SCCM
Versión de integración: 15.0
Configurar SCCM para que funcione con Google Security Operations
Conectar SCCM a Linux
Para ejecutar la integración de SCCM en el servidor Centos, primero instala wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Después, puedes configurar y usar la integración.
Configurar la integración de SCCM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Dirección del servidor | Cadena | x.x.x.x | Sí | La dirección IP o el nombre de DNS del servidor de Microsoft SCCM al que conectarse. |
| Dominio | Cadena | dominio | Sí | Dominio del servidor de Microsoft SCCM. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario que se usará para conectarse a Microsoft SCCM. |
| Contraseña | Contraseña | N/A | Sí | La contraseña que se usará para conectarse a Microsoft SCCM. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Get Computer Properties
Descripción
Obtiene las propiedades de un ordenador de una instancia de Microsoft SCCM y usa la información obtenida para enriquecer la entidad Host de Google SecOps proporcionada.
Parámetros
N/A
Casos prácticos
Obtén información sobre el host en el manual de procedimientos de Google SecOps de Microsoft SCCM y usa estos datos para enriquecerlos.
Fecha de ejecución
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| ClientEdition | Devuelve si existe en el resultado JSON. |
| SMSInstalledSites | Devuelve si existe en el resultado JSON. |
| MDMDeviceCategoryID | Devuelve si existe en el resultado JSON. |
| ManagementAuthority | Devuelve si existe en el resultado JSON. |
| IPAddresses | Devuelve si existe en el resultado JSON. |
| EASDeviceID | Devuelve si existe en el resultado JSON. |
| ResourceType | Devuelve si existe en el resultado JSON. |
| SID | Devuelve si existe en el resultado JSON. |
| DeviceOwner | Devuelve si existe en el resultado JSON. |
| IsWriteFilterCapable | Devuelve si existe en el resultado JSON. |
| HardwareID | Devuelve si existe en el resultado JSON. |
| IsMachineChangesPersisted | Devuelve si existe en el resultado JSON. |
| SMBIOSGUID | Devuelve si existe en el resultado JSON. |
| NetbiosName | Devuelve si existe en el resultado JSON. |
| Compilación | Devuelve si existe en el resultado JSON. |
| AgentSite | Devuelve si existe en el resultado JSON. |
| IPv6Addresses | Devuelve si existe en el resultado JSON. |
| ResourceNames | Devuelve si existe en el resultado JSON. |
| PrimaryGroupID | Devuelve si existe en el resultado JSON. |
| ClientVersion | Devuelve si existe en el resultado JSON. |
| ClientType | Devuelve si existe en el resultado JSON. |
| PreviousSMSUUID | Devuelve si existe en el resultado JSON. |
| ResourceId | Devuelve si existe en el resultado JSON. |
| IPv6Prefixes | Devuelve si existe en el resultado JSON. |
| ObjectGUID | Devuelve si existe en el resultado JSON. |
| SMSAssignedSites | Devuelve si existe en el resultado JSON. |
| SMSResidentSites | Devuelve si existe en el resultado JSON. |
| IsPortableOperatingSystem | Devuelve si existe en el resultado JSON. |
| MDMComplianceStatus | Devuelve si existe en el resultado JSON. |
| WTGUniqueKey | Devuelve si existe en el resultado JSON. |
| AMTStatus | Devuelve si existe en el resultado JSON. |
| SystemGroupName | Devuelve si existe en el resultado JSON. |
| AgentName | Devuelve si existe en el resultado JSON. |
| Activo | Devuelve si existe en el resultado JSON. |
| SNMPCommunityName | Devuelve si existe en el resultado JSON. |
| ADSiteName | Devuelve si existe en el resultado JSON. |
| IsClientAMT30Compatible | Devuelve si existe en el resultado JSON. |
| IsVirtualMachine | Devuelve si existe en el resultado JSON. |
| AlwaysInternet | Devuelve si existe en el resultado JSON. |
| Retirado | Devuelve si existe en el resultado JSON. |
| Nombre | Devuelve si existe en el resultado JSON. |
| SystemOUName | Devuelve si existe en el resultado JSON. |
| SuppressAutoProvision | Devuelve si existe en el resultado JSON. |
| SMSUniqueIdentifier | Devuelve si existe en el resultado JSON. |
| ResourceDomainORWorkgroup | Devuelve si existe en el resultado JSON. |
| UserAccountControl | Devuelve si existe en el resultado JSON. |
| LastLogonTimestamp | Devuelve si existe en el resultado JSON. |
| AMTFullVersion | Devuelve si existe en el resultado JSON. |
| OperatingSystemNameandVersion | Devuelve si existe en el resultado JSON. |
| PublisherDeviceID | Devuelve si existe en el resultado JSON. |
| SystemContainerName | Devuelve si existe en el resultado JSON. |
| LastLogonUserName | Devuelve si existe en el resultado JSON. |
| InternetEnabled | Devuelve si existe en el resultado JSON. |
| SMSUUIDChangeDate | Devuelve si existe en el resultado JSON. |
| AgentTime | Devuelve si existe en el resultado JSON. |
| IsAssignedToUser | Devuelve si existe en el resultado JSON. |
| WipeStatus | Devuelve si existe en el resultado JSON. |
| SecurityGroupName | Devuelve si existe en el resultado JSON. |
| DistinguishedName | Devuelve si existe en el resultado JSON. |
| SystemRoles | Devuelve si existe en el resultado JSON. |
| Obsoleta | Devuelve si existe en el resultado JSON. |
| SerialNumber | Devuelve si existe en el resultado JSON. |
| FullDomainName | Devuelve si existe en el resultado JSON. |
| IsAOACCapable | Devuelve si existe en el resultado JSON. |
| MACAddresses | Devuelve si existe en el resultado JSON. |
| IPSubnets | Devuelve si existe en el resultado JSON. |
| VirtualMachineType | Devuelve si existe en el resultado JSON. |
| CPUType | Devuelve si existe en el resultado JSON. |
| CreationDate | Devuelve si existe en el resultado JSON. |
| VirtualMachineHostName | Devuelve si existe en el resultado JSON. |
| OSBranch | Devuelve si existe en el resultado JSON. |
| LastLogonUserDomain | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_enriched | Verdadero/Falso | is_enriched:False |
Resultado de JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se ha enriquecido alguna o todas las entidades proporcionadas: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Si no se ha enriquecido alguna de las entidades proporcionadas: print "No se han encontrado datos de SCCM para las siguientes entidades:\n {0}".format([entity list]) Si no se ha enriquecido toda la información de las entidades proporcionadas: print "No se ha enriquecido ninguna entidad" La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: print "No se ha podido conectar con la instancia de Microsoft SCCM. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: resultados de la consulta de Microsoft SCCM para {0}.entity.Identifier Contenido de la tabla: el contenido es dinámico y se basa en los resultados de las consultas. |
Entidad |
Obtener historial de inicio de sesión
Descripción
Recupera el historial de inicio de sesión de los usuarios de la instancia de Microsoft SCCM en función de la entidad de usuario de SecOps de Google proporcionada.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número de registros que se van a devolver. | Entero | 100 | Sí | Número máximo de registros que se devolverán en la acción. |
Casos prácticos
Obtener información de inicio de sesión de usuario de SCCM en el manual de procedimientos.
Fecha de ejecución
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| Nombre de usuario | Devuelve si existe en el resultado JSON. |
| LoginCount | Devuelve si existe en el resultado JSON. |
| LastLoggedIn | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se han obtenido datos de algunas o de todas las entidades proporcionadas: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Si no se han encontrado algunas de las entidades proporcionadas en SCCM: print "No se han encontrado datos de SCCM para las siguientes entidades:\n {0}".format([entity list]) Si no se encuentran datos de todas las entidades proporcionadas: print "No se han encontrado resultados." La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: print "No se ha podido conectar con la instancia de Microsoft SCCM. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: historial de inicio de sesión de Microsoft SCCM para {0}.format(entity.Identifier) Contenido de la tabla: el contenido es dinámico y se basa en los resultados de las consultas. |
Entidad |
Enriquecer entidades
Descripción
Enriquece las entidades de host, IP o usuario de Google SecOps en función de la información de Microsoft SCCM.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Usuario
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Ejemplo de devolución de una entidad Host. La solicitud se ha realizado en PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se han enriquecido algunas o todas las entidades proporcionadas: "Se han enriquecido las siguientes entidades con datos de SCCM:\n {0}".format([lista de entidades]) Si no se ha enriquecido alguna de las entidades proporcionadas: "No se han encontrado datos de SCCM para las siguientes entidades:\n {0}".format([entity list]) Si no se ha enriquecido ninguna de las entidades proporcionadas: "No se ha enriquecido ninguna entidad" La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: "Failed to connect to the Microsoft SCCM instance! Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: resultados del enriquecimiento de Microsoft SCCM para {0}.format(entity.Identifier) Contenido de la tabla: el contenido es dinámico y se basa en los resultados de las consultas. |
Entidad |
Ejecutar consulta WQL
Descripción
Ejecuta una consulta arbitraria del lenguaje de consultas de Instrumental de administración de Windows (WQL) en la instancia de Microsoft SCCM.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta que se va a ejecutar | Cadena | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Sí | Especifica la consulta WQL que quieres ejecutar. Consulta la solicitud de ejemplo predeterminada. |
| Número de registros que se van a devolver. | Entero | 100 | Sí | Número máximo de registros que se devolverán en la acción. |
Casos prácticos
Ejecuta consultas arbitrarias en instancias de Microsoft SCCM para obtener los datos necesarios en función del análisis de alertas de Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Ejemplo de devolución de una entidad Host. La solicitud se ha realizado en PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si la consulta se realiza correctamente y se obtienen datos: Imprime "Query executed successfully and returned results" (Consulta ejecutada correctamente y resultados devueltos). Si no se encuentra nada: print "Query executed successfully, but did not return any results.". Si se produce un error: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Si los resultados de la consulta se han truncado: print "Los resultados de la consulta han superado los límites y se han truncado". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: print "No se ha podido conectar con la instancia de Microsoft SCCM. Error: {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: Resultados de la consulta WQL Columnas: genera columnas de forma dinámica en función de los resultados de la consulta. |
General |
| Archivos adjuntos | Run_WQL_query_response.json: contiene los datos JSON técnicos devueltos por la acción. | General |
| Visor de JSON | Muestra el visor JSON del resultado de la consulta. | General |
Crear tarea de endpoint de análisis
Descripción
Crea una tarea de endpoint de análisis en el servidor Microsoft SCCM para el endpoint. Hay dos tipos de análisis disponibles: completo o rápido. La acción funciona con entidades de Host o IP Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de análisis | DDL | Escaneo rápido | Sí | Especifica si quieres hacer un análisis completo o rápido. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida\* | La acción no debe fallar ni detener la ejecución de la guía: Si la tarea se ha creado correctamente para algunas o todas las entidades proporcionadas: "Se ha creado la tarea de endpoint de análisis para las siguientes entidades:\n {0}".format([entity list]) Si no se ha podido crear la tarea del endpoint de análisis para algunas de las entidades proporcionadas que no se han enriquecido: "Failed to create scan endpoint task for the following entities:\n {0}".format([entity list]) Si no se puede crear una tarea para todas las entidades proporcionadas: "No se han creado tareas de análisis de endpoints. Consulta el registro de acciones para obtener más información". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: "Failed to connect to the Microsoft SCCM instance! Error: {0}".format(exception.stacktrace). |
General |
Ping
Descripción
Prueba la conectividad a la instancia de Microsoft SCCM con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos prácticos
Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar como acción manual, que no forma parte de las guías.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de la guía: Si se realiza correctamente: "Successfully connected to the Microsoft SCCM instance with the provided connection parameters!" (Se ha conectado correctamente a la instancia de Microsoft SCCM con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "Failed to connect to the Microsoft SCCM instance! Error: {0}".format(exception.stacktrace). |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.