directory - Following entities were updated successfully: ENTITY_ID_LIST.

No suitable entities were found.

 動作成功。
Failed to update the ATTRIBUTE_NAME for the following entities: ENTITY_ID_LIST.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「更新 AD 使用者屬性」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。