将 Automox 与 Google SecOps 集成
本文档介绍了如何将 Automox 与 Google Security Operations (Google SecOps) 集成。
集成版本:5.0
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://#123;#123;api_root#125;#125; | 是 | Automox 实例的 API 根。 |
| API 密钥 | 密码 | 不适用 | 否 | Automox 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Automox 的连接所用的 SSL 证书是否有效。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
如何生成 API 密钥
如需详细了解如何生成 API 密钥,请参阅《Automox API 新手入门指南》文档中的在控制台中查找 API 密钥步骤。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
丰富实体
使用来自 Automox 的信息丰富实体。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 返回补丁 | 复选框 | 勾选 | 否 | 如果已启用,该操作会返回需要在机器上更新的补丁列表。 注意:此操作不会返回已安装或已忽略的补丁。 |
| 要返回的补丁数量上限 | 整数 | 50 | 否 | 指定要返回的补丁数量。如果未提供任何内容,则该操作会返回 50 个补丁。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": 2263017,
"agent_version": "1.41.125",
"commands": [],
"compatibility_checks": {
"missing_wmi_integrity_check": false,
"missing_powershell": false,
"low_diskspace": false
},
"compliant": true,
"connected": false,
"create_time": "2022-10-24T09:14:12+0000",
"custom_name": "",
"deleted": false,
"detail": {
"IPS": [
"192.0.2.176",
"2001:db8:1:1:1:1:1:1"
],
"UPDATE_SOURCE_CHECK": {
"CONNECTED": "True",
"ERROR": "Succeeded"
},
"MDM_SERVER": null,
"FQDNS": [
"DESKTOP-65M05SE.WORKGROUP"
],
"RAM": "8589934592",
"SECURE_TOKEN_ACCOUNT": null,
"LAST_USER_LOGON": {
"SRC": "DESKTOP-65M05SE",
"USER": "DESKTOP-65M05SE\\Admin",
"TIME": "10/24/2022 2:59:45 AM"
},
"VOLUME": [
{
"IS_SYSTEM_DISK": "True",
"VOLUME": "C:",
"FSTYPE": "NTFS",
"LABEL": "Local Disk",
"AVAIL": "63766056960",
"FREE": "39201988608"
}
],
"DISTINGUISHED_NAME": "",
"MODEL": "VMware7,1",
"CPU": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"MDM_PROFILE_INSTALLED": null,
"VENDOR": "VMware, Inc.",
"AUTO_UPDATE_OPTIONS": {
"OPTIONS": "off",
"ENABLED": "1"
},
"SERVICETAG": "No Asset Tag",
"PS_VERSION": "5",
"WSUS_CONFIG": {
"WSUS_REACHABLE": "1",
"WSUS_MANAGED": "0",
"WSUS_SERVER": ""
},
"SERIAL": "VMware",
"NICS": [
{
"VENDOR": "Intel(R) 82574L Gigabit Network Connection",
"DEVICE": "Ethernet0",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": [
"172.30.201.176",
"2001:db8:1:1:1:1:1:1"
],
"CONNECTED": true
},
{
"IPS": [],
"CONNECTED": false,
"VENDOR": "WAN Miniport (IP)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF"
},
{
"VENDOR": "WAN Miniport (IPv6)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": [],
"CONNECTED": false
},
{
"CONNECTED": false,
"VENDOR": "WAN Miniport (Network Monitor)",
"DEVICE": "",
"TYPE": "enet",
"MAC": "01:23:45:AB:CD:EF",
"IPS": []
}
],
"WMI_INTEGRITY_CHECK": "True",
"VERSION": "440BX Desktop Reference Platform",
"DISKS": [
{
"TYPE": "VMware Virtual disk SCSI Disk Device",
"SIZE": "64420392960"
}
]
},
"display_name": "DESKTOP-65M05SE",
"exception": false,
"instance_id": "",
"ip_addrs": [
"192.0.2.139"
],
"ip_addrs_private": [
"192.0.2.176",
"2001:db8:1:1:1:1:1:1"
],
"is_compatible": true,
"is_delayed_by_notification": false,
"is_delayed_by_user": false,
"last_disconnect_time": "2022-10-25T09:19:29+0000",
"last_logged_in_user": "DESKTOP-65M05SE\\Admin",
"last_process_time": "2022-10-25T08:19:24+0000",
"last_refresh_time": "2022-10-25T08:23:48+0000",
"last_scan_failed": false,
"last_update_time": "2022-10-25T08:22:14+0000",
"mdm": null,
"name": "DESKTOP-65M05SE",
"needs_attention": false,
"needs_reboot": false,
"next_patch_time": null,
"notification_count": 0,
"organization_id": 104513,
"organizational_unit": "",
"os_family": "Windows",
"os_name": "10 Enterprise Evaluation",
"os_version": "10.0.19043",
"os_version_id": 4876,
"patch_deferral_count": 0,
"patches": 1,
"pending": false,
"pending_patches": 0,
"policy_status": [
{
"id": 316123693,
"organization_id": 104513,
"policy_id": 245687,
"server_id": 2263017,
"policy_name": "Apply All Patches",
"policy_type_name": "patch",
"status": 1,
"result": "{}",
"create_time": "2022-10-25T08:23:48+0000",
"will_reboot": false,
"pending_count": 0,
"next_remediation": null
}
],
"reboot_deferral_count": 0,
"reboot_is_delayed_by_notification": false,
"reboot_is_delayed_by_user": false,
"reboot_notification_count": 0,
"refresh_interval": 1440,
"serial_number": "VMware",
"server_group_id": 145150,
"server_policies": [],
"status": {
"device_status": "not-ready",
"agent_status": "disconnected",
"policy_status": "compliant",
"policy_statuses": [
{
"id": 245687,
"compliant": true
},
{
"id": 245688,
"compliant": true
}
]
},
"tags": [
"Recently Added"
],
"timezone": "UTC-0700",
"total_count": 1,
"uptime": "1872",
"uuid": "UUID",
"list_of_patches": [
{
"id": 2077952013,
"server_id": 2263017,
"package_id": 227229243,
"software_id": 167943,
"installed": true,
"ignored": false,
"group_ignored": false,
"deferred_until": null,
"group_deferred_until": null,
"name": "example",
"display_name": "MSXML 6.0 RTM Security Update (925673)",
"version": "103",
"repo": "WindowsUpdate",
"cves": [],
"cve_score": "9.0",
"agent_severity": "9.0",
"severity": "critical",
"package_version_id": 233355423,
"os_name": "10 Enterprise Evaluation",
"os_version": "10.0.19043",
"os_version_id": 4876,
"create_time": "2021-06-28T15:45:57+0000",
"requires_reboot": true,
"patch_classification_category_id": 8,
"patch_scope": "important",
"is_uninstallable": false,
"secondary_id": null,
"is_managed": true,
"impact": 0,
"organization_id": 104513
}
]
}
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| id | 以 JSON 格式提供时 |
| agent_version | 以 JSON 格式提供时 |
| 符合 | 以 JSON 格式提供时 |
| 已连接 | 以 JSON 格式提供时 |
| create_time | 以 JSON 格式提供时 |
| custom_name | 以 JSON 格式提供时 |
| ip_addrs_private | 以 JSON 格式提供时 |
| last_disconnect_time | 以 JSON 格式提供时 |
| last_logged_in_user | 以 JSON 格式提供时 |
| last_update_time | 以 JSON 格式提供时 |
| os | 以 JSON 格式提供时 |
| pending_patches | 以 JSON 格式提供时 |
| 标签 | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个实体有数据(is_success=true):“已使用来自 Automox 的信息成功扩充以下实体:{entity.identifier}”。 如果某个实体没有数据 (is_success=true):“Action 无法使用来自 Automox 的信息来丰富以下实体:{entity.identifier}” 如果并非所有实体都有数据 (is_success=false):“未扩充任何提供的实体。” 操作应失败并停止 playbook 执行: 如果系统报告了致命错误(例如凭据错误、未连接到服务器或其他错误):“执行操作‘丰富实体’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | Title: {entity.identifier} 列:
|
实体 |
执行设备命令
在 Automox 中对端点执行命令。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 命令 | DDL | 扫描设备 可能的值:
|
否 | 指定需要在设备上执行的命令。 注意:如果选择了“安装特定补丁”,则“补丁名称”参数是必需的。 |
| 补丁名称 | CSV | 不适用 | 否 | 指定以英文逗号分隔的需要安装的补丁列表。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": 8527028217,
"server_id": 2263017,
"command_id": 164850699,
"organization_id": 104513,
"args": "ASD",
"reboot": 0,
"exec_time": "2022-10-25T08:02:43+0000",
"response": [
"0",
"Installing MS updates: ASD\\r\\nCouldn't find update for ASD, skipping.\\r\\nNothing left to do",
null
],
"response_time": "2022-10-25T08:22:14+0000",
"policy_id": null,
"agent_command_type": 0,
"command_type_name": "InstallUpdate"
}
{
"reason": "Device is offline. Please check the connectivity."
}
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果找到了设备并且已连接 (is_success=true):“Successfully executed command "{Command}" on the following entities in Automox: {entity.identifier}. 请检查 JSON 结果,确保命令已正确执行。” 如果找不到设备或设备已连接到某个实体 (is_success=true):“操作无法在 Automox 中的以下实体上执行命令 "{Command}":{entity.identifier}。请检查拼写和连接情况。” 如果未找到设备或设备已连接到所有实体 (is_success=false):“未对所提供的实体执行任何命令。请检查拼写和连接情况。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、未连接到服务器或其他错误):“Error executing action "Execute Device Command". 原因:{0}''.format(error.Stacktrace) |
常规 |
执行政策
在 Automox 中执行政策。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 补救范围 | DDL | 所有设备 可能的值:
|
否 | 指定相应操作的补救范围。 如果选择“仅限实体”,则操作仅对范围内的有效实体执行政策。 如果选择“所有设备”,则该操作会在组织中的所有设备上执行相应政策。 |
| 政策名称 | 字符串 | 不适用 | 否 | 指定需要执行的政策的名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"status": "done/failure if entity not found"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果服务器已修复,并且一个实体的修复成功 (is_success=true):“已在 Automox 中针对以下实体成功执行政策 {Policy}:{entity.identifier}。” 如果服务器已修复,但未找到任何服务器 (is_success=true):“无法在 Automox 中对以下实体执行政策 {Policy}:{entity.identifier}。” 如果服务器已修复,但未找到任何服务器 (is_success=false):“未找到任何实体。政策 {Policy} 未执行。” 如果成功修复所有服务器 (is_success=true):“Successfully executed policy {Policy} in Automox.” 操作应失败并停止 playbook 执行: 如果报告了致命错误,例如凭据错误、未连接到服务器或其他错误:“Error executing action "Execute Policy". 原因:{0}''.format(error.Stacktrace) 如果未找到政策:“执行操作‘执行政策’时出错。原因:在 Automox 中未找到政策“{policy name}”。请检查拼写。 | 常规 |
列出政策
列出 Automox 中的可用政策。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 过滤键 | DDL | 选择一项 可能的值:
|
否 | 指定需要用于过滤政策的键。 |
| 过滤逻辑 | DDL | 未指定 可能的值:
|
否 | 指定应应用的过滤条件逻辑。 过滤逻辑基于“过滤键”参数中提供的值运行。 |
| 过滤条件值 | 字符串 | 不适用 | 否 | 指定应在过滤条件中使用的值。 如果选择“等于”,操作会尝试在结果中查找完全匹配项;如果选择“包含”,操作会尝试查找包含该子字符串的结果。 如果此参数中未提供任何内容,则不会应用过滤条件。 过滤逻辑基于“过滤键”参数中提供的值运行。 |
| 要返回的记录数上限 | 整数 | 50 | 否 | 指定要返回的记录数。如果未提供任何内容,该操作会返回 50 条记录。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"id": 245687,
"name": "Apply All Patches",
"policy_type_name": "patch",
"organization_id": 104513,
"configuration": {
"auto_patch": false,
"patch_rule": "all",
"auto_reboot": false,
"notify_user": false,
"include_optional": true,
"notify_reboot_user": true,
"missed_patch_window": true,
"custom_notification_max_delays": 3,
"custom_notification_deferment_periods": [
1,
2,
4
]
},
"schedule_days": 254,
"schedule_weeks_of_month": 62,
"schedule_months": 8190,
"schedule_time": "17:00",
"notes": "",
"create_time": "2022-10-24T08:44:37+0000",
"server_groups": [
145150
],
"server_count": 1,
"status": "inactive"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果数据可用 (is_success=true):“Successfully found policies for the provided criteria in Automox”(已成功在 Automox 中找到符合所提供条件的政策)。 如果数据不可用 (is_success=false):“未在 Automox 中找到符合所提供条件的政策。” 如果“过滤条件值”参数为空 (is_success=true):“未应用过滤条件,因为参数‘过滤条件值’的值为空。” 如果“过滤条件逻辑”参数设置为“未指定”(is_success=true):“未应用过滤条件,因为未指定‘过滤条件逻辑’参数。” 操作应失败并停止 playbook 执行: 如果“过滤键”形参设置为“选择一个”,且“过滤逻辑”设置为“等于”或“包含”:“执行操作‘{action name}’时出错。原因:您需要从“过滤键”参数中选择一个字段。 如果为“要返回的最大记录数”参数提供的值无效:“执行操作‘{action name}’时出错。原因:为“要返回的最大记录数”提供的值无效:。应提供正数"。" 如果报告了致命错误,例如凭据错误、未连接到服务器或其他错误:“Error executing action "List Policies".”(执行“列出政策”操作时出错。)原因:{0}''.format(error.Stacktrace) |
常规 | |
| “案例墙”表格 | 表格名称:可用政策 表列:
|
常规 |
Ping
测试与 Automox 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
案例墙
| 结果类型 | 值 / 说明 | 类型 | |
|---|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Automox server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Automox server! 错误为 {0}".format(exception.stacktrace) |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。