SCCM
통합 버전: 15.0
Google Security Operations와 함께 작동하도록 SCCM 구성
Linux에 SCCM 연결
Centos 서버에서 SCCM 통합을 실행하려면 먼저 wmi를 설치합니다.
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
그러면 통합을 구성하고 사용할 수 있습니다.
Google SecOps에서 SCCM 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 서버 주소 | 문자열 | x.x.x.x | 예 | 연결할 Microsoft SCCM 서버의 IP 주소나 DNS 이름입니다. |
| 도메인 | 문자열 | 도메인 | 예 | Microsoft SCCM 서버 도메인입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Microsoft SCCM에 연결하는 데 사용할 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Microsoft SCCM에 연결하는 데 사용할 비밀번호입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
컴퓨터 속성 가져오기
설명
Microsoft SCCM 인스턴스에서 컴퓨터 속성을 가져오고 가져온 정보를 사용하여 제공된 Google SecOps 호스트 항목을 보강합니다.
매개변수
해당 사항 없음
사용 사례
Microsoft SCCM에서 Google SecOps 플레이북의 호스트에 대한 정보를 가져오고 이 데이터를 보강에 사용합니다.
실행
이 작업은 호스트 이름 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| ClientEdition | JSON 결과에 존재하는 경우에 반환 |
| SMSInstalledSites | JSON 결과에 존재하는 경우에 반환 |
| MDMDeviceCategoryID | JSON 결과에 존재하는 경우에 반환 |
| ManagementAuthority | JSON 결과에 존재하는 경우에 반환 |
| IPAddresses | JSON 결과에 존재하는 경우에 반환 |
| EASDeviceID | JSON 결과에 존재하는 경우에 반환 |
| ResourceType | JSON 결과에 존재하는 경우에 반환 |
| SID | JSON 결과에 존재하는 경우에 반환 |
| DeviceOwner | JSON 결과에 존재하는 경우에 반환 |
| IsWriteFilterCapable | JSON 결과에 존재하는 경우에 반환 |
| HardwareID | JSON 결과에 존재하는 경우에 반환 |
| IsMachineChangesPersisted | JSON 결과에 존재하는 경우에 반환 |
| SMBIOSGUID | JSON 결과에 존재하는 경우에 반환 |
| NetbiosName | JSON 결과에 존재하는 경우에 반환 |
| 빌드 | JSON 결과에 존재하는 경우에 반환 |
| AgentSite | JSON 결과에 존재하는 경우에 반환 |
| IPv6Addresses | JSON 결과에 존재하는 경우에 반환 |
| ResourceNames | JSON 결과에 존재하는 경우에 반환 |
| PrimaryGroupID | JSON 결과에 존재하는 경우에 반환 |
| ClientVersion | JSON 결과에 존재하는 경우에 반환 |
| ClientType | JSON 결과에 존재하는 경우에 반환 |
| PreviousSMSUUID | JSON 결과에 존재하는 경우에 반환 |
| 리소스 ID | JSON 결과에 존재하는 경우에 반환 |
| IPv6Prefixes | JSON 결과에 존재하는 경우에 반환 |
| ObjectGUID | JSON 결과에 존재하는 경우에 반환 |
| SMSAssignedSites | JSON 결과에 존재하는 경우에 반환 |
| SMSResidentSites | JSON 결과에 존재하는 경우에 반환 |
| IsPortableOperatingSystem | JSON 결과에 존재하는 경우에 반환 |
| MDMComplianceStatus | JSON 결과에 존재하는 경우에 반환 |
| WTGUniqueKey | JSON 결과에 존재하는 경우에 반환 |
| AMTStatus | JSON 결과에 존재하는 경우에 반환 |
| SystemGroupName | JSON 결과에 존재하는 경우에 반환 |
| AgentName | JSON 결과에 존재하는 경우에 반환 |
| 활성 | JSON 결과에 존재하는 경우에 반환 |
| SNMPCommunityName | JSON 결과에 존재하는 경우에 반환 |
| ADSiteName | JSON 결과에 존재하는 경우에 반환 |
| IsClientAMT30Compatible | JSON 결과에 존재하는 경우에 반환 |
| IsVirtualMachine | JSON 결과에 존재하는 경우에 반환 |
| AlwaysInternet | JSON 결과에 존재하는 경우에 반환 |
| 사용 중단됨 | JSON 결과에 존재하는 경우에 반환 |
| 이름 | JSON 결과에 존재하는 경우에 반환 |
| SystemOUName | JSON 결과에 존재하는 경우에 반환 |
| SuppressAutoProvision | JSON 결과에 존재하는 경우에 반환 |
| SMSUniqueIdentifier | JSON 결과에 존재하는 경우에 반환 |
| ResourceDomainORWorkgroup | JSON 결과에 존재하는 경우에 반환 |
| UserAccountControl | JSON 결과에 존재하는 경우에 반환 |
| LastLogonTimestamp | JSON 결과에 존재하는 경우에 반환 |
| AMTFullVersion | JSON 결과에 존재하는 경우에 반환 |
| OperatingSystemNameandVersion | JSON 결과에 존재하는 경우에 반환 |
| PublisherDeviceID | JSON 결과에 존재하는 경우에 반환 |
| SystemContainerName | JSON 결과에 존재하는 경우에 반환 |
| LastLogonUserName | JSON 결과에 존재하는 경우에 반환 |
| InternetEnabled | JSON 결과에 존재하는 경우에 반환 |
| SMSUUIDChangeDate | JSON 결과에 존재하는 경우에 반환 |
| AgentTime | JSON 결과에 존재하는 경우에 반환 |
| IsAssignedToUser | JSON 결과에 존재하는 경우에 반환 |
| WipeStatus | JSON 결과에 존재하는 경우에 반환 |
| SecurityGroupName | JSON 결과에 존재하는 경우에 반환 |
| DistinguishedName | JSON 결과에 존재하는 경우에 반환 |
| SystemRoles | JSON 결과에 존재하는 경우에 반환 |
| 사용되지 않음 | JSON 결과에 존재하는 경우에 반환 |
| SerialNumber | JSON 결과에 존재하는 경우에 반환 |
| FullDomainName | JSON 결과에 존재하는 경우에 반환 |
| IsAOACCapable | JSON 결과에 존재하는 경우에 반환 |
| MACAddresses | JSON 결과에 존재하는 경우에 반환 |
| IPSubnets | JSON 결과에 존재하는 경우에 반환 |
| VirtualMachineType | JSON 결과에 존재하는 경우에 반환 |
| CPUType | JSON 결과에 존재하는 경우에 반환 |
| CreationDate | JSON 결과에 존재하는 경우에 반환 |
| VirtualMachineHostName | JSON 결과에 존재하는 경우에 반환 |
| OSBranch | JSON 결과에 존재하는 경우에 반환 |
| LastLogonUserDomain | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON 결과
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 제공된 항목의 일부 또는 전부가 보강된 경우: '다음 항목이 SCCM 데이터로 보강되었습니다.\n {0}".format([entity list]) 출력 제공된 항목 일부가 보강되지 않은 경우: '다음 항목의 SCCM 데이터를 찾을 수 없습니다.\n {0}".format([entity list]) 출력 제공된 모든 항목이 보강되지 않은 경우: '보강된 항목이 없습니다' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 네트워크 연결 문제와 같은 중대한 오류의 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 테이블 | 테이블 이름: {0}.entity.Identifier에 대한 Microsoft SCCM 쿼리 결과 테이블 콘텐츠: 쿼리 결과에 따라 콘텐츠가 동적입니다. |
항목 |
로그인 기록 가져오기
설명
제공된 Google SecOps 사용자 항목을 기반으로 Microsoft SCCM 인스턴스에서 사용자 로그인 기록을 검색합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 레코드 수 | 정수 | 100 | 예 | 작업에서 반환할 최대 레코드 수입니다. |
사용 사례
플레이북의 SCCM에서 사용자 로그인 정보를 가져옵니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 사용자 이름 | JSON 결과에 존재하는 경우에 반환 |
| LoginCount | JSON 결과에 존재하는 경우에 반환 |
| LastLoggedIn | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 제공된 항목 일부 또는 전체의 데이터를 가져온 경우: '다음 항목에 대한 SCCM 정보를 찾습니다.\n {0}".format([entity list]) 출력 제공된 항목 일부를 SCCM에서 찾을 수 없는 경우: '다음 항목의 SCCM 데이터를 찾을 수 없습니다.\n {0}".format([entity list]) 출력 제공된 모든 항목의 데이터를 찾을 수 없는 경우: '결과를 찾을 수 없습니다'가 출력됩니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 네트워크 연결 문제와 같은 중대한 오류의 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 테이블 | 테이블 이름: {0}.format(entity.Identifier)에 대한 Microsoft SCCM 로그인 기록 테이블 콘텐츠: 쿼리 결과에 따라 콘텐츠가 동적입니다. |
항목 |
항목 보강
설명
Microsoft SCCM의 정보를 기반으로 Google SecOps 호스트, IP 또는 사용자 항목을 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- 사용자
- 호스트
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
예시가 호스트 항목에 반환되고 Powershell에서 요청이 수행되었습니다.
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 제공된 항목의 일부 또는 전부가 보강된 경우: '다음 항목이 SCCM 데이터로 보강되었습니다.\n {0}".format([entity list]) 제공된 항목 일부가 보강되지 않은 경우: '다음 항목의 SCCM 데이터를 찾을 수 없습니다.\n {0}".format([entity list]) 제공된 모든 항목이 보강되지 않은 경우: '보강된 항목이 없습니다' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 네트워크 연결 문제와 같은 중대한 오류인 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 테이블 | 테이블 이름: {0}.format(entity.Identifier)에 대한 Microsoft SCCM 보강 결과 테이블 콘텐츠: 쿼리 결과에 따라 콘텐츠가 동적입니다. |
항목 |
WQL 쿼리 실행
설명
Microsoft SCCM 인스턴스에 대해 임의의 Windows Management Instrumentation Query Language(WQL) 쿼리를 실행합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 실행할 쿼리 | 문자열 | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | 예 | 실행할 WQL 쿼리를 지정합니다. 참조용 기본 요청 예시를 고려하세요. |
| 반환할 레코드 수 | 정수 | 100 | 예 | 작업에서 반환할 최대 레코드 수입니다. |
사용 사례
Google SecOps의 알림 분석을 기반으로 필요한 데이터를 가져오도록 Microsoft SCCM 인스턴스에 대해 임의 쿼리를 실행합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
예시가 호스트 항목에 반환되고 Powershell에서 요청이 수행되었습니다.
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 쿼리가 성공하고 데이터를 가져온 경우: '쿼리가 성공적으로 실행되고 결과를 반환했습니다'가 출력됩니다. 발견 항목이 없는 경우: '쿼리가 성공적으로 실행되었지만 결과가 반환되지 않았습니다.'가 출력됩니다. 오류가 있는 경우: '쿼리가 오류: {0}".format(exception.stacktrace)로 인해 완료되지 않습니다'가 출력됩니다. 쿼리 결과가 잘린 경우: '쿼리 결과가 한도를 초과하여 잘렸습니다.'가 출력됩니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 네트워크 연결 문제와 같은 중대한 오류의 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 테이블 | 테이블 이름: WQL 쿼리 결과 열: 쿼리 결과에 따라 열을 동적으로 생성 |
일반 |
| 첨부파일 | Run_WQL_query_response.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
| JSON 뷰어 | 쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
스캔 엔드포인트 태스크 만들기
설명
Microsoft SCCM 서버에서 엔드포인트의 스캔 엔드포인트 태스크를 만듭니다. 사용할 수 있는 스캔 유형에는 전체 또는 빠름 등 두 가지 유형이 있습니다. 이 작업은 Host 또는 IP Google SecOps 항목에서 작동합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 스캔 유형 | DDL | 빠른 스캔 | 예 | 전체 스캔 또는 빠른 스캔 실행 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지\* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 제공된 항목 일부 또는 전체에 대해 태스크가 성공적으로 생성된 경우: '다음 항목의 스캔 엔드포인트 태스크가 생성되었습니다.\n {0}".format([entity list]) 제공된 항목 일부에 스캔 엔드포인트 태스크를 만들 수 없는 경우: '다음 항목의 스캔 엔드포인트 태스크를 만들 수 없습니다.\n {0}".format([entity list]) 제공된 모든 항목에 태스크를 만들 수 없는 경우: '엔드포인트 스캔 태스크가 생성되지 않았습니다. 작업 로그에서 자세한 내용을 확인하세요.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보 또는 네트워크 연결 문제와 같은 중대한 오류인 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Microsoft SCCM 인스턴스에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
이 작업은 Google Security Operations Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 포함되지 않는 직접 조치로 실행될 수 있습니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '제공된 연결 매개변수로 Microsoft SCCM 인스턴스에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 실패한 경우: 'Microsoft SCCM 인스턴스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.