SCCM
Versión de integración: 15.0
Configura SCCM para que funcione con Google Security Operations
Conecta SCCM a Linux
Para ejecutar la integración de SCCM en el servidor de CentOS, primero instala wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Después de eso, puedes configurar y usar la integración.
Configura la integración de SCCM en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Dirección del servidor | String | x.x.x.x | Sí | Dirección IP o nombre de DNS del servidor de Microsoft SCCM al que se conectará. |
| Dominio | String | dominio | Sí | Es el dominio del servidor de Microsoft SCCM. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario que se usará para conectarse a Microsoft SCCM. |
| Contraseña | Contraseña | N/A | Sí | Contraseña que se usará para conectarse a Microsoft SCCM. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Obtener propiedades de la computadora
Descripción
Obtener las propiedades de la computadora de la instancia de Microsoft SCCM y usar la información obtenida para enriquecer la entidad de host de Google SecOps proporcionada
Parámetros
N/A
Casos de uso
Obtener información sobre el host en el manual de Google SecOps desde Microsoft SCCM y usar estos datos para el enriquecimiento
Ejecutar en
Esta acción se ejecuta en la entidad Hostname.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| ClientEdition | Devuelve si existe en el resultado JSON. |
| SMSInstalledSites | Devuelve si existe en el resultado JSON. |
| MDMDeviceCategoryID | Devuelve si existe en el resultado JSON. |
| ManagementAuthority | Devuelve si existe en el resultado JSON. |
| IPAddresses | Devuelve si existe en el resultado JSON. |
| EASDeviceID | Devuelve si existe en el resultado JSON. |
| ResourceType | Devuelve si existe en el resultado JSON. |
| SID | Devuelve si existe en el resultado JSON. |
| DeviceOwner | Devuelve si existe en el resultado JSON. |
| IsWriteFilterCapable | Devuelve si existe en el resultado JSON. |
| HardwareID | Devuelve si existe en el resultado JSON. |
| IsMachineChangesPersisted | Devuelve si existe en el resultado JSON. |
| SMBIOSGUID | Devuelve si existe en el resultado JSON. |
| NetbiosName | Devuelve si existe en el resultado JSON. |
| Compilación | Devuelve si existe en el resultado JSON. |
| AgentSite | Devuelve si existe en el resultado JSON. |
| IPv6Addresses | Devuelve si existe en el resultado JSON. |
| ResourceNames | Devuelve si existe en el resultado JSON. |
| PrimaryGroupID | Devuelve si existe en el resultado JSON. |
| ClientVersion | Devuelve si existe en el resultado JSON. |
| ClientType | Devuelve si existe en el resultado JSON. |
| PreviousSMSUUID | Devuelve si existe en el resultado JSON. |
| ResourceId | Devuelve si existe en el resultado JSON. |
| IPv6Prefixes | Devuelve si existe en el resultado JSON. |
| ObjectGUID | Devuelve si existe en el resultado JSON. |
| SMSAssignedSites | Devuelve si existe en el resultado JSON. |
| SMSResidentSites | Devuelve si existe en el resultado JSON. |
| IsPortableOperatingSystem | Devuelve si existe en el resultado JSON. |
| MDMComplianceStatus | Devuelve si existe en el resultado JSON. |
| WTGUniqueKey | Devuelve si existe en el resultado JSON. |
| AMTStatus | Devuelve si existe en el resultado JSON. |
| SystemGroupName | Devuelve si existe en el resultado JSON. |
| AgentName | Devuelve si existe en el resultado JSON. |
| Activa | Devuelve si existe en el resultado JSON. |
| SNMPCommunityName | Devuelve si existe en el resultado JSON. |
| ADSiteName | Devuelve si existe en el resultado JSON. |
| IsClientAMT30Compatible | Devuelve si existe en el resultado JSON. |
| IsVirtualMachine | Devuelve si existe en el resultado JSON. |
| AlwaysInternet | Devuelve si existe en el resultado JSON. |
| Fuera de servicio | Devuelve si existe en el resultado JSON. |
| Nombre | Devuelve si existe en el resultado JSON. |
| SystemOUName | Devuelve si existe en el resultado JSON. |
| SuppressAutoProvision | Devuelve si existe en el resultado JSON. |
| SMSUniqueIdentifier | Devuelve si existe en el resultado JSON. |
| ResourceDomainORWorkgroup | Devuelve si existe en el resultado JSON. |
| UserAccountControl | Devuelve si existe en el resultado JSON. |
| LastLogonTimestamp | Devuelve si existe en el resultado JSON. |
| AMTFullVersion | Devuelve si existe en el resultado JSON. |
| OperatingSystemNameandVersion | Devuelve si existe en el resultado JSON. |
| PublisherDeviceID | Devuelve si existe en el resultado JSON. |
| SystemContainerName | Devuelve si existe en el resultado JSON. |
| LastLogonUserName | Devuelve si existe en el resultado JSON. |
| InternetEnabled | Devuelve si existe en el resultado JSON. |
| SMSUUIDChangeDate | Devuelve si existe en el resultado JSON. |
| AgentTime | Devuelve si existe en el resultado JSON. |
| IsAssignedToUser | Devuelve si existe en el resultado JSON. |
| WipeStatus | Devuelve si existe en el resultado JSON. |
| SecurityGroupName | Devuelve si existe en el resultado JSON. |
| DistinguishedName | Devuelve si existe en el resultado JSON. |
| SystemRoles | Devuelve si existe en el resultado JSON. |
| Obsoleto | Devuelve si existe en el resultado JSON. |
| SerialNumber | Devuelve si existe en el resultado JSON. |
| FullDomainName | Devuelve si existe en el resultado JSON. |
| IsAOACCapable | Devuelve si existe en el resultado JSON. |
| MACAddresses | Devuelve si existe en el resultado JSON. |
| IPSubnets | Devuelve si existe en el resultado JSON. |
| VirtualMachineType | Devuelve si existe en el resultado JSON. |
| CPUType | Devuelve si existe en el resultado JSON. |
| CreationDate | Devuelve si existe en el resultado JSON. |
| VirtualMachineHostName | Devuelve si existe en el resultado JSON. |
| OSBranch | Devuelve si existe en el resultado JSON. |
| LastLogonUserDomain | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_enriched | Verdadero/Falso | is_enriched:False |
Resultado de JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía: Si se enriquecieron algunas o todas las entidades proporcionadas: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Si no se enriquecieron algunas de las entidades proporcionadas, haz lo siguiente: print "No se encontraron datos de SCCM para las siguientes entidades:\n {0}".format([lista de entidades]) Si no se enriquecieron todas las entidades proporcionadas: print "No se enriqueció ninguna entidad" La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red, haz lo siguiente: print "Failed to connect to the Microsoft SCCM instance! El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: Resultados de la consulta de Microsoft SCCM para {0}.entity.Identifier Contenido de la tabla: El contenido es dinámico y se basa en los resultados de la búsqueda. |
Entidad |
Obtener historial de acceso
Descripción
Recupera el historial de acceso del usuario de la instancia de Microsoft SCCM según la entidad de usuario de Google SecOps proporcionada.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Cantidad de registros que se devolverán | Número entero | 100 | Sí | Es la cantidad máxima de registros que se devolverán en la acción. |
Casos de uso
Obtén la información de acceso del usuario de SCCM en el manual.
Ejecutar en
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Nombre de usuario | Devuelve si existe en el resultado JSON. |
| LoginCount | Devuelve si existe en el resultado JSON. |
| LastLoggedIn | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía: Si obtuviste datos para algunas o todas las entidades proporcionadas, haz lo siguiente: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Si no se encontraron algunas de las entidades proporcionadas en SCCM, haz lo siguiente: print "No se encontraron datos de SCCM para las siguientes entidades:\n {0}".format([lista de entidades]) Si no se encuentran datos para todas las entidades proporcionadas: print "No se encontraron resultados" La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red, haz lo siguiente: print "Failed to connect to the Microsoft SCCM instance! El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: Historial de acceso a Microsoft SCCM para {0}.format(entity.Identifier) Contenido de la tabla: El contenido es dinámico y se basa en los resultados de la búsqueda. |
Entidad |
Enriquece entidades
Descripción
Enriquece las entidades de host, IP o usuario de Google SecOps en función de la información de Microsoft SCCM.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Usuario
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Ejemplo de devolución para la entidad Host. La solicitud se realizó en PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía: Si se enriquecieron algunas o todas las entidades proporcionadas: "Se enriquecieron las siguientes entidades con datos del SCCM:\n {0}".format([lista de entidades]) Si no se enriquecieron algunas de las entidades proporcionadas: "No se encontraron datos de SCCM para las siguientes entidades:\n {0}".format([lista de entidades]) Si no se enriquecieron todas las entidades proporcionadas: "No se enriqueció ninguna entidad" La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: "No se pudo conectar a la instancia de SCCM de Microsoft. El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: Resultados del enriquecimiento de Microsoft SCCM para {0}.format(entity.Identifier) Contenido de la tabla: El contenido es dinámico y se basa en los resultados de la búsqueda. |
Entidad |
Ejecutar consulta de WQL
Descripción
Ejecuta consultas arbitrarias del lenguaje de consulta de Windows Management Instrumentation (WQL) en la instancia de Microsoft SCCM.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta que se ejecutará | String | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Sí | Especifica la consulta de WQL que se ejecutará. Considera la solicitud de ejemplo predeterminada como referencia. |
| Cantidad de registros que se devolverán | Número entero | 100 | Sí | Es la cantidad máxima de registros que se devolverán en la acción. |
Casos de uso
Ejecuta consultas arbitrarias en instancias de Microsoft SCCM para obtener los datos necesarios según el análisis de alertas en Google SecOps.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Ejemplo de devolución para la entidad Host. La solicitud se realizó en PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía: Si la consulta se realizó correctamente y se obtuvieron datos, haz lo siguiente: print "Query executed successfully and returned results". Si no se encuentra nada, haz lo siguiente: print "La consulta se ejecutó correctamente, pero no devolvió ningún resultado". Si hay un error, haz lo siguiente: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Si se truncaron los resultados de la búsqueda, haz lo siguiente: print "Los resultados de la búsqueda superaron los límites y se truncaron". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red, haz lo siguiente: print "Failed to connect to the Microsoft SCCM instance! El error es {0}".format(exception.stacktrace). |
General |
| Tabla | Nombre de la tabla: Resultados de la consulta de WQL Columnas: Genera columnas de forma dinámica según los resultados de la búsqueda. |
General |
| Archivos adjuntos | Run_WQL_query_response.json: Contiene los datos JSON técnicos que devuelve la acción. | General |
| Visualizador de JSON | Muestra el visualizador de JSON para el resultado de la búsqueda. | General |
Crea la tarea de extremo de análisis
Descripción
Crea una tarea de extremo de análisis en el servidor de Microsoft SCCM para el extremo. Hay dos tipos de análisis disponibles: completo o rápido. La acción funciona con entidades de Host o IP de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de análisis | DDL | Búsqueda rápida | Sí | Especifica si deseas ejecutar un análisis completo o rápido. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida\* | La acción no debería fallar ni detener la ejecución de la guía: Si la tarea se creó correctamente para algunas o todas las entidades proporcionadas: "Se creó la tarea de análisis de extremo para las siguientes entidades:\n {0}".format([lista de entidades]) Si no se pudo crear la tarea del extremo de análisis para algunas de las entidades proporcionadas que no se enriquecieron: "No se pudo crear la tarea del extremo de análisis para las siguientes entidades:\n {0}".format([lista de entidades]) Si no se puede crear una tarea para todas las entidades proporcionadas: "No se crearon tareas de análisis de extremos. Consulta el registro de acciones para obtener más detalles". La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas o problemas de conectividad de red: "No se pudo conectar a la instancia de SCCM de Microsoft. El error es {0}".format(exception.stacktrace). |
General |
Ping
Descripción
Prueba la conectividad a la instancia de Microsoft SCCM con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos de uso
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, que no forma parte de los cuadernos de estrategias.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de la guía: Si se realiza correctamente: "Se conectó correctamente a la instancia de Microsoft SCCM con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente, aparecerá el mensaje "No se pudo conectar a la instancia de Microsoft SCCM". El error es {0}".format(exception.stacktrace). |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.