SCCM
In diesem Dokument finden Sie eine Anleitung zur Integration von SCCM in Google SecOps.
SCCM für die Verwendung mit Google Security Operations konfigurieren
SCCM mit Linux verbinden
Um die SCCM-Integration auf dem CentOS-Server auszuführen, installieren Sie zuerst WMI:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Danach können Sie die Integration konfigurieren und verwenden.
SCCM-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | x.x.x.x | Ja | Die IP-Adresse oder der DNS-Name des Microsoft SCCM-Servers, zu dem eine Verbindung hergestellt werden soll. |
| Domain | String | Domain | Ja | Microsoft SCCM-Serverdomain. |
| Nutzername | String | – | Ja | Der Nutzername für die Verbindung mit Microsoft SCCM. |
| Passwort | Passwort | – | Ja | Das Passwort für die Verbindung mit Microsoft SCCM. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Computereigenschaften abrufen
Beschreibung
Computerattribute aus der Microsoft SCCM-Instanz abrufen und die erhaltenen Informationen verwenden, um die bereitgestellte Google SecOps Host-Entität zu erweitern.
Parameter
–
Anwendungsbereiche
Informationen zum Host aus dem Google SecOps-Playbook von Microsoft SCCM abrufen und diese Daten zur Anreicherung verwenden.
Ausführen am
Diese Aktion wird für die Hostname-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| ClientEdition | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMSInstalledSites | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| MDMDeviceCategoryID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ManagementAuthority | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IPAddresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| EASDeviceID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ResourceType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| DeviceOwner | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsWriteFilterCapable | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| HardwareID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsMachineChangesPersisted | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMBIOSGUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| NetbiosName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Build | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AgentSite | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IPv6Addresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ResourceNames | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| PrimaryGroupID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ClientVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ClientType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| PreviousSMSUUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ResourceId | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IPv6Prefixes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ObjectGUID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMSAssignedSites | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMSResidentSites | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsPortableOperatingSystem | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| MDMComplianceStatus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| WTGUniqueKey | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AMTStatus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SystemGroupName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AgentName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Aktiv | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SNMPCommunityName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ADSiteName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsClientAMT30Compatible | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsVirtualMachine | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AlwaysInternet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Außer Betrieb genommen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SystemOUName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SuppressAutoProvision | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMSUniqueIdentifier | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ResourceDomainORWorkgroup | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| UserAccountControl | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| LastLogonTimestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AMTFullVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| OperatingSystemNameandVersion | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| PublisherDeviceID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SystemContainerName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| LastLogonUserName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| InternetEnabled | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SMSUUIDChangeDate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| AgentTime | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsAssignedToUser | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| WipeStatus | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SecurityGroupName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| DistinguishedName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SystemRoles | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Veraltet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| SerialNumber | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| FullDomainName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IsAOACCapable | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| MACAddresses | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| IPSubnets | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| VirtualMachineType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| CPUType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| CreationDate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| VirtualMachineHostName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| OSBranch | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| LastLogonUserDomain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_enriched | Wahr/falsch | is_enriched:False |
JSON-Ergebnis
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn einige oder alle angegebenen Entitäten angereichert wurden: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Wenn einige der angegebenen Elemente nicht angereichert wurden: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Wenn nicht alle angegebenen Entitäten angereichert wurden: print "No entities were enriched" Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei kritischen Fehlern wie falschen Anmeldedaten oder Problemen mit der Netzwerkverbindung: print "Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellenname:Microsoft SCCM-Abfrageergebnisse für {0}.entity.Identifier Tabelleninhalte:Die Inhalte sind dynamisch und basieren auf Abfrageergebnissen. |
Entität |
Anmeldeverlauf abrufen
Beschreibung
Rufen Sie den Anmeldeverlauf des Nutzers aus der Microsoft SCCM-Instanz basierend auf der bereitgestellten Google SecOps-Nutzeridentität ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Anzahl der zurückzugebenden Datensätze | Ganzzahl | 100 | Ja | Maximale Anzahl der Datensätze, die in der Aktion zurückgegeben werden sollen. |
Anwendungsbereiche
Nutzeranmeldeinformationen aus SCCM im Playbook abrufen
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Nutzername | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| LoginCount | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| LastLoggedIn | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn Sie Daten für einige oder alle der angegebenen Einheiten haben: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Wenn einige der angegebenen Entitäten in SCCM nicht gefunden wurden: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Wenn keine Daten für alle angegebenen Entitäten gefunden werden: print "No results were found." Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei kritischen Fehlern wie falschen Anmeldedaten oder Problemen mit der Netzwerkverbindung: print "Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellenname:Microsoft SCCM-Anmeldeverlauf für {0}.format(entity.Identifier) Tabelleninhalte:Die Inhalte sind dynamisch und basieren auf Abfrageergebnissen. |
Entität |
Entitäten anreichern
Beschreibung
Google SecOps-Host-, ‑IP- oder ‑Nutzerentitäten mit Informationen aus Microsoft SCCM anreichern.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Nutzer
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Beispiel für die Rückgabe für die Host-Entität. Die Anfrage wurde in PowerShell gestellt:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn einige oder alle bereitgestellten Entitäten angereichert wurden: „Die folgenden Entitäten wurden mit SCCM-Daten angereichert:\n {0}“.format([entity list]) Wenn einige der bereitgestellten Entitäten nicht angereichert wurden: „SCCM-Daten für die folgenden Entitäten wurden nicht gefunden:\n {0}“.format([entity list]) Wenn nicht alle angegebenen Entitäten angereichert wurden: „No entities were enriched“ (Keine Entitäten wurden angereichert) Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten oder Problemen mit der Netzwerkverbindung: „Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellenname:Microsoft SCCM-Anreicherungsergebnisse für {0}.format(entity.Identifier) Tabelleninhalte:Die Inhalte sind dynamisch und basieren auf Abfrageergebnissen. |
Entität |
WQL-Abfrage ausführen
Beschreibung
Führen Sie eine beliebige WQL-Abfrage (Windows Management Instrumentation Query Language) für die Microsoft SCCM-Instanz aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Auszuführende Abfrage | String | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Ja | Geben Sie die auszuführende WQL-Abfrage an. Sehen Sie sich die Standardbeispielanfrage als Referenz an. |
| Anzahl der zurückzugebenden Datensätze | Ganzzahl | 100 | Ja | Maximale Anzahl der Datensätze, die in der Aktion zurückgegeben werden sollen. |
Anwendungsbereiche
Führen Sie beliebige Abfragen für Microsoft SCCM-Instanzen aus, um die erforderlichen Daten basierend auf der Analyse von Benachrichtigungen in Google SecOps abzurufen.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Beispiel für die Rückgabe für die Host-Entität. Die Anfrage wurde in PowerShell gestellt:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn die Abfrage erfolgreich ist und Daten zurückgegeben werden: print "Query executed successfully and returned results". Wenn nichts gefunden wird: print "Query executed successfully, but did not return any results.". Bei Fehler: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Wenn die Abfrageergebnisse gekürzt wurden: print "Query results exceeded limits and were truncated!". Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei kritischen Fehlern wie falschen Anmeldedaten oder Problemen mit der Netzwerkverbindung: print "Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
| Tabelle | Tabellenname:WQL-Abfrageergebnisse Spalten:Spalten werden dynamisch auf Grundlage der Abfrageergebnisse generiert. |
Allgemein |
| Anhänge | Run_WQL_query_response.json: Enthält technische JSON-Daten, die von der Aktion zurückgegeben werden. | Allgemein |
| JSON-Viewer | JSON-Viewer für das Abfrageergebnis anzeigen | Allgemein |
Scan-Endpunktaufgabe erstellen
Beschreibung
Erstellen Sie auf dem Microsoft SCCM-Server eine Aufgabe für den Scan-Endpunkt für den Endpunkt. Es gibt zwei Arten von Scans: vollständig oder schnell. Die Aktion funktioniert mit Host- oder IP-Google SecOps-Entitäten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Scantyp | DDL | Schnellsuchlauf | Ja | Geben Sie an, ob ein vollständiger oder ein schneller Scan ausgeführt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht\* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Wenn die Aufgabe für einige oder alle angegebenen Entitäten erstellt wurde: „Die Aufgabe zum Scannen des Endpunkts wurde für die folgenden Entitäten erstellt:\n {0}“.format([entity list]) Wenn für einige der bereitgestellten Entitäten keine Scanendpunktaufgabe erstellt werden konnte, weil sie nicht angereichert wurden: „Failed to create scan endpoint task for the following entities:\n {0}“.format([entity list]) Wenn für alle angegebenen Einheiten keine Aufgabe erstellt werden kann: „Es wurden keine Aufgaben für den Endpunktscan erstellt. Weitere Informationen finden Sie im Aktionslog.“ Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten oder Problemen mit der Netzwerkverbindung: „Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Ping
Beschreibung
Testen Sie die Verbindung zur Microsoft SCCM-Instanz mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Anwendungsbereiche
Die Aktion wird verwendet, um die Konnektivität auf der Seite „Integrationskonfiguration“ auf dem Tab „Google Security Operations Marketplace“ zu testen. Sie kann als manuelle Aktion ausgeführt werden, die nicht Teil von Playbooks ist.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Aktion darf nicht fehlschlagen und die Playbook-Ausführung darf nicht beendet werden: Bei Erfolg: „Successfully connected to the Microsoft SCCM instance with the provided connection parameters!“ (Es wurde erfolgreich eine Verbindung zur Microsoft SCCM-Instanz mit den angegebenen Verbindungsparametern hergestellt.) Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn der Vorgang nicht erfolgreich ist: „Failed to connect to the Microsoft SCCM instance! Fehler: {0}".format(exception.stacktrace). |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten