Automox in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Automox in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 5.0
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://#123;#123;api_root#125;#125; | Ja | API-Stammverzeichnis der Automox-Instanz. |
| API-Schlüssel | Passwort | – | Nein | API-Schlüssel der Automox-Instanz. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zu Automox gültig ist. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
API-Schlüssel generieren
Weitere Informationen zum Generieren eines API-Schlüssels finden Sie im Dokument „Newbie's Guide to Getting Started with Automox API“ (Leitfaden für Anfänger für die ersten Schritte mit der Automox API) im Schritt Find your API key in the console (API-Schlüssel in der Konsole suchen).
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Entitäten anreichern
Entitäten mit Informationen von Automox anreichern
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Patches zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, gibt die Aktion eine Liste der Patches zurück, die auf dem Computer aktualisiert werden müssen. Hinweis:Bei der Aktion werden keine Patches zurückgegeben, die installiert oder ignoriert wurden. |
| Maximale Anzahl zurückzugebender Patches | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Patches an. Wenn nichts angegeben wird, gibt die Aktion 50 Patches zurück. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": 2263017,
"agent_version": "1.41.125",
"commands": [],
"compatibility_checks": {
"missing_wmi_integrity_check": false,
"missing_powershell": false,
"low_diskspace": false
},
"compliant": true,
"connected": false,
"create_time": "2022-10-24T09:14:12+0000",
"custom_name": "",
"deleted": false,
"detail": {
"IPS": [
"192.0.2.176",
"2001:db8:1:1:1:1:1:1"
],
"UPDATE_SOURCE_CHECK": {
"CONNECTED": "True",
"ERROR": "Succeeded"
},
"MDM_SERVER": null,
"FQDNS": [
"DESKTOP-65M05SE.WORKGROUP"
],
"RAM": "8589934592",
"SECURE_TOKEN_ACCOUNT": null,
"LAST_USER_LOGON": {
"SRC": "DESKTOP-65M05SE",
"USER": "DESKTOP-65M05SE\\Admin",
"TIME": "10/24/2022 2:59:45 AM"
},
"VOLUME": [
{
"IS_SYSTEM_DISK": "True",
"VOLUME": "C:",
"FSTYPE": "NTFS",
"LABEL": "Local Disk",
"AVAIL": "63766056960",
"FREE": "39201988608"
}
],
"DISTINGUISHED_NAME": "",
"MODEL": "VMware7,1",
"CPU": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"MDM_PROFILE_INSTALLED": null,
"VENDOR": "VMware, Inc.",
"AUTO_UPDATE_OPTIONS": {
"OPTIONS": "off",
"ENABLED": "1"
},
"SERVICETAG": "No Asset Tag",
"PS_VERSION": "5",
"WSUS_CONFIG": {
"WSUS_REACHABLE": "1",
"WSUS_MANAGED": "0",
"WSUS_SERVER": ""
},
"SERIAL": "VMware",
"NICS": [
{
"VENDOR": "Intel(R) 82574L Gigabit Network Connection",
"DEVICE": "Ethernet0",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": [
"172.30.201.176",
"2001:db8:1:1:1:1:1:1"
],
"CONNECTED": true
},
{
"IPS": [],
"CONNECTED": false,
"VENDOR": "WAN Miniport (IP)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF"
},
{
"VENDOR": "WAN Miniport (IPv6)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": [],
"CONNECTED": false
},
{
"CONNECTED": false,
"VENDOR": "WAN Miniport (Network Monitor)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": []
}
],
"WMI_INTEGRITY_CHECK": "True",
"VERSION": "440BX Desktop Reference Platform",
"DISKS": [
{
"TYPE": "VMware Virtual disk SCSI Disk Device",
"SIZE": "64420392960"
}
]
},
"display_name": "DESKTOP-65M05SE",
"exception": false,
"instance_id": "",
"ip_addrs": [
"192.0.2.139"
],
"ip_addrs_private": [
"192.0.2.176",
"2001:db8:1:1:1:1:1:1"
],
"is_compatible": true,
"is_delayed_by_notification": false,
"is_delayed_by_user": false,
"last_disconnect_time": "2022-10-25T09:19:29+0000",
"last_logged_in_user": "DESKTOP-65M05SE\\Admin",
"last_process_time": "2022-10-25T08:19:24+0000",
"last_refresh_time": "2022-10-25T08:23:48+0000",
"last_scan_failed": false,
"last_update_time": "2022-10-25T08:22:14+0000",
"mdm": null,
"name": "DESKTOP-65M05SE",
"needs_attention": false,
"needs_reboot": false,
"next_patch_time": null,
"notification_count": 0,
"organization_id": 104513,
"organizational_unit": "",
"os_family": "Windows",
"os_name": "10 Enterprise Evaluation",
"os_version": "10.0.19043",
"os_version_id": 4876,
"patch_deferral_count": 0,
"patches": 1,
"pending": false,
"pending_patches": 0,
"policy_status": [
{
"id": 316123693,
"organization_id": 104513,
"policy_id": 245687,
"server_id": 2263017,
"policy_name": "Apply All Patches",
"policy_type_name": "patch",
"status": 1,
"result": "{}",
"create_time": "2022-10-25T08:23:48+0000",
"will_reboot": false,
"pending_count": 0,
"next_remediation": null
}
],
"reboot_deferral_count": 0,
"reboot_is_delayed_by_notification": false,
"reboot_is_delayed_by_user": false,
"reboot_notification_count": 0,
"refresh_interval": 1440,
"serial_number": "VMware",
"server_group_id": 145150,
"server_policies": [],
"status": {
"device_status": "not-ready",
"agent_status": "disconnected",
"policy_status": "compliant",
"policy_statuses": [
{
"id": 245687,
"compliant": true
},
{
"id": 245688,
"compliant": true
}
]
},
"tags": [
"Recently Added"
],
"timezone": "UTC-0700",
"total_count": 1,
"uptime": "1872",
"uuid": "UUID",
"list_of_patches": [
{
"id": 2077952013,
"server_id": 2263017,
"package_id": 227229243,
"software_id": 167943,
"installed": true,
"ignored": false,
"group_ignored": false,
"deferred_until": null,
"group_deferred_until": null,
"name": "example",
"display_name": "MSXML 6.0 RTM Security Update (925673)",
"version": "103",
"repo": "WindowsUpdate",
"cves": [],
"cve_score": "9.0",
"agent_severity": "9.0",
"severity": "critical",
"package_version_id": 233355423,
"os_name": "10 Enterprise Evaluation",
"os_version": "10.0.19043",
"os_version_id": 4876,
"create_time": "2021-06-28T15:45:57+0000",
"requires_reboot": true,
"patch_classification_category_id": 8,
"patch_scope": "important",
"is_uninstallable": false,
"secondary_id": null,
"is_managed": true,
"impact": 0,
"organization_id": 104513
}
]
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| id | Wenn in JSON verfügbar |
| agent_version | Wenn in JSON verfügbar |
| konform | Wenn in JSON verfügbar |
| verbunden | Wenn in JSON verfügbar |
| create_time | Wenn in JSON verfügbar |
| custom_name | Wenn in JSON verfügbar |
| ip_addrs_private | Wenn in JSON verfügbar |
| last_disconnect_time | Wenn in JSON verfügbar |
| last_logged_in_user | Wenn in JSON verfügbar |
| last_update_time | Wenn in JSON verfügbar |
| os | Wenn in JSON verfügbar |
| pending_patches | Wenn in JSON verfügbar |
| Tags | Wenn in JSON verfügbar |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Einheit verfügbar sind (is_success=true): „Successfully enriched the following entities using information from Automox: {entity.identifier}“ (Die folgenden Einheiten wurden mit Informationen von Automox angereichert: {entity.identifier}). Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen von Automox anreichern: {entity.identifier}“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘.“ Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Titel: {entity.identifier} Spalten:
|
Entität |
Gerätebefehl ausführen
Führen Sie einen Befehl auf dem Endpunkt in Automox aus.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Befehl | DDL | Gerät prüfen Mögliche Werte:
|
Nein | Geben Sie einen Befehl an, der auf dem Gerät ausgeführt werden muss. Hinweis:Wenn „Install Specific Patches“ (Bestimmte Patches installieren) ausgewählt ist, ist der Parameter „Patch Names“ (Patch-Namen) erforderlich. |
| Patch-Namen | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der Patches an, die installiert werden müssen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": 8527028217,
"server_id": 2263017,
"command_id": 164850699,
"organization_id": 104513,
"args": "ASD",
"reboot": 0,
"exec_time": "2022-10-25T08:02:43+0000",
"response": [
"0",
"Installing MS updates: ASD\\r\\nCouldn't find update for ASD, skipping.\\r\\nNothing left to do",
null
],
"response_time": "2022-10-25T08:22:14+0000",
"policy_id": null,
"agent_command_type": 0,
"command_type_name": "InstallUpdate"
}
{
"reason": "Device is offline. Please check the connectivity."
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn das Gerät gefunden wurde und eine Verbindung besteht (is_success=true): „Successfully executed command {Command} on the following entities in Automox: {entity.identifier}.“ (Der Befehl „{Command}“ wurde auf den folgenden Einheiten in Automox ausgeführt: {entity.identifier}.) Bitte prüfen Sie das JSON-Ergebnis, um sicherzugehen, dass der Befehl korrekt ausgeführt wurde.“ Wenn das Gerät nicht gefunden wird oder für eine Entität verbunden ist (is_success=true): „Die Aktion konnte den Befehl {Command} für die folgenden Entitäten in Automox nicht ausführen: {entity.identifier}. Bitte überprüfen Sie die Rechtschreibung und die Verbindung.“ Wenn das Gerät nicht gefunden wird oder für alle Entitäten verbunden ist (is_success=false): „Es wurden keine Befehle für die angegebenen Entitäten ausgeführt. Bitte überprüfen Sie die Rechtschreibung und die Verbindung.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder keine Verbindung zum Server: „Fehler beim Ausführen der Aktion ‚Gerätebefehl ausführen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Richtlinie ausführen
Führen Sie eine Richtlinie in Automox aus.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Umfang der Problembehebung | DDL | Alle Geräte Mögliche Werte:
|
Nein | Geben Sie den Umfang der Abhilfemaßnahmen für die Aktion an. Wenn „Nur Entitäten“ ausgewählt ist, werden Richtlinien nur für die gültigen Entitäten im Bereich ausgeführt. Wenn „Alle Geräte“ ausgewählt ist, wird die Richtlinie auf allen Geräten in der Organisation ausgeführt. |
| Richtlinienname | String | – | Nein | Geben Sie den Namen der Richtlinie an, die ausgeführt werden soll. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"status": "done/failure if entity not found"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Server behoben wurde und die Ausführung für eine Entität erfolgreich war (is_success=true): „Die Richtlinie {Policy} wurde für die folgenden Entitäten in Automox erfolgreich ausgeführt: {entity.identifier}.“ Wenn der Server behoben wurde und ein Server nicht gefunden wird (is_success=true): „Die Aktion konnte die Richtlinie {Policy} für die folgenden Einheiten in Automox nicht ausführen: {entity.identifier}.“ Wenn der Server behoben wurde und alle Server nicht gefunden werden (is_success=false): „Es wurden keine Einheiten gefunden. Richtlinie {Policy} wurde nicht ausgeführt.“ Wenn alle Server behoben wurden (is_success=true): „Successfully executed policy {Policy} in Automox.“ (Die Richtlinie {Policy} wurde in Automox erfolgreich ausgeführt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Richtlinie ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn die Richtlinie nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Richtlinie ausführen‘. Grund: Die Richtlinie „{policy name}“ wurde in Automox nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ | Allgemein |
Richtlinien auflisten
Verfügbare Richtlinien in Automox auflisten
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Filterschlüssel | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Schlüssel an, der zum Filtern der Richtlinie verwendet werden muss. |
| Filterlogik | DDL | Nicht angegeben Mögliche Werte:
|
Nein | Geben Sie die Filterlogik an, die angewendet werden soll. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. |
| Filterwert | String | – | Nein | Geben Sie den Wert an, der im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird versucht, die genaue Übereinstimmung unter den Ergebnissen zu finden. Wenn „Enthält“ ausgewählt ist, wird versucht, Ergebnisse zu finden, die diese Teilzeichenfolge enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. |
| Maximale Anzahl zurückzugebender Datensätze | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Datensätze an. Wenn nichts angegeben wird, werden 50 Datensätze zurückgegeben. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"id": 245687,
"name": "Apply All Patches",
"policy_type_name": "patch",
"organization_id": 104513,
"configuration": {
"auto_patch": false,
"patch_rule": "all",
"auto_reboot": false,
"notify_user": false,
"include_optional": true,
"notify_reboot_user": true,
"missed_patch_window": true,
"custom_notification_max_delays": 3,
"custom_notification_deferment_periods": [
1,
2,
4
]
},
"schedule_days": 254,
"schedule_weeks_of_month": 62,
"schedule_months": 8190,
"schedule_time": "17:00",
"notes": "",
"create_time": "2022-10-24T08:44:37+0000",
"server_groups": [
145150
],
"server_count": 1,
"status": "inactive"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten verfügbar sind (is_success=true): „Successfully found policies for the provided criteria in Automox“ (Richtlinien für die angegebenen Kriterien in Automox gefunden). Wenn keine Daten verfügbar sind (is_success=false): „No policies were found for the provided criteria in Automox.“ (Für die angegebenen Kriterien wurden in Automox keine Richtlinien gefunden.) Wenn der Parameter „Filterwert“ leer ist (is_success=true): „Der Filter wurde nicht angewendet, da der Parameter ‚Filterwert‘ leer ist.“ Wenn der Parameter „Filter Logic“ auf „Not Specified“ (is_success=true) festgelegt ist: „The filter was not applied, because parameter "Filter Logic" is not specified.“ (Der Filter wurde nicht angewendet, da der Parameter „Filter Logic“ nicht angegeben ist.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Parameter „Filterschlüssel“ auf „Select One“ (Einen auswählen) und die „Filterlogik“ auf „Equal“ (Gleich) oder „Contains“ (Enthält) festgelegt ist: „Error executing action {action name}. Grund: Sie müssen ein Feld aus dem Parameter „Filterschlüssel“ auswählen.“ Wenn ein ungültiger Wert für den Parameter „Max. zurückzugebende Datensätze“ angegeben wird: „Fehler beim Ausführen der Aktion {action name}. Grund: Für „Max. zurückzugebende Datensätze“ wurde ein ungültiger Wert angegeben: . Es muss eine positive Zahl angegeben werden.“ Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder keine Verbindung zum Server: „Fehler beim Ausführen der Aktion ‚List Policies‘.“ Grund: {0}''.format(error.Stacktrace) |
Allgemein | |
| Tabelle „Fall-Repository“ | Tabellenname:Available Policies (Verfügbare Richtlinien) Tabellenspalten:
|
Allgemein |
Ping
Verbindung zu Automox testen
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ | |
|---|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Automox server with the provided connection parameters!“ (Die Verbindung zum Automox-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Verbindung zum Automox-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten