Integrar o Google Workspace ao Google SecOps

Este documento explica como integrar o Google Workspace ao Google Security Operations (Google SecOps).

Versão da integração: 19.0

Casos de uso

A integração do Google Workspace com o Google SecOps pode ajudar você a resolver o seguinte caso de uso:

  • Desativação de usuários e segurança da conta:use os recursos do Google SecOps para acionar um fluxo de trabalho que revoga o acesso ao Google Workspace, suspende contas e encaminha e-mails de usuários desativados para outro funcionário.

Antes de começar

Antes de configurar a integração do Google Workspace no Google SecOps, siga estas etapas de pré-requisito:

  1. Crie uma conta de serviço.
  2. Crie uma chave JSON.
  3. Crie uma função personalizada para a integração.
  4. Atribua a função personalizada a um usuário.
  5. Delegue autoridade em todo o domínio à sua conta de serviço.
  6. Ative a API do SDK Admin no seu projeto.

Criar uma conta de serviço

Para criar uma conta de serviço, conclua estas etapas:

  1. No Google Cloud console, acesse a página Credenciais.

    Ir para Credenciais

  2. No menu Criar credenciais, selecione Conta de serviço.

  3. Em Detalhes da conta de serviço, insira um nome no campo Nome da conta de serviço.

  4. Opcional: edite o ID da conta de serviço.

  5. Clique em Criar e continuar. Uma tela Permissões vai aparecer.

  6. Clique em Continuar. A tela Principais com acesso aparece.

  7. Clique em Concluído.

Conceder papéis do IAM do Google Cloud à conta de serviço

Para garantir que a conta de serviço tenha todas as permissões necessárias no seu projeto Google Cloud, atribua os seguintes papéis do IAM:

  1. No console do Google Cloud , acesse IAM e administrador > IAM.

  2. Clique em Permitir acesso.

  3. No campo Novos principais, insira o endereço de e-mail da conta de serviço que você criou.

  4. Na lista Selecionar um papel, pesquise e selecione o papel Service Account Token Creator (roles/iam.serviceAccountTokenCreator).

  5. Clique em Salvar.

Criar uma chave JSON

Para criar uma chave JSON, siga estas etapas:

  1. Selecione sua conta de serviço e acesse Chaves.
  2. Clique em Adicionar chave.
  3. Selecione Criar nova chave.
  4. Selecione JSON como o tipo de chave e clique em Criar. A caixa de diálogo Chave privada salva no seu computador aparece, e uma cópia da chave privada é baixada no computador.

Criar uma função personalizada para a integração

  1. No Google Admin Console, acesse Conta > Funções do administrador.
  2. Clique em Criar nova função.
  3. Dê um nome à nova função personalizada e clique em Continuar.
  4. Na página Selecionar privilégios, acesse a seção Privilégios da API Admin.

  5. Em Privilégios da API Admin, selecione os seguintes privilégios:

    • Unidades organizacionais
    • Usuários
    • Grupos

  6. Clique em Continuar.

  7. Para criar uma função personalizada, clique em Criar função.

Atribuir a função personalizada a um usuário

  1. Para criar um usuário, acesse a página Diretório > Usuários.
  2. Adicione um novo usuário associado à conta de serviço.
  3. Abra as configurações do usuário recém-criado. A guia da conta de usuário será aberta.
  4. Clique em Funções e privilégios do administrador.
  5. Clique em Editar Editar.
  6. Selecione a função personalizada que você criou.
  7. Para a função selecionada, mude o botão para Atribuído.

Delegar autoridade em todo o domínio à conta de serviço

  1. No Google Admin Console do seu domínio, acesse Menu principal > Segurança > Controle de acesso e dados > Controles de API.
  2. No painel Delegação em todo o domínio, selecione Gerenciar a delegação em todo o domínio.
  3. Clique em Adicionar novo.
  4. No campo ID do cliente, insira o ID do cliente obtido nas etapas anteriores de criação da conta de serviço.

  5. No campo Escopos OAuth, insira a seguinte lista de escopos separada por vírgulas necessários para seu aplicativo:

    https://mail.google.com/,
https://www.googleapis.com/auth/cloud-platform,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.group.member,
https://www.googleapis.com/auth/admin.directory.customer.readonly,
https://www.googleapis.com/auth/admin.directory.domain.readonly,
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/admin.directory.user.alias,
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly,
https://www.googleapis.com/auth/apps.groups.settings,
https://www.googleapis.com/auth/admin.directory.user.security,
https://www.googleapis.com/auth/admin.reports.audit.readonly,
https://www.googleapis.com/auth/admin.directory.device.chromebrowsers.readonly,
https://www.googleapis.com/auth/chrome.management.policy,
https://www.googleapis.com/auth/chrome.management.appdetails.readonly

  6. Clique em Autorizar.

Ativar a API Admin SDK para seu projeto

  1. No console Google Cloud , acesse APIs e serviços.

    Acessar APIs e serviços

  2. Clique em Ativar APIs e serviços.

  3. Ative a API Admin SDK no seu projeto.

Parâmetros de integração

A integração com o Google Workspace exige os seguintes parâmetros:

Parâmetro Descrição
Verify SSL

Opcional.

Se selecionada, a integração valida o certificado SSL ao se conectar ao Google Workspace.

Essa opção é selecionada por padrão.
User's Service Account JSON

Opcional.

O conteúdo do arquivo JSON da chave da conta de serviço.

É possível configurar esse parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.
Delegated Email

Obrigatório.

O endereço de e-mail que a integração vai usar.
Workload Identity Email

Opcional.

O endereço de e-mail do cliente da sua conta de serviço.

É possível configurar esse parâmetro ou o User's Service Account JSON.

Para representar contas de serviço com a federação de identidade da carga de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.

Adicionar participantes ao grupo

Use a ação Adicionar membros ao grupo para adicionar usuários a um grupo.

Essa ação é executada na entidade User.

A ação Adicionar membros ao grupo resolve os seguintes casos de uso:

  • Integração e suspensão automatizadas.
  • Resposta a incidentes concedendo acesso temporário.
  • Colaboração dinâmica em projetos.

Entradas de ação

A ação Adicionar membros ao grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Email Address

Obrigatório.

Um endereço de e-mail do grupo para adicionar novos membros.

User Email Addresses

Opcional.

Uma lista separada por vírgulas de usuários a serem adicionados ao grupo.

A ação executa valores que você configura para esse parâmetro junto com a entidade User.

Saídas de ação

A ação Adicionar participantes ao grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar membros ao grupo:

Nome do resultado do script Valor
is_success True ou False

Bloquear extensão

Use a ação Bloquear extensão para bloquear uma extensão específica do Chrome em uma unidade organizacional.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Bloquear extensão exige os seguintes parâmetros:

Parâmetro Descrição
Organization Unit Name

Obrigatório.

O nome da unidade organizacional em que a extensão será bloqueada.
Extension ID

Obrigatório.

O ID da extensão a ser bloqueada.

Saídas de ação

A ação Bloquear extensão oferece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Bloquear extensão:

[
        {
            "targetKey": {
                "targetResource": "orgunits/example-org-unit-id",
                "additionalTargetKeys": {
                    "app_id": "chrome:exampleextensionid"
                }
            },
            "value": {
                "policySchema": "chrome.users.apps.InstallType",
                "value": {
                    "appInstallType": "BLOCKED"
                }
            },
            "sourceKey": {
                "targetResource": "orgunits/example-org-unit-id"
            },
            "addedSourceKey": {
                "targetResource": "orgunits/example-org-unit-id"
            }
        }
]
Mensagens de saída

A ação Bloquear extensão pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully blocked extension EXTENSION_ID in Organization Unit ORGANIZATION_NAME using Google Workspace.

 A ação foi concluída.
Error executing action "Block Extension". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Bloquear extensão:

Nome do resultado do script Valor
is_success True ou False

Criar grupo

Use a ação Criar grupo para criar grupos para sua organização no Google Admin Console, na API Groups ou no Google Cloud Directory Sync como um administrador dos Grupos do Google Workspace.

Se você usa o Grupos para empresas, também pode criar grupos para sua organização no Grupos do Google.

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Criar grupo nos seguintes casos de uso:

  • Crie equipes de resposta a incidentes.
  • Contenha campanhas de phishing.
  • Integrar novos usuários e grupos de usuários.
  • Colaborar em projetos.
  • Configure o controle de acesso para dados sensíveis.

Entradas de ação

A ação Criar grupo exige os seguintes parâmetros:

Parâmetro Descrição
Email Address

Obrigatório.

Um endereço de e-mail do novo grupo.
Name

Opcional.

Um nome para o novo grupo.
Description

Opcional.

Uma descrição do novo grupo.

Saídas de ação

A ação Criar grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Criar grupo:

[
   {
      "kind":"admin#directory#group",
      "id":"ID",
      "etag":"TAG/var>",
      "email":"user@example.com",
      "name":"example",
      "description":"",
      "adminCreated":"True"
   }
]
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Criar grupo:

Nome do resultado do script Valor
is_success True ou False

Criar UO

Use a ação Criar UO para criar uma unidade organizacional (UO).

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Criar OU para resolver os seguintes casos de uso:

  • Integrar novos departamentos.
  • Isole as contas comprometidas.
  • Implemente políticas geográficas para residência de dados.

Entradas de ação

A ação Criar UO exige os seguintes parâmetros:

Parâmetro Descrição
Customer ID

Obrigatório.

Um ID exclusivo da conta do Google Workspace do cliente.

Para configurar a conta customerId, você também pode usar o seguinte marcador de posição: my_customer.
Name

Opcional.

Um nome para a nova UO.
Description

Opcional.

Uma descrição da nova OU.
Parent OU Path

Obrigatório.

Um caminho completo para a UO mãe de uma nova UO.

Saídas de ação

A ação Criar UO fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Criar OU:

[
   {
      "kind":"admin#directory#orgUnit",
      "etag":"TAG",
      "name":"example",
      "orgUnitPath":"/example_folder",
      "orgUnitId":"id:ID",
      "parentOrgUnitPath":"/",
      "parentOrgUnitId":"id:ID"
   }
]
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Criar UO:

Nome do resultado do script Valor
is_success True ou False

Criar usuário

Use a ação Criar usuário para criar um novo usuário.

Ao adicionar um usuário à sua conta do Google Workspace, você fornece a ele um endereço de e-mail com o domínio da sua empresa e uma conta que pode ser usada para acessar os serviços do Google Workspace.

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Criar usuário para resolver os seguintes casos de uso:

  • Automatize a integração dos novos usuários.
  • Conceda acesso temporário para funcionários contratados.
  • Use sandboxes para resposta a incidentes.

Entradas de ação

A ação Criar usuário exige os seguintes parâmetros:

Parâmetro Descrição
Given Name

Obrigatório.

O nome do usuário.
Family Name

Obrigatório.

O sobrenome do usuário.
Password

Obrigatório.

A senha do novo usuário.
Email Address

Obrigatório.

O endereço de e-mail principal do usuário.
Phone

Opcional.

O número de telefone do usuário.
Gender

Opcional.

O gênero do usuário.

Os valores válidos são: female, male, other e unknown.
Department

Opcional.

O nome do departamento do usuário.
Organization

Opcional.

O nome da organização do usuário.
Change Password At Next Login

Opcional.

Se selecionada, o sistema exige que o usuário mude a senha na próxima tentativa de login.

Não selecionada por padrão.

Saídas de ação

A ação Criar usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Criar usuário:

[
   {
      "kind":"admin#directory#user",
      "id":"ID",
      "etag":"TAG",
      "primaryEmail":"example@example.com",
      "name":{
         "givenName":"FIRST_NAME",
         "familyName":"LAST_NAME"
      },
      "isAdmin":"False",
      "isDelegatedAdmin":"False",
      "creationTime":"2020-12-22T13:44:29.000Z",
      "organizations":[
         {
            "name":"ExampleOrganization"
         }
      ],
      "phones":[
         {
            "value":"(800) 555‑0175"
         }
      ],
      "gender":{
         "type":"male"
      },
      "customerId":"ID",
      "orgUnitPath":"/",
      "isMailboxSetup":"False"
   }
]
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Criar usuário:

Nome do resultado do script Valor
is_success True ou False

Excluir extensão

Pré-lançamento. Use a ação Excluir extensão para excluir uma extensão especificada do Chrome de uma lista de bloqueio de unidade organizacional.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Excluir extensão exige os seguintes parâmetros:

Parâmetro Descrição
Organization Unit Name

Obrigatório.

O nome da unidade organizacional de que a extensão será excluída.
Extension ID

Obrigatório.

O ID da extensão a ser excluída.

Saídas de ação

A ação Excluir extensão fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Excluir extensão:

[
  {
    "deleted_extensions": ["chrome:exampleextensionid"]
  }
]
Mensagens de saída

A ação Excluir extensão pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully deleted extension EXTENSION_ID from Organization Unit ORGANIZATION_NAME using Google Workspace.

 A ação foi concluída.
Error executing action "Delete Extension". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir extensão:

Nome do resultado do script Valor
is_success True ou False

Excluir grupo

Use a ação Excluir grupo para excluir um grupo do diretório do Google Workspace.

Essa ação não é executada em entidades do Google SecOps.

Você pode usar a ação Excluir grupo para resolver os seguintes casos de uso:

  • Automatizar o desligamento de usuários.
  • Corrigir incidentes de segurança.
  • Faça limpezas de grupos desatualizados.

Entradas de ação

A ação Excluir grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Email Address

Obrigatório.

Um endereço de e-mail do grupo a ser excluído.

Saídas de ação

A ação Excluir grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Excluir grupo fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Google Workspace group GROUP_EMAIL deleted.

Action was not able to find Google Workspace group for deletion.

A ação foi concluída.
Failed to connect to the Google Workspace! Error is ERROR_DESCRIPTION

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Excluir grupo:

Nome do resultado do script Valor
is_success True ou False

Excluir UO

Use a ação Excluir UO para excluir uma unidade organizacional.

Não é possível excluir uma organização se ela tiver usuários, dispositivos ou organizações filhas. Antes de fazer isso, mova todos os usuários e dispositivos para outras organizações e remova as organizações filhas.

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Excluir UO para resolver os seguintes casos de uso:

  • Automatizar o desligamento de usuários.
  • Corrigir incidentes de segurança.
  • Gerenciar recursos e fazer limpezas de projetos.

Entradas de ação

A ação Excluir UO exige os seguintes parâmetros:

Parâmetro Descrição
Customer ID

Obrigatório.

Um ID exclusivo da conta do Google Workspace do cliente.

Para configurar a conta customerId, você também pode usar o seguinte marcador de posição: my_customer.
OU Path

Obrigatório.

Um caminho completo para a unidade organizacional.

Se a unidade organizacional estiver localizada em um caminho raiz (/), informe o nome dela sem um caminho.

Saídas de ação

A ação Excluir UO fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Excluir UO:

Nome do resultado do script Valor
is_success True ou False

Excluir usuário

Use a ação Excluir usuário para excluir contas de usuário.

Depois de excluir um usuário, ele não poderá acessar nem usar nenhum serviço do Google Workspace da sua organização.

Você pode usar a ação Excluir usuário para resolver os seguintes casos de uso:

  • Desvincular funcionários que estão saindo.
  • Corrija contas comprometidas.
  • Automatizar a limpeza de contas temporárias.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

A ação Excluir usuário exige os seguintes parâmetros:

Parâmetro Descrição
Email Address

Obrigatório.

Um endereço de e-mail do usuário a ser excluído.

Saídas de ação

A ação Excluir usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Excluir usuário:

Nome do resultado do script Valor
is_success True ou False

Enriquecer entidades

Use a ação Aprimorar entidades para aprimorar entidades do Google SecOps com informações do Google Workspace.

Essa ação é executada na entidade User.

Você pode usar a ação Enriquecer entidades para resolver os seguintes casos de uso:

  • Investigar usuários.
  • Analisar e-mails de phishing.
  • Investigue tentativas de exfiltração de dados.
  • Detectar malware.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Enriquecer entidades fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Resultado do script Disponível
Enriquecimento de entidade

A ação Enriquecer entidades oferece suporte ao seguinte enriquecimento de entidades:

Nome do campo de enriquecimento Lógica de enriquecimento
Phones Retorna se ele existe em um resultado JSON.
isDelegatedAdmin Retorna se ele existe em um resultado JSON.
suspended Retorna se ele existe em um resultado JSON.
id Retorna se ele existe em um resultado JSON.
nonEditableAliases Retorna se ele existe em um resultado JSON.
archived Retorna se ele existe em um resultado JSON.
isEnrolledIn2Sv Retorna se ele existe em um resultado JSON.
includeInGlobalAddressList Retorna se ele existe em um resultado JSON.
Relations Retorna se ele existe em um resultado JSON.
isAdmin Retorna se ele existe em um resultado JSON.
etag Retorna se ele existe em um resultado JSON.
lastLoginTime Retorna se ele existe em um resultado JSON.
orgUnitPath Retorna se ele existe em um resultado JSON.
agreedToTerms Retorna se ele existe em um resultado JSON.
externalIds Retorna se ele existe em um resultado JSON.
ipWhitelisted Retorna se ele existe em um resultado JSON.
kind Retorna se ele existe em um resultado JSON.
isEnforcedIn2Sv Retorna se ele existe em um resultado JSON.
isMailboxSetup Retorna se ele existe em um resultado JSON.
emails Retorna se ele existe em um resultado JSON.
organizations Retorna se ele existe em um resultado JSON.
primaryEmail Retorna se ele existe em um resultado JSON.
name Retorna se ele existe em um resultado JSON.
gender Retorna se ele existe em um resultado JSON.
creationTime Retorna se ele existe em um resultado JSON.
changePasswordAtNextLogin Retorna se ele existe em um resultado JSON.
customerId Retorna se ele existe em um resultado JSON.
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Enriquecer entidades:

[{
    "Phones":
       [{
          "customType": "",
          "type": "custom",
          "value": "(800) 555‑0175"
       }],
   "isDelegatedAdmin": false,
   "suspended": false,
   "id": "ID",
   "nonEditableAliases": ["user@example.com"],
   "archived": false,
   "isEnrolledIn2Sv": true,
   "includeInGlobalAddressList": true,
   "Relations":
        [{
          "type": "manager",
          "value": "user@example.com"
        }],
   "isAdmin": false,
   "etag": "E_TAG_VALUE",
   "lastLoginTime": "2019-02-11T12:24:41.000Z",
   "orgUnitPath": "/OU-1",
   "agreedToTerms": true,
   "externalIds": [{"type": "organization",
                    "value": ""}],
   "ipWhitelisted": false,
   "kind": "admin#directory#user",
   "isEnforcedIn2Sv": true,
   "isMailboxSetup": true,
   "emails":
       [{
          "primary": true,
          "address": "user@example.com"
        },
        {
          "address": "user@example.com"
        }],
    "organizations":
        [{
           "department": "R&D",
           "customType": "", "name": "Company"
         }],
     "primaryEmail": "user@example.com",
     "name":
         {
            "fullName": "NAME SURNAME",
            "givenName": "NAME",
            "familyName": "SURNAME"
         },
     "gender": {"type": "male"},
     "creationTime": "2017-10-26T06:57:13.000Z",
     "changePasswordAtNextLogin": false,
     "customerId": "CUSTOMER_ID"
}]
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enriquecer entidades:

Nome do resultado do script Valor
is_success True ou False

Receber detalhes da extensão

Use a ação Get Extension Details para recuperar informações sobre uma extensão especificada do Chrome.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação "Get Extension Details" exige os seguintes parâmetros:

Parâmetro Descrição
Extension ID

Obrigatório.

Uma lista separada por vírgulas de IDs de extensão para enriquecer.
Max Requesting Users To Return

Obrigatório.

O número máximo de usuários que pediram a instalação da extensão.

O valor máximo é 1000.
Max Requesting Devices To Return

Obrigatório.

O número máximo de dispositivos a serem retornados em que a instalação da extensão foi solicitada.

O valor máximo é 1000.

Saídas de ação

A ação Receber detalhes da extensão fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes da extensão:

[
  {
    "Entity": "Example Extension Name",
    "EntityResult": {
      "name": "customers/example-customer-id/apps/chrome/exampleextensionid",
      "displayName": "Example Extension Name",
      "description": "A description for an example extension.",
      "appId": "exampleextensionid",
      "revisionId": "11.3.0.0",
      "type": "CHROME",
      "iconUri": "https://lh3.googleusercontent.com/KxYKwMcAzhn_DBMVIb0mtvIOsAME2d8-csv5d_vnKYX6PL3D6BGbVy3hH68ky8nM9yTDGAPl6B77pA7tpu4_jeUkXw",
      "detailUri": "https://chromewebstore.google.com/detail/exampleextensionid",
      "firstPublishTime": "2011-12-14T06:57:01.918Z",
      "latestPublishTime": "2025-07-01T02:05:04.252Z",
      "publisher": "example-publisher",
      "reviewNumber": "5423",
      "reviewRating": 4,
      "chromeAppInfo": {
        "supportEnabled": true,
        "minUserCount": 3000000,
        "permissions": [
          {
            "type": "offscreen"
          },
          {
            "type": "scripting",
            "documentationUri": "https://developer.chrome.com/docs/extensions/reference/scripting/",
            "accessUserData": false
          },
          {
            "type": "storage",
            "documentationUri": "https://developer.chrome.com/docs/extensions/reference/storage/",
            "accessUserData": false
          },
          {
            "type": "tabs",
            "documentationUri": "https://developer.chrome.com/docs/extensions/reference/tabs#type-Tab",
            "accessUserData": true
          }
        ],
        "siteAccess": [
          {
            "hostMatch": "https://*/*"
          },
          {
            "hostMatch": "http://*/*"
          }
        ],
        "isTheme": false,
        "googleOwned": true,
        "isCwsHosted": true,
        "kioskEnabled": false,
        "isKioskOnly": false,
        "type": "EXTENSION",
        "isExtensionPolicySupported": false,
        "manifestVersion": "3",
        "requestingUserDetails": [
          {
            "email": "user@example.com",
            "justification": "Example justification for the request."
          }
        ],
        "requestingDeviceDetails": [
          {
            "device": "example-device-id",
            "justification": "Example justification for the request."
          }
        ]
      }
    }
  }
]
Mensagens de saída

A ação Receber detalhes da extensão pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned information about the following extensions in Google Workspace: EXTENSION_IDS.

Action wasn't able to return information about the following extension in Google Workspace: EXTENSION_IDS.

No information about the provided extensions were found.

 A ação foi concluída.
Error executing action "Get Extension Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes da extensão:

Nome do resultado do script Valor
is_success True ou False

Acessar detalhes do grupo

Use a ação Receber detalhes do grupo para recuperar informações sobre um grupo no Google Workspace.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber detalhes do grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Email Addresses

Obrigatório.

Uma lista separada por vírgulas de e-mails de grupo a serem examinados.

Saídas de ação

A ação Extrair detalhes do grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Receber detalhes do grupo:

{
        "Entity": "group@example.com",
        "EntityResult": {
            "kind": "groupsSettings#groups",
            "email": "group@example.com",
            "name": "GROUP_NAME",
            "description": "DESCRIPTION",
            "whoCanJoin": "CAN_REQUEST_TO_JOIN",
            "whoCanViewMembership": "ALL_MEMBERS_CAN_VIEW",
            "whoCanViewGroup": "ALL_MEMBERS_CAN_VIEW",
            "whoCanInvite": "ALL_MANAGERS_CAN_INVITE",
            "whoCanAdd": "ALL_MANAGERS_CAN_ADD",
            "allowExternalMembers": "false",
            "whoCanPostMessage": "ANYONE_CAN_POST",
            "allowWebPosting": "true",
            "primaryLanguage": "en_US",
            "maxMessageBytes": 26214400,
            "isArchived": "false",
            "archiveOnly": "false",
            "messageModerationLevel": "MODERATE_NONE",
            "spamModerationLevel": "MODERATE",
            "replyTo": "REPLY_TO_IGNORE",
            "includeCustomFooter": "false",
            "customFooterText": "",
            "sendMessageDenyNotification": "false",
            "defaultMessageDenyNotificationText": "",
            "showInGroupDirectory": "true",
            "allowGoogleCommunication": "false",
            "membersCanPostAsTheGroup": "false",
            "messageDisplayFont": "DEFAULT_FONT",
            "includeInGlobalAddressList": "true",
            "whoCanLeaveGroup": "ALL_MEMBERS_CAN_LEAVE",
            "whoCanContactOwner": "ANYONE_CAN_CONTACT",
            "whoCanAddReferences": "NONE",
            "whoCanAssignTopics": "NONE",
            "whoCanUnassignTopic": "NONE",
            "whoCanTakeTopics": "NONE",
            "whoCanMarkDuplicate": "NONE",
            "whoCanMarkNoResponseNeeded": "NONE",
            "whoCanMarkFavoriteReplyOnAnyTopic": "NONE",
            "whoCanMarkFavoriteReplyOnOwnTopic": "NONE",
            "whoCanUnmarkFavoriteReplyOnAnyTopic": "NONE",
            "whoCanEnterFreeFormTags": "NONE",
            "whoCanModifyTagsAndCategories": "NONE",
            "favoriteRepliesOnTop": "true",
            "whoCanApproveMembers": "ALL_MANAGERS_CAN_APPROVE",
            "whoCanBanUsers": "OWNERS_AND_MANAGERS",
            "whoCanModifyMembers": "OWNERS_AND_MANAGERS",
            "whoCanApproveMessages": "OWNERS_AND_MANAGERS",
            "whoCanDeleteAnyPost": "OWNERS_AND_MANAGERS",
            "whoCanDeleteTopics": "OWNERS_AND_MANAGERS",
            "whoCanLockTopics": "OWNERS_AND_MANAGERS",
            "whoCanMoveTopicsIn": "OWNERS_AND_MANAGERS",
            "whoCanMoveTopicsOut": "OWNERS_AND_MANAGERS",
            "whoCanPostAnnouncements": "OWNERS_AND_MANAGERS",
            "whoCanHideAbuse": "NONE",
            "whoCanMakeTopicsSticky": "NONE",
            "whoCanModerateMembers": "OWNERS_AND_MANAGERS",
            "whoCanModerateContent": "OWNERS_AND_MANAGERS",
            "whoCanAssistContent": "NONE",
            "customRolesEnabledForSettingsToBeMerged": "false",
            "enableCollaborativeInbox": "false",
            "whoCanDiscoverGroup": "ALL_IN_DOMAIN_CAN_DISCOVER",
            "defaultSender": "DEFAULT_SELF"
        }
    }
Mensagens de saída

A ação Receber detalhes do grupo fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully enriched the following groups using information from Google Workspace: GROUPS

Action wasn't able to enrich the following group using information from Google Workspace: GROUPS

None of the groups were enriched.

 A ação foi concluída.
Error executing action "Get Group Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber detalhes do grupo:

Nome do resultado do script Valor
is_success True ou False

Receber detalhes do navegador host

Use a ação Receber detalhes do navegador do host para extrair informações sobre navegadores associados a uma entidade Hostname especificada do Google SecOps.

Essa ação é executada na entidade Hostname do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Receber detalhes do navegador do host fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do navegador do host:

{
   "Entity": "example.host.com",
   "EntityResult": [
      {
         "deviceId": "example-device-id",
         "kind": "admin#directory#browserdevice",
         "lastPolicyFetchTime": "2025-07-25T12:11:17.546Z",
         "osPlatform": "Linux",
         "osArchitecture": "x86_64",
         "osVersion": "6.12.27-1rodete1-amd64",
         "machineName": "example.host.com",
         "lastRegistrationTime": "2025-07-07T07:45:20.504Z",
         "extensionCount": "15",
         "policyCount": "23",
         "lastDeviceUser": "example-user",
         "lastActivityTime": "2025-07-26T12:13:55.385Z",
         "osPlatformVersion": "Linux 6.12.27-1rodete1-amd64",
         "browserVersions": [
            "140.0.7259.2 (Dev)"
         ],
         "lastStatusReportTime": "2025-07-26T07:46:00.919Z",
         "lastDeviceUsers": [
            {
               "userName": "example-user",
               "lastStatusReportTime": "2025-07-26T07:46:00.919Z"
            }
         ],
         "machinePolicies": [
            {
               "source": "MACHINE_LEVEL_USER_CLOUD",
               "name": "CloudReportingEnabled",
               "value": "true"
            }
         ],
         "browsers": [
            {
               "browserVersion": "140.0.7259.2",
               "channel": "DEV",
               "lastStatusReportTime": "2025-07-26T07:46:00.919Z",
               "executablePath": "/opt/google/chrome-unstable",
               "profiles": [
                  {
                     "name": "Example User Profile",
                     "id": "/home/example_user/.config/google-chrome/Default",
                     "lastStatusReportTime": "2025-07-26T07:46:00.919Z",
                     "lastPolicyFetchTime": "2025-07-25T12:11:17.546Z",
                     "chromeSignedInUserEmail": "user@example.com",
                     "extensions": [
                        {
                           "extensionId": "exampleextensionid",
                           "version": "2.0.6",
                           "permissions": [
                              "alarms",
                              "contextMenus",
                              "management",
                              "storage",
                              "https://accounts.google.com/*",
                              "https://appengine.google.com/*",
                              "https://example.com/*",
                              "https://example.org/*",
                              "https://example-api.com/*",
                              "https://docs.example.com/*",
                              "https://internal.example.net/*",
                              "https://partners.example.com/*",
                              "https://www.google.com/*"
                           ],
                           ],
                           "name": "Example Extension",
                           "description": "This is a description for an example extension.",
                           "appType": "EXTENSION",
                           "homepageUrl": "https://chromewebstore.google.com/detail/exampleextensionid",
                           "installType": "ADMIN",
                           "manifestVersion": 3
                        }
                     ],
                     "userPolicies": [
                        {
                           "source": "USER_CLOUD",
                           "name": "CloudProfileReportingEnabled",
                           "value": "true"
                        }
                     ]
                  }
               ],
               "pendingInstallVersion": "140.0.7312.0"
            }
         ],
         "virtualDeviceId": "example-virtual-device-id",
         "orgUnitPath": "/",
         "deviceIdentifiersHistory": {
            "records": [
               {
                  "identifiers": {
                     "machineName": "example.host.com"
                  },
                  "firstRecordTime": "2025-06-03T08:06:33.895Z",
                  "lastActivityTime": "2025-07-26T07:46:01.325Z"
               }
            ]
         }
      }
   ]
}
Mensagens de saída

A ação Receber detalhes do navegador do host pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned browsers related to the following hostnames in Google Workspace: HOSTNAME.

No browsers were associated with the following hostnames in Google Workspace: HOSTNAME.

No browsers were associated with provided hostnames.

 A ação foi concluída.
Error executing action "Get Host Browser Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do navegador do host:

Nome do resultado do script Valor
is_success True ou False

Listar participantes do grupo

Use a ação Listar participantes do grupo para listar os membros de um grupo do Google Workspace.

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Listar membros do grupo para resolver os seguintes casos de uso:

  • Automatize a integração e a suspensão de usuários.
  • Faça uma auditoria de segurança.
  • Responder a incidentes.
  • Oferecer suporte ao acesso dinâmico a recursos.

Entradas de ação

A ação List Group Members exige os seguintes parâmetros:

Parâmetro Descrição
Group Email Address

Obrigatório.

Um endereço de e-mail do grupo.
Include Derived Membership

Opcional.

Se selecionada, a ação lista as associações indiretas dos usuários no grupo.

Essa opção é selecionada por padrão.

Saídas de ação

A ação Listar participantes do grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Group Members:

{
   "status": "ACTIVE",
   "kind": "admin#directory#member",
   "email": "user1@example.com",
   "etag": "E_TAG_VALUE",
   "role": "MEMBER",
   "type": "USER",
   "id": "ID"
  },{
   "status": "ACTIVE",
   "kind": "admin#directory#member",
   "email": "user2@example.com",
   "etag": "E_TAG_VALUE",
   "role": "MEMBER",
   "type": "USER", "id": "ID"
}
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Group Members:

Nome do resultado do script Valor
members True ou False

Listar privilégios do grupo

Use a ação Listar privilégios do grupo para listar papéis e privilégios relacionados ao grupo do Google Workspace.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação List Group Privileges requer os seguintes parâmetros:

Parâmetro Descrição
Group Email Addresses

Opcional.

Uma lista separada por vírgulas de grupos a serem examinados.
Check Roles

Opcional.

Uma lista separada por vírgulas de papéis relacionados ao grupo.
Check Privileges

Opcional.

Uma lista separada por vírgulas de permissões relacionadas ao grupo que precisam ser verificadas.

Para usar esse parâmetro, selecione Expandir privilégios. Se você configurou o parâmetro Verificar papéis, a ação verifica os privilégios apenas para os papéis listados.
Expand Privileges

Opcional.

Se selecionada, a ação vai retornar informações sobre todos os privilégios exclusivos relacionados ao grupo.
Max Roles To Return

Obrigatório.

O número máximo de papéis relacionados ao grupo a serem retornados.

O valor padrão é 100.
Max Privileges To Return

Obrigatório.

O número máximo de privilégios relacionados ao grupo a ser retornado.

O valor padrão é 100.

Saídas de ação

A ação List Group Privileges (Listar privilégios do grupo) fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Group Privileges:

{
    "Entity": "user@example.com",
    "EntityResult": {
        "roles": [
            "Role1",
            "_GROUPS_EDITOR_ROLE",
            "example-role"
        ],
        "unique_privileges": [
            "VIEW_SITE_DETAILS",
            "ACCESS_EMAIL_LOG_SEARCH",
            "ACCESS_ADMIN_QUARANTINE",
            "ACCESS_RESTRICTED_QUARANTINE",
            "ADMIN_QUALITY_DASHBOARD_ACCESS",
            "MANAGE_DLP_RULE",
            "DASHBOARD_ACCESS",
            "MANAGE_GSC_RULE",
            "VIEW_GSC_RULE",
            "SECURITY_HEALTH_DASHBOARD_ACCESS",
            "SIT_CALENDAR_VIEW_METADATA",
            "SIT_CHAT_VIEW_METADATA",
            "SIT_CHROME_VIEW_METADATA",
            "SIT_DEVICE_UPDATE_DELETE",
            "SIT_DEVICE_VIEW_METADATA",
            "SIT_DRIVE_UPDATE_DELETE"
        ]
    }
}
Mensagens de saída

A ação Listar privilégios do grupo fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully fetched information for the following groups using information from Google Workspace: GROUPS

Action wasn't able to fetch information for the following groups using information from Google Workspace: GROUPS

None of the specific roles/privileges were found for the following groups in Google Workspace: GROUPS

None of the specific roles/privileges were found for the provided groups in Google Workspace.

No information was found for the provided groups in Google Workspace.

 A ação foi concluída.
Error executing action "List Group Privileges". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Group Privileges:

Nome do resultado do script Valor
is_success True ou False

Listar OU da conta

Use a ação Listar UO da conta para listar as unidades organizacionais de uma conta.

Essa ação é executada em todas as entidades do Google SecOps.

Use a ação List OU of Account para resolver os seguintes casos de uso:

  • Automatizar o desligamento de usuários.
  • Faça uma auditoria de segurança direcionada.
  • Automatizar o gerenciamento da associação a grupos.
  • Otimize o provisionamento de usuários.
  • Automatize a auditoria e os relatórios de compliance.

Entradas de integração

A ação List OU of Account exige os seguintes parâmetros:

Parâmetro Descrição
Customer ID

Obrigatório.

Um ID exclusivo da conta do Google Workspace do cliente.

Para representar o valor customerId da conta, use o marcador de posição my_customer.
Organization Unit Path

Opcional.

O caminho da unidade organizacional a ser retornada.

O valor padrão é /.
Max Organization Units

Obrigatório.

O número máximo de unidades organizacionais a serem retornadas.

O valor máximo é 100.

O valor padrão é 50.

Saídas de ação

A ação List OU of Account fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List OU of Account:

[{
   "kind": "admin#directory#orgUnit",
   "parentOrgUnitPath": "/",
   "name": "OU-1",
   "etag": "E_TAG_VALUE",
   "orgUnitPath": "/OU-1",
   "parentOrgUnitId": "id:1455",
   "blockInheritance": false,
   "orgUnitId": "id:123",
   "description": ""
}]
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List OU of Account:

Nome do resultado do script Valor
organizational_units True ou False

Listar privilégios do usuário

Use a ação Listar privilégios do usuário para listar funções e privilégios relacionados ao usuário no Google Workspace.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Listar privilégios do usuário exige os seguintes parâmetros:

Parâmetro Descrição
User Email Addresses

Opcional.

Uma lista de usuários a serem examinados, separados por vírgulas.

A ação executa valores que você configura para esse parâmetro junto com a entidade User.
Check Roles

Opcional.

Uma lista separada por vírgulas de papéis relacionados ao usuário que precisam ser verificados.
Check Privileges

Opcional.

Uma lista separada por vírgulas de permissões relacionadas ao usuário que precisam ser verificadas.

Para usar esse parâmetro, selecione Expandir privilégios. Se você configurou o parâmetro Verificar papéis, a ação verifica os privilégios apenas para os papéis listados.
Include Inherited Roles

Opcional.

Se selecionada, a ação também retorna papéis de usuário herdados de grupos.
Expand Privileges

Opcional.

Se selecionada, a ação vai retornar informações sobre todos os privilégios exclusivos relacionados ao usuário.
Max Roles To Return

Obrigatório.

O número máximo de funções relacionadas ao usuário a serem retornadas.

O valor padrão é 100.
Max Privileges To Return

Obrigatório.

O número máximo de privilégios relacionados ao usuário a serem retornados.

O valor padrão é 100.

Saídas de ação

A ação List User Privileges fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List User Privileges:

{
    "Entity": "user@example.com",
    "EntityResult": {
        "roles": [
            "Role1",
            "_GROUPS_EDITOR_ROLE",
            "example-role"
        ],
        "unique_privileges": [
            "VIEW_SITE_DETAILS",
            "ACCESS_EMAIL_LOG_SEARCH",
            "ACCESS_ADMIN_QUARANTINE",
            "ACCESS_RESTRICTED_QUARANTINE",
            "ADMIN_QUALITY_DASHBOARD_ACCESS",
            "MANAGE_DLP_RULE",
            "DASHBOARD_ACCESS",
            "MANAGE_GSC_RULE",
            "VIEW_GSC_RULE",
            "SECURITY_HEALTH_DASHBOARD_ACCESS",
            "SIT_CALENDAR_VIEW_METADATA",
            "SIT_CHAT_VIEW_METADATA",
            "SIT_CHROME_VIEW_METADATA",
            "SIT_DEVICE_UPDATE_DELETE",
            "SIT_DEVICE_VIEW_METADATA",
            "SIT_DRIVE_UPDATE_DELETE"
        ]
    }
}
Mensagens de saída

A ação List User Privileges fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully enriched the following users using information from Google Workspace: USERS

Action wasn't able to enrich the following users using information from Google Workspace: USERS

None of the specific roles/privileges were found for the following users in Google Workspace: USERS

None of the specific roles/privileges were found for the provided users in Google Workspace.

None of the provided users were enriched in Google Workspace.

A ação foi concluída.
Error executing action "List User Privileges". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List User Privileges:

Nome do resultado do script Valor
is_success True ou False

Listar usuários

Use a ação List Users para listar os usuários presentes em uma conta.

Essa ação não é executada em entidades do Google SecOps.

Você pode usar a ação List Users para resolver os seguintes casos de uso:

  • Identificar contas potencialmente comprometidas.
  • Automatize os processos de desativação.
  • Auditar e gerenciar privilégios de acesso dos usuários
  • Investigue atividades suspeitas.
  • Gerenciar licenças e recursos de usuários.

Entradas de ação

A ação Listar usuários exige os seguintes parâmetros:

Parâmetro Descrição
Customer ID

Opcional.

Um ID exclusivo da conta do Google Workspace do cliente.

Se você não fornecer esse valor de parâmetro, a ação usará automaticamente o marcador de posição my_customer para representar um ID de cliente da conta.
Domain

Opcional.

Um domínio para pesquisar usuários.
Manager Email

Opcional.

Um endereço de e-mail do gerente de um usuário.
Return Only Admin Accounts?

Opcional.

Se selecionada, a ação retorna apenas contas de administrador.

Não selecionada por padrão.
Return Only Delegated Admin Accounts?

Opcional.

Se selecionada, a ação vai retornar apenas contas de administrador delegado.

Não selecionada por padrão.
Return Only Suspended Users?

Opcional.

Se selecionada, a ação vai retornar apenas contas suspensas.

Não selecionada por padrão.
Org Unit Path

Opcional.

Um caminho completo de uma unidade organizacional de onde recuperar os usuários. O caminho corresponde a todas as cadeias de unidades organizacionais listadas na unidade de destino.
Department

Opcional.

Um departamento dentro da organização de onde recuperar os usuários.
Record Limit

Opcional.

O número máximo de registros de dados que a ação vai retornar.

O valor padrão é 20.
Custom Query Parameter

Opcional.

Um parâmetro de consulta personalizado para adicionar à chamada de pesquisa list users, como orgName='Human Resources'.

É possível configurar esse parâmetro com o campo email ou deixar o campo email vazio e configurar o parâmetro Email Addresses. Se você configurar o campo email e o parâmetro Email Addresses, a consulta gerada vai falhar.
Return only users without 2fa?

Opcional.

Se selecionada, a ação só vai retornar usuários que não têm a autenticação de dois fatores (2FA) ativada.

Não selecionada por padrão.
Email Addresses

Opcional.

Uma lista de endereços de e-mail separados por vírgulas para pesquisar.

Se você configurar esse parâmetro, não configure o campo email no parâmetro Custom Query Parameter.

Se você configurar esse parâmetro, a ação vai ignorar o parâmetro Record Limit.

Saídas de ação

A ação List Users (Listar usuários) fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela do painel de casos

A ação List Users (Listar usuários) fornece a seguinte tabela em um Painel de Casos:

Nome da tabela: Usuários do Google G Suite

Colunas da tabela:

  • ID
  • E-mail
  • Nome
  • Nome da família
  • É administrador?
  • É administrador delegado?
  • Horário da criação
  • Hora do último login
  • Suspenso?
  • Arquivado?
  • Mudar a senha no próximo login?
  • ID do cliente
  • Caminho da unidade organizacional
  • A caixa de correio está definida?
  • E-mail de recuperação
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Users:

{
    "kind": "admin#directory#users",
    "etag": "E_TAG_VALUE",
    "users": [
        {
            "kind": "admin#directory#user",
            "id": "ID",
            "etag": "E_TAG_VALUE",
            "primaryEmail": "user@example.com",
            "name": {
                "givenName": "NAME",
                "familyName": "SURNAME",
                "fullName": "NAME SURNAME"
            },
            "isAdmin": true,
            "isDelegatedAdmin": false,
            "lastLoginTime": "2020-12-22T06:40:34.000Z",
            "creationTime": "2020-07-22T09:23:28.000Z",
            "agreedToTerms": true,
            "suspended": false,
            "archived": false,
            "changePasswordAtNextLogin": false,
            "ipWhitelisted": false,
            "emails": [
                {
                    "address": "user@example.com",
                    "primary": true
                },
                {
                    "address": "user@example.com"
                }
            ],
            "nonEditableAliases": [
                "user@example.com"
            ],
            "customerId": "CUSTOMER_ID",
            "orgUnitPath": "/Management",
            "isMailboxSetup": true,
            "isEnrolledIn2Sv": false,
            "isEnforcedIn2Sv": false,
            "includeInGlobalAddressList": true,
            "recoveryEmail": "email@example.com"
        }
    ]
}
Mensagens de saída

A ação List Users fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Action successfully returned the Google Workspace Directory user list.

No users were returned.

 A ação foi concluída.
Failed to connect to the Google Workspace! Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Users:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com o Google Workspace.

Essa ação é executada em todas as entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Remover participantes do grupo

Use a ação Remover participantes do grupo para remover pessoas de um grupo do Google Workspace.

Essa ação é executada na entidade User do Google SecOps.

Você pode usar a ação List Users para resolver os seguintes casos de uso:

  • Automatizar o desligamento de usuários.
  • Executar o gerenciamento de grupos dinâmicos.
  • Corrija problemas de controle de acesso.

Entradas de ação

A ação Remover participantes do grupo exige os seguintes parâmetros:

Parâmetro Descrição
Group Email Address

Obrigatório.

Um e-mail do grupo de que os participantes serão removidos.
User Email Addresses

Opcional.

Uma lista separada por vírgulas de usuários a serem removidos do grupo.

A ação executa valores que você configura para esse parâmetro junto com a entidade User.

Saídas de ação

A ação Remover participantes do grupo fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Remover participantes do grupo:

Nome do resultado do script Valor
is_success True ou False

Revogar sessões de usuários

Use a ação Revogar sessões do usuário para revogar as sessões do usuário na Web e em dispositivos e redefinir os cookies de login no Google Workspace.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Revogar sessões de usuário exige os seguintes parâmetros:

Parâmetro Descrição
User Email Addresses

Opcional.

Uma lista de usuários separados por vírgulas para sair. A ação executa os valores desse parâmetro com entidades User do Google SecOps.

Saídas de ação

A ação Revogar sessões do usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Revogar sessões do usuário:

[
   {
       "Entity": "ENTITY_ID",
       "EntityResult": {
           "Status": "done"
       }
   }
]
Mensagens de saída

A ação Revogar sessões do usuário pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully signed out the following users using Google Workspace: USERS

Action wasn't able to sign out the following users using Google Workspace: USERS

None of the provided users were found in Google Workspace.

A ação foi concluída.
Error executing action "Revoke User Sessions". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Revogar sessões do usuário:

Nome do resultado do script Valor
is_success True ou False

Pesquisar eventos de atividade do usuário

Use a ação Pesquisar eventos de atividade do usuário para recuperar eventos de atividade de um aplicativo para uma entidade User especificada do Google SecOps.

Essa ação é executada na entidade User do Google SecOps.

Entradas de ação

A ação Pesquisar eventos de atividade do usuário exige os seguintes parâmetros:

Parâmetro Descrição
User Email Addresses

Opcional.

Uma lista separada por vírgulas de outros endereços de e-mail de usuários a serem processados.

A ação processa todos os usuários na lista, além de uma entidade User (se fornecida).
Application Names

Obrigatório.

Uma lista de aplicativos para consultar eventos de atividade.

Para conferir uma lista completa de aplicativos compatíveis, consulte a documentação de ApplicationName.
Event Type Filter

Opcional.

Uma lista separada por vírgulas de tipos de eventos a serem recuperados.
Time Frame

Opcional.

O período da pesquisa de atividade.

Os valores possíveis são:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

Se Custom for selecionado, o parâmetro Start Time será obrigatório.

O valor padrão é Last Hour.
Start Time

Opcional.

O início do período para a pesquisa de atividades.

Esse parâmetro é obrigatório se Custom for selecionado para o parâmetro Time Frame.

Configure o valor no formato ISO 8601.
End Time

Opcional.

O fim do período da pesquisa de atividade.

Esse parâmetro é opcional quando Custom é selecionado para o parâmetro Time Frame e o padrão é a hora atual se não for fornecido.

Configure o valor no formato ISO 8601.
Max Events To Return

Obrigatório.

O número máximo de eventos a serem retornados por usuário.

A ação processa um máximo de 1000 eventos por usuário e por aplicativo.

O valor padrão é 200.

O valor máximo é 1000.

Saídas de ação

A ação Pesquisar eventos de atividade do usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída de resultado JSON recebida ao usar a ação Pesquisar eventos de atividade do usuário:

{
   "Entity": "user@example.com",
   "EntityResult": [
      {
         "applicationName": "login",
         "type": "login",
         "name": "login_success",
         "parameters": [
            {
               "name": "login_type",
               "value": "google_password"
            },
            {
               "name": "login_challenge_method",
               "multiValue": [
                  "password"
               ]
            },
            {
               "name": "is_suspicious",
               "boolValue": false
            }
         ]
      },
      {
         "applicationName": "token",
         "type": "auth",
         "name": "authorize",
         "parameters": [
            {
               "name": "client_id",
               "value": "example-client-id.apps.googleusercontent.com"
            },
            {
               "name": "app_name",
               "value": "Google Chrome"
            },
            {
               "name": "client_type",
               "value": "NATIVE_DESKTOP"
            },
            {
               "name": "scope_data",
               "multiMessageValue": [
                  {
                     "parameter": [
                        {
                           "name": "scope_name",
                           "value": "https://www.google.com/accounts/OAuthLogin"
                        },
                        {
                           "name": "product_bucket",
                           "multiValue": [
                              "IDENTITY"
                           ]
                        }
                     ]
                  }
               ]
            },
            {
               "name": "scope",
               "multiValue": [
                  "https://www.google.com/accounts/OAuthLogin"
               ]
            }
         ]
      }
   ]
}
Mensagens de saída

A ação Pesquisar eventos de atividade do usuário pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found events for the following users in Google Workspace: USERS.

No events were found for the following users in Google Workspace: USERS.

No events were found for the provided users in Google Workspace.

 A ação foi concluída.
Error executing action "Search User Activity Events". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar eventos de atividade do usuário:

Nome do resultado do script Valor
is_success True ou False

Atualizar UO

Use a ação Atualizar UO para atualizar uma unidade organizacional (UO).

Essa ação é executada em todas as entidades do Google SecOps.

Você pode usar a ação Atualizar UO para resolver os seguintes casos de uso:

  • Gerenciar grupos de segurança.
  • Automatizar a integração e a suspensão de usuários.
  • Implemente políticas de separação de dados.

Entradas de ação

A ação Atualizar UO exige os seguintes parâmetros:

Parâmetro Descrição
Customer ID

Obrigatório.

Um ID exclusivo da conta do Google Workspace do cliente.

Para representar o valor customerId da conta, use o marcador de posição my_customer.
Name

Opcional.

Um nome da OU.
Description

Opcional.

Uma descrição da OU.
OU Path

Obrigatório.

Um caminho completo para a UO.

Se a UO estiver localizada no caminho raiz, /, forneça apenas o nome da UO sem um caminho.

Saídas de ação

A ação Atualizar OU fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Resultado do script Disponível
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar UO:

Nome do resultado do script Valor
is_success True ou False

Atualizar usuário

Use a ação Atualizar usuário para atualizar um usuário do diretório do Google Workspace.

Essa ação não é executada em entidades do Google SecOps.

Você pode usar a ação Atualizar usuário para resolver os seguintes casos de uso:

  • Desativar uma conta comprometida.
  • Forçar uma redefinição de senha após detectar atividade suspeita.
  • Atualizar as informações do departamento após concluir uma transferência de funcionário.
  • Suspenda contas inativas.

Entradas de ação

A ação Atualizar usuário exige os seguintes parâmetros:

Parâmetro Descrição
Email Address

Obrigatório.

Uma lista separada por vírgulas de endereços de e-mail principais usados para identificar quais usuários atualizar.
Given Name

Opcional.

O nome do usuário.
Family Name

Opcional.

O sobrenome do usuário.
Password

Opcional.

A senha do novo usuário.
Phone

Opcional.

O número de telefone do usuário.

A ação atualiza o tipo de número de telefone custom.
Gender

Opcional.

O gênero do usuário.

Os valores válidos são: female, male, other e unknown.
Department

Opcional.

O nome do departamento do usuário.
Organization

Opcional.

O nome da organização do usuário.
Change Password At Next Login

Opcional.

Se selecionada, o sistema exige que o usuário mude a senha na próxima tentativa de login.

Não selecionada por padrão.
User Status

Opcional.

O status do usuário a ser atualizado.

Por padrão, a ação não muda o status do usuário.

Os valores possíveis são os seguintes:
  • Not Changed
  • Blocked
  • Unblocked

Saídas de ação

A ação Atualizar usuário fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Atualizar usuário fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully updated the following users in Google Workspace: EMAIL_ADDRESSES.

Action wasn't able to update the following users in Google Workspace: EMAIL_ADDRESSES

None of the provided users were updated.

 A ação foi concluída.
Error executing action "Update User". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Atualizar usuário:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.