SCCM
Version de l'intégration : 15.0
Configurer SCCM pour qu'il fonctionne avec Google Security Operations
Connecter SCCM à Linux
Pour exécuter l'intégration SCCM sur le serveur Centos, installez d'abord wmi :
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Vous pourrez ensuite configurer et utiliser l'intégration.
Configurer l'intégration SCCM dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse du serveur | Chaîne | x.x.x.x | Oui | Adresse IP ou nom DNS du serveur Microsoft SCCM auquel se connecter. |
| Domaine | Chaîne | domaine | Oui | Domaine du serveur Microsoft SCCM. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur à utiliser pour se connecter à Microsoft SCCM. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe à utiliser pour se connecter à Microsoft SCCM. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Obtenir les propriétés de l'ordinateur
Description
Obtenez les propriétés de l'ordinateur à partir de l'instance Microsoft SCCM et utilisez les informations obtenues pour enrichir l'entité hôte Google SecOps fournie.
Paramètres
N/A
Cas d'utilisation
Obtenez des informations sur l'hôte dans le playbook Google SecOps à partir de Microsoft SCCM et utilisez ces données pour l'enrichissement.
Exécuter sur
Cette action s'exécute sur l'entité "Nom d'hôte".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| ClientEdition | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMSInstalledSites | Renvoie la valeur si elle existe dans le résultat JSON. |
| MDMDeviceCategoryID | Renvoie la valeur si elle existe dans le résultat JSON. |
| ManagementAuthority | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPAddresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| EASDeviceID | Renvoie la valeur si elle existe dans le résultat JSON. |
| ResourceType | Renvoie la valeur si elle existe dans le résultat JSON. |
| SID | Renvoie la valeur si elle existe dans le résultat JSON. |
| DeviceOwner | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsWriteFilterCapable | Renvoie la valeur si elle existe dans le résultat JSON. |
| HardwareID | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsMachineChangesPersisted | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMBIOSGUID | Renvoie la valeur si elle existe dans le résultat JSON. |
| NetbiosName | Renvoie la valeur si elle existe dans le résultat JSON. |
| Créer | Renvoie la valeur si elle existe dans le résultat JSON. |
| AgentSite | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPv6Addresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| ResourceNames | Renvoie la valeur si elle existe dans le résultat JSON. |
| PrimaryGroupID | Renvoie la valeur si elle existe dans le résultat JSON. |
| ClientVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| ClientType | Renvoie la valeur si elle existe dans le résultat JSON. |
| PreviousSMSUUID | Renvoie la valeur si elle existe dans le résultat JSON. |
| ResourceId | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPv6Prefixes | Renvoie la valeur si elle existe dans le résultat JSON. |
| ObjectGUID | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMSAssignedSites | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMSResidentSites | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsPortableOperatingSystem | Renvoie la valeur si elle existe dans le résultat JSON. |
| MDMComplianceStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
| WTGUniqueKey | Renvoie la valeur si elle existe dans le résultat JSON. |
| AMTStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemGroupName | Renvoie la valeur si elle existe dans le résultat JSON. |
| AgentName | Renvoie la valeur si elle existe dans le résultat JSON. |
| Actif | Renvoie la valeur si elle existe dans le résultat JSON. |
| SNMPCommunityName | Renvoie la valeur si elle existe dans le résultat JSON. |
| ADSiteName | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsClientAMT30Compatible | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsVirtualMachine | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlwaysInternet | Renvoie la valeur si elle existe dans le résultat JSON. |
| Hors service | Renvoie la valeur si elle existe dans le résultat JSON. |
| Nom | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemOUName | Renvoie la valeur si elle existe dans le résultat JSON. |
| SuppressAutoProvision | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMSUniqueIdentifier | Renvoie la valeur si elle existe dans le résultat JSON. |
| ResourceDomainORWorkgroup | Renvoie la valeur si elle existe dans le résultat JSON. |
| UserAccountControl | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastLogonTimestamp | Renvoie la valeur si elle existe dans le résultat JSON. |
| AMTFullVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| OperatingSystemNameandVersion | Renvoie la valeur si elle existe dans le résultat JSON. |
| PublisherDeviceID | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemContainerName | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastLogonUserName | Renvoie la valeur si elle existe dans le résultat JSON. |
| InternetEnabled | Renvoie la valeur si elle existe dans le résultat JSON. |
| SMSUUIDChangeDate | Renvoie la valeur si elle existe dans le résultat JSON. |
| AgentTime | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsAssignedToUser | Renvoie la valeur si elle existe dans le résultat JSON. |
| WipeStatus | Renvoie la valeur si elle existe dans le résultat JSON. |
| SecurityGroupName | Renvoie la valeur si elle existe dans le résultat JSON. |
| DistinguishedName | Renvoie la valeur si elle existe dans le résultat JSON. |
| SystemRoles | Renvoie la valeur si elle existe dans le résultat JSON. |
| Obsolète | Renvoie la valeur si elle existe dans le résultat JSON. |
| SerialNumber | Renvoie la valeur si elle existe dans le résultat JSON. |
| FullDomainName | Renvoie la valeur si elle existe dans le résultat JSON. |
| IsAOACCapable | Renvoie la valeur si elle existe dans le résultat JSON. |
| MACAddresses | Renvoie la valeur si elle existe dans le résultat JSON. |
| IPSubnets | Renvoie la valeur si elle existe dans le résultat JSON. |
| VirtualMachineType | Renvoie la valeur si elle existe dans le résultat JSON. |
| CPUType | Renvoie la valeur si elle existe dans le résultat JSON. |
| CreationDate | Renvoie la valeur si elle existe dans le résultat JSON. |
| VirtualMachineHostName | Renvoie la valeur si elle existe dans le résultat JSON. |
| OSBranch | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastLogonUserDomain | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_enriched | Vrai/Faux | is_enriched:False |
Résultat JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si certaines ou toutes les entités fournies ont été enrichies : print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Si certaines des entités fournies n'ont pas été enrichies : print "Les données SCCM pour les entités suivantes n'ont pas été trouvées :\n {0}".format([entity list]) Si toutes les entités fournies n'ont pas été enrichies : print "No entities were enriched" L'action doit échouer et arrêter l'exécution du playbook : Si une erreur critique se produit, comme des identifiants incorrects ou des problèmes de connectivité réseau : print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Nom de la table : résultats de la requête Microsoft SCCM pour {0}.entity.Identifier Contenu du tableau : le contenu est dynamique et basé sur les résultats de la requête. |
Entité |
Obtenir l'historique des connexions
Description
Récupérez l'historique de connexion des utilisateurs à partir de l'instance Microsoft SCCM en fonction de l'entité utilisateur Google SecOps fournie.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nombre d'enregistrements à renvoyer | Integer | 100 | Oui | Nombre maximal d'enregistrements à renvoyer dans l'action. |
Cas d'utilisation
Obtenez les informations de connexion des utilisateurs à partir de SCCM dans le playbook.
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| Nom d'utilisateur | Renvoie la valeur si elle existe dans le résultat JSON. |
| LoginCount | Renvoie la valeur si elle existe dans le résultat JSON. |
| LastLoggedIn | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si vous disposez de données pour une partie ou l'ensemble des entités fournies : print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Si certaines des entités fournies n'ont pas été trouvées dans SCCM : print "Les données SCCM pour les entités suivantes n'ont pas été trouvées :\n {0}".format([entity list]) Si vous ne trouvez pas de données pour toutes les entités fournies : print "Aucun résultat trouvé." L'action doit échouer et arrêter l'exécution du playbook : Si une erreur critique se produit, comme des identifiants incorrects ou des problèmes de connectivité réseau : print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Nom de la table : historique des connexions Microsoft SCCM pour {0}.format(entity.Identifier) Contenu du tableau : le contenu est dynamique et basé sur les résultats de la requête. |
Entité |
Enrichir les entités
Description
Enrichissez les entités Google SecOps "Hôte", "Adresse IP" ou "Utilisateur" en fonction des informations de Microsoft SCCM.
Paramètres
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- Utilisateur
- Hôte
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Exemple de réponse pour l'entité "Host", la requête ayant été effectuée dans PowerShell :
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si tout ou partie des entités fournies ont été enrichies : "Les entités suivantes ont été enrichies avec des données SCCM :\n {0}".format([liste des entités]) Si certaines des entités fournies n'ont pas été enrichies : "Les données SCCM pour les entités suivantes sont introuvables :\n {0}".format([liste des entités]) Si toutes les entités fournies n'ont pas été enrichies : "Aucune entité n'a été enrichie" L'action doit échouer et arrêter l'exécution du playbook : Si une erreur critique se produit, comme des identifiants incorrects ou des problèmes de connectivité réseau : "Échec de la connexion à l'instance Microsoft SCCM ! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Nom de la table : résultats de l'enrichissement Microsoft SCCM pour {0}.format(entity.Identifier) Contenu du tableau : le contenu est dynamique et basé sur les résultats de la requête. |
Entité |
Exécuter une requête WQL
Description
Exécutez une requête WQL (Windows Management Instrumentation Query Language) arbitraire sur l'instance Microsoft SCCM.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Requête à exécuter | Chaîne | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Oui | Spécifiez la requête WQL à exécuter. Consultez l'exemple de requête par défaut pour référence. |
| Nombre d'enregistrements à renvoyer | Integer | 100 | Oui | Nombre maximal d'enregistrements à renvoyer dans l'action. |
Cas d'utilisation
Exécutez des requêtes arbitraires sur les instances Microsoft SCCM pour obtenir les données nécessaires en fonction de l'analyse des alertes dans Google SecOps.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
Exemple de réponse pour l'entité "Host", la requête ayant été effectuée dans PowerShell :
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si la requête aboutit et que des données sont obtenues : print "Query executed successfully and returned results". Si aucun résultat n'est trouvé : print "Query executed successfully, but did not return any results.". En cas d'erreur : print "Query didn't complete due to error: {0}".format(exception.stacktrace). Si les résultats de la requête ont été tronqués : print "Query results exceeded limits and were truncated!". L'action doit échouer et arrêter l'exécution du playbook : Si une erreur critique se produit, comme des identifiants incorrects ou des problèmes de connectivité réseau : print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Général |
| Table | Nom de la table : résultats de la requête WQL Colonnes : générez des colonnes de manière dynamique en fonction des résultats de la requête. |
Général |
| Pièces jointes | Run_WQL_query_response.json : contient les données JSON techniques renvoyées par l'action. | Général |
| Lecteur JSON | Affichez le lecteur JSON pour le résultat de la requête. | Général |
Créer une tâche de point de terminaison d'analyse
Description
Créez une tâche de point de terminaison d'analyse sur le serveur Microsoft SCCM pour le point de terminaison. Deux types d'analyses sont disponibles : complète ou rapide. L'action fonctionne avec les entités Google SecOps "Hôte" ou "Adresse IP".
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type d'analyse | LDD | Scan rapide | Oui | Indiquez si vous souhaitez exécuter une analyse complète ou rapide. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie\* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si la tâche a été créée pour certaines ou toutes les entités fournies : "La tâche d'analyse du point de terminaison a été créée pour les entités suivantes :\n {0}".format([liste des entités]) Si la tâche de création du point de terminaison d'analyse a échoué pour certaines des entités fournies qui n'ont pas été enrichies : "Échec de la création de la tâche de point de terminaison d'analyse pour les entités suivantes :\n {0}".format([liste des entités]) Si la création d'une tâche pour toutes les entités fournies échoue : "Les tâches d'analyse des points de terminaison n'ont pas été créées. Consultez le journal des actions pour en savoir plus." L'action doit échouer et arrêter l'exécution du playbook : Si une erreur critique se produit, comme des identifiants incorrects ou des problèmes de connectivité réseau : "Échec de la connexion à l'instance Microsoft SCCM ! Error is {0}".format(exception.stacktrace). |
Général |
Ping
Description
Testez la connectivité à l'instance Microsoft SCCM avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Paramètres
N/A
Cas d'utilisation
Cette action permet de tester la connectivité sur la page de configuration de l'intégration, dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement et ne fait pas partie des playbooks.
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_succeed | Vrai/Faux | is_succeed:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution du playbook : Si l'opération réussit : "Connexion à l'instance Microsoft SCCM établie avec les paramètres de connexion fournis". L'action doit échouer et arrêter l'exécution du playbook : Si l'opération échoue : "Échec de la connexion à l'instance Microsoft SCCM. Error is {0}".format(exception.stacktrace). |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.