SCCM
Versi integrasi: 15.0
Mengonfigurasi SCCM agar dapat berfungsi dengan Google Security Operations
Menghubungkan SCCM ke Linux
Untuk menjalankan integrasi SCCM di server Centos, instal wmi terlebih dahulu:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Setelah itu, Anda dapat mengonfigurasi dan menggunakan integrasi.
Mengonfigurasi integrasi SCCM di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Alamat Server | String | x.x.x.x | Ya | Alamat IP atau nama DNS server Microsoft SCCM yang akan dihubungkan. |
| Domain | String | domain | Ya | Domain server Microsoft SCCM. |
| Nama pengguna | String | T/A | Ya | Nama pengguna yang akan digunakan untuk terhubung ke Microsoft SCCM. |
| Sandi | Sandi | T/A | Ya | Sandi yang akan digunakan untuk terhubung ke Microsoft SCCM. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Mendapatkan Properti Komputer
Deskripsi
Mendapatkan properti komputer dari instance Microsoft SCCM dan menggunakan informasi yang diperoleh untuk memperkaya entitas Host Google SecOps yang disediakan.
Parameter
T/A
Kasus Penggunaan
Dapatkan informasi tentang host dalam playbook Google SecOps dari Microsoft SCCM dan gunakan data ini untuk pengayaan.
Run On
Tindakan ini dijalankan pada entity Hostname.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| ClientEdition | Menampilkan apakah ada di hasil JSON |
| SMSInstalledSites | Menampilkan apakah ada di hasil JSON |
| MDMDeviceCategoryID | Menampilkan apakah ada di hasil JSON |
| ManagementAuthority | Menampilkan apakah ada di hasil JSON |
| IPAddresses | Menampilkan apakah ada di hasil JSON |
| EASDeviceID | Menampilkan apakah ada di hasil JSON |
| ResourceType | Menampilkan apakah ada di hasil JSON |
| SID | Menampilkan apakah ada di hasil JSON |
| DeviceOwner | Menampilkan apakah ada di hasil JSON |
| IsWriteFilterCapable | Menampilkan apakah ada di hasil JSON |
| HardwareID | Menampilkan apakah ada di hasil JSON |
| IsMachineChangesPersisted | Menampilkan apakah ada di hasil JSON |
| SMBIOSGUID | Menampilkan apakah ada di hasil JSON |
| NetbiosName | Menampilkan apakah ada di hasil JSON |
| Build | Menampilkan apakah ada di hasil JSON |
| AgentSite | Menampilkan apakah ada di hasil JSON |
| IPv6Addresses | Menampilkan apakah ada di hasil JSON |
| ResourceNames | Menampilkan apakah ada di hasil JSON |
| PrimaryGroupID | Menampilkan apakah ada di hasil JSON |
| ClientVersion | Menampilkan apakah ada di hasil JSON |
| ClientType | Menampilkan apakah ada di hasil JSON |
| PreviousSMSUUID | Menampilkan apakah ada di hasil JSON |
| ID resource | Menampilkan apakah ada di hasil JSON |
| IPv6Prefixes | Menampilkan apakah ada di hasil JSON |
| ObjectGUID | Menampilkan apakah ada di hasil JSON |
| SMSAssignedSites | Menampilkan apakah ada di hasil JSON |
| SMSResidentSites | Menampilkan apakah ada di hasil JSON |
| IsPortableOperatingSystem | Menampilkan apakah ada di hasil JSON |
| MDMComplianceStatus | Menampilkan apakah ada di hasil JSON |
| WTGUniqueKey | Menampilkan apakah ada di hasil JSON |
| AMTStatus | Menampilkan apakah ada di hasil JSON |
| SystemGroupName | Menampilkan apakah ada di hasil JSON |
| AgentName | Menampilkan apakah ada di hasil JSON |
| Aktif | Menampilkan apakah ada di hasil JSON |
| SNMPCommunityName | Menampilkan apakah ada di hasil JSON |
| ADSiteName | Menampilkan apakah ada di hasil JSON |
| IsClientAMT30Compatible | Menampilkan apakah ada di hasil JSON |
| IsVirtualMachine | Menampilkan apakah ada di hasil JSON |
| AlwaysInternet | Menampilkan apakah ada di hasil JSON |
| Dinonaktifkan | Menampilkan apakah ada di hasil JSON |
| Nama | Menampilkan apakah ada di hasil JSON |
| SystemOUName | Menampilkan apakah ada di hasil JSON |
| SuppressAutoProvision | Menampilkan apakah ada di hasil JSON |
| SMSUniqueIdentifier | Menampilkan apakah ada di hasil JSON |
| ResourceDomainORWorkgroup | Menampilkan apakah ada di hasil JSON |
| UserAccountControl | Menampilkan apakah ada di hasil JSON |
| LastLogonTimestamp | Menampilkan apakah ada di hasil JSON |
| AMTFullVersion | Menampilkan apakah ada di hasil JSON |
| OperatingSystemNameandVersion | Menampilkan apakah ada di hasil JSON |
| PublisherDeviceID | Menampilkan apakah ada di hasil JSON |
| SystemContainerName | Menampilkan apakah ada di hasil JSON |
| LastLogonUserName | Menampilkan apakah ada di hasil JSON |
| InternetEnabled | Menampilkan apakah ada di hasil JSON |
| SMSUUIDChangeDate | Menampilkan apakah ada di hasil JSON |
| AgentTime | Menampilkan apakah ada di hasil JSON |
| IsAssignedToUser | Menampilkan apakah ada di hasil JSON |
| WipeStatus | Menampilkan apakah ada di hasil JSON |
| SecurityGroupName | Menampilkan apakah ada di hasil JSON |
| DistinguishedName | Menampilkan apakah ada di hasil JSON |
| SystemRoles | Menampilkan apakah ada di hasil JSON |
| Usang | Menampilkan apakah ada di hasil JSON |
| SerialNumber | Menampilkan apakah ada di hasil JSON |
| FullDomainName | Menampilkan apakah ada di hasil JSON |
| IsAOACCapable | Menampilkan apakah ada di hasil JSON |
| MACAddresses | Menampilkan apakah ada di hasil JSON |
| IPSubnets | Menampilkan apakah ada di hasil JSON |
| VirtualMachineType | Menampilkan apakah ada di hasil JSON |
| CPUType | Menampilkan apakah ada di hasil JSON |
| CreationDate | Menampilkan apakah ada di hasil JSON |
| VirtualMachineHostName | Menampilkan apakah ada di hasil JSON |
| OSBranch | Menampilkan apakah ada di hasil JSON |
| LastLogonUserDomain | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_enriched | Benar/Salah | is_enriched:False |
Hasil JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika beberapa atau semua entitas yang diberikan telah di-enrich: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Jika beberapa entitas yang diberikan tidak diperkaya: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Jika semua entity yang diberikan tidak diperkaya: print "No entities were enriched" (Tidak ada entitas yang di-enrich) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error kritis, seperti kredensial yang salah atau masalah konektivitas jaringan: print "Failed to connect to the Microsoft SCCM instance! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Nama tabel: Hasil kueri Microsoft SCCM untuk {0}.entity.Identifier Konten tabel: konten bersifat dinamis, berdasarkan hasil kueri. |
Entity |
Mendapatkan Histori Login
Deskripsi
Mengambil histori login pengguna dari instance Microsoft SCCM berdasarkan entitas pengguna Google SecOps yang diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jumlah Data yang Akan Ditampilkan | Bilangan bulat | 100 | Ya | Jumlah maksimum data yang akan ditampilkan dalam tindakan. |
Kasus Penggunaan
Dapatkan info login pengguna dari SCCM di playbook.
Run On
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| Nama pengguna | Menampilkan apakah ada di hasil JSON |
| LoginCount | Menampilkan apakah ada di hasil JSON |
| LastLoggedIn | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika mendapatkan data untuk beberapa atau semua entitas yang diberikan: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Jika beberapa entitas yang diberikan tidak ditemukan di SCCM: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Jika gagal menemukan data untuk semua entity yang diberikan: print "Tidak ada hasil yang ditemukan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error kritis, seperti kredensial yang salah atau masalah konektivitas jaringan: print "Failed to connect to the Microsoft SCCM instance! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Nama tabel: Histori login Microsoft SCCM untuk {0}.format(entity.Identifier) Konten tabel: konten bersifat dinamis, berdasarkan hasil kueri. |
Entity |
Memperkaya Entitas
Deskripsi
Memperkaya entitas Host, IP, atau Pengguna Google SecOps berdasarkan informasi dari Microsoft SCCM.
Parameter
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Pengguna
- Host
- Alamat IP
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Contoh hasil untuk entity Host, permintaan dibuat di Powershell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika beberapa atau semua entitas yang diberikan telah dilengkapi: "Entitas berikut telah dilengkapi dengan data SCCM:\n {0}".format([entity list]) Jika beberapa entity yang diberikan tidak di-enrich: "Data SCCM untuk entity berikut tidak ditemukan:\n {0}".format([entity list]) Jika semua entitas yang diberikan tidak di-enrich: "Tidak ada entitas yang di-enrich" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error penting, seperti kredensial yang salah atau masalah konektivitas jaringan: "Gagal terhubung ke instance Microsoft SCCM. Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Nama tabel: Hasil pengayaan Microsoft SCCM untuk {0}.format(entity.Identifier) Konten tabel: konten bersifat dinamis, berdasarkan hasil kueri. |
Entity |
Menjalankan Kueri WQL
Deskripsi
Menjalankan kueri Windows Management Instrumentation Query Language (WQL) arbitrer terhadap Instance Microsoft SCCM.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri yang akan dijalankan | String | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Ya | Tentukan kueri WQL yang akan dijalankan. Pertimbangkan permintaan contoh default untuk referensi. |
| Jumlah data yang akan ditampilkan | Bilangan bulat | 100 | Ya | Jumlah maksimum data yang akan ditampilkan dalam tindakan. |
Kasus Penggunaan
Jalankan kueri arbitrer terhadap instance Microsoft SCCM untuk mendapatkan data yang diperlukan berdasarkan analisis pemberitahuan di Google SecOps.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
Contoh hasil untuk entity Host, permintaan dibuat di Powershell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika kueri berhasil dan mendapatkan data: print "Query executed successfully and returned results". Jika tidak ada yang ditemukan: print "Kueri berhasil dieksekusi, tetapi tidak menampilkan hasil apa pun". Jika terjadi error: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Jika hasil kueri terpotong: print "Query results exceeded limits and were truncated!". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error kritis, seperti kredensial yang salah atau masalah konektivitas jaringan: print "Failed to connect to the Microsoft SCCM instance! Error adalah {0}".format(exception.stacktrace). |
Umum |
| Tabel | Nama tabel: Hasil Kueri WQL Kolom: membuat kolom secara dinamis berdasarkan hasil kueri |
Umum |
| Lampiran | Run_WQL_query_response.json - berisi data JSON teknis yang ditampilkan oleh tindakan. | Umum |
| Penampil JSON | Menampilkan penampil JSON untuk hasil kueri. | Umum |
Buat Tugas Endpoint Pemindaian
Deskripsi
Buat tugas endpoint pemindaian di server Microsoft SCCM untuk endpoint. Dua jenis pemindaian tersedia - Penuh atau Cepat. Tindakan ini berfungsi dengan entity Google SecOps Host atau IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Pemindaian | DDL | Pemindaian Cepat | Ya | Tentukan apakah akan menjalankan Pemindaian penuh atau Pemindaian cepat. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output\* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika tugas berhasil dibuat untuk beberapa atau semua entity yang diberikan: "Tugas endpoint pemindaian berhasil dibuat untuk entity berikut:\n {0}".format([entity list]) Jika gagal membuat tugas endpoint pemindaian untuk beberapa entitas yang disediakan tidak diperkaya: "Gagal membuat tugas endpoint pemindaian untuk entitas berikut:\n {0}".format([daftar entitas]) Jika gagal membuat tugas untuk semua entitas yang diberikan: "Endpoint scan tasks were not created, check the action log for details" (Tugas pemindaian endpoint tidak dibuat, periksa log tindakan untuk mengetahui detailnya) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error penting, seperti kredensial yang salah atau masalah konektivitas jaringan: "Gagal terhubung ke instance Microsoft SCCM. Error adalah {0}".format(exception.stacktrace). |
Umum |
Ping
Deskripsi
Uji konektivitas ke instance Microsoft SCCM dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Kasus Penggunaan
Tindakan ini digunakan untuk menguji konektivitas di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace, dan dapat dijalankan sebagai tindakan manual, yang bukan merupakan bagian dari playbook.
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_succeed | Benar/Salah | is_succeed:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Microsoft SCCM instance with the provided connection parameters!". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Failed to connect to the Microsoft SCCM instance! Error adalah {0}".format(exception.stacktrace). |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.