SCCM
Versão da integração: 15.0
Configure o SCCM para funcionar com o Google Security Operations
Associe o SCCM ao Linux
Para executar a integração do SCCM no servidor Centos, primeiro, instale o wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Depois disso, pode configurar e usar a integração.
Configure a integração do SCCM no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | x.x.x.x | Sim | O endereço IP ou o nome DNS do servidor do Microsoft SCCM ao qual estabelecer ligação. |
| Domínio | String | domínio | Sim | Domínio do servidor do Microsoft SCCM. |
| Nome de utilizador | String | N/A | Sim | O nome de utilizador a usar para estabelecer ligação ao Microsoft SCCM. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe a usar para estabelecer ligação ao Microsoft SCCM. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Get Computer Properties
Descrição
Obtenha propriedades do computador a partir da instância do Microsoft SCCM e use as informações obtidas para enriquecer a entidade de anfitrião do Google SecOps fornecida.
Parâmetros
N/A
Exemplos de utilização
Obtenha informações sobre o anfitrião no manual de procedimentos do Google SecOps a partir do Microsoft SCCM e use estes dados para enriquecimento.
Executar em
Esta ação é executada na entidade Hostname.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ClientEdition | Devolve se existir no resultado JSON |
| SMSInstalledSites | Devolve se existir no resultado JSON |
| MDMDeviceCategoryID | Devolve se existir no resultado JSON |
| ManagementAuthority | Devolve se existir no resultado JSON |
| IPAddresses | Devolve se existir no resultado JSON |
| EASDeviceID | Devolve se existir no resultado JSON |
| ResourceType | Devolve se existir no resultado JSON |
| SID | Devolve se existir no resultado JSON |
| DeviceOwner | Devolve se existir no resultado JSON |
| IsWriteFilterCapable | Devolve se existir no resultado JSON |
| HardwareID | Devolve se existir no resultado JSON |
| IsMachineChangesPersisted | Devolve se existir no resultado JSON |
| SMBIOSGUID | Devolve se existir no resultado JSON |
| NetbiosName | Devolve se existir no resultado JSON |
| Compilação | Devolve se existir no resultado JSON |
| AgentSite | Devolve se existir no resultado JSON |
| IPv6Addresses | Devolve se existir no resultado JSON |
| ResourceNames | Devolve se existir no resultado JSON |
| PrimaryGroupID | Devolve se existir no resultado JSON |
| ClientVersion | Devolve se existir no resultado JSON |
| ClientType | Devolve se existir no resultado JSON |
| PreviousSMSUUID | Devolve se existir no resultado JSON |
| ResourceId | Devolve se existir no resultado JSON |
| IPv6Prefixes | Devolve se existir no resultado JSON |
| ObjectGUID | Devolve se existir no resultado JSON |
| SMSAssignedSites | Devolve se existir no resultado JSON |
| SMSResidentSites | Devolve se existir no resultado JSON |
| IsPortableOperatingSystem | Devolve se existir no resultado JSON |
| MDMComplianceStatus | Devolve se existir no resultado JSON |
| WTGUniqueKey | Devolve se existir no resultado JSON |
| AMTStatus | Devolve se existir no resultado JSON |
| SystemGroupName | Devolve se existir no resultado JSON |
| AgentName | Devolve se existir no resultado JSON |
| Ativo | Devolve se existir no resultado JSON |
| SNMPCommunityName | Devolve se existir no resultado JSON |
| ADSiteName | Devolve se existir no resultado JSON |
| IsClientAMT30Compatible | Devolve se existir no resultado JSON |
| IsVirtualMachine | Devolve se existir no resultado JSON |
| AlwaysInternet | Devolve se existir no resultado JSON |
| Desativado | Devolve se existir no resultado JSON |
| Nome | Devolve se existir no resultado JSON |
| SystemOUName | Devolve se existir no resultado JSON |
| SuppressAutoProvision | Devolve se existir no resultado JSON |
| SMSUniqueIdentifier | Devolve se existir no resultado JSON |
| ResourceDomainORWorkgroup | Devolve se existir no resultado JSON |
| UserAccountControl | Devolve se existir no resultado JSON |
| LastLogonTimestamp | Devolve se existir no resultado JSON |
| AMTFullVersion | Devolve se existir no resultado JSON |
| OperatingSystemNameandVersion | Devolve se existir no resultado JSON |
| PublisherDeviceID | Devolve se existir no resultado JSON |
| SystemContainerName | Devolve se existir no resultado JSON |
| LastLogonUserName | Devolve se existir no resultado JSON |
| InternetEnabled | Devolve se existir no resultado JSON |
| SMSUUIDChangeDate | Devolve se existir no resultado JSON |
| AgentTime | Devolve se existir no resultado JSON |
| IsAssignedToUser | Devolve se existir no resultado JSON |
| WipeStatus | Devolve se existir no resultado JSON |
| SecurityGroupName | Devolve se existir no resultado JSON |
| DistinguishedName | Devolve se existir no resultado JSON |
| SystemRoles | Devolve se existir no resultado JSON |
| Obsoleta | Devolve se existir no resultado JSON |
| SerialNumber | Devolve se existir no resultado JSON |
| FullDomainName | Devolve se existir no resultado JSON |
| IsAOACCapable | Devolve se existir no resultado JSON |
| MACAddresses | Devolve se existir no resultado JSON |
| IPSubnets | Devolve se existir no resultado JSON |
| VirtualMachineType | Devolve se existir no resultado JSON |
| CPUType | Devolve se existir no resultado JSON |
| CreationDate | Devolve se existir no resultado JSON |
| VirtualMachineHostName | Devolve se existir no resultado JSON |
| OSBranch | Devolve se existir no resultado JSON |
| LastLogonUserDomain | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_enriched | Verdadeiro/Falso | is_enriched:False |
Resultado JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se algumas ou todas as entidades fornecidas foram enriquecidas: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Se algumas das entidades fornecidas não foram enriquecidas: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se nem todas as entidades indicadas foram enriquecidas: imprimir "No entities were enriched" (Nenhuma entidade foi enriquecida) A ação deve falhar e parar a execução do guia interativo: Se for um erro crítico, como credenciais incorretas ou problemas de conetividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela: resultados da consulta do Microsoft SCCM para {0}.entity.Identifier Conteúdo da tabela: o conteúdo é dinâmico e baseia-se nos resultados da consulta. |
Entidade |
Obter histórico de inícios de sessão
Descrição
Recuperar o histórico de início de sessão do utilizador da instância do Microsoft SCCM com base na entidade do utilizador do Google SecOps fornecida.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Número de registos a devolver | Número inteiro | 100 | Sim | Número máximo de registos a devolver na ação. |
Exemplos de utilização
Receba informações de início de sessão do utilizador do SCCM no manual de planeamento.
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome de utilizador | Devolve se existir no resultado JSON |
| LoginCount | Devolve se existir no resultado JSON |
| LastLoggedIn | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se obteve dados para algumas ou todas as entidades fornecidas: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Se algumas das entidades fornecidas não foram encontradas no SCCM: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se não for possível encontrar dados para todas as entidades fornecidas: print "Não foram encontrados resultados." A ação deve falhar e parar a execução do guia interativo: Se for um erro crítico, como credenciais incorretas ou problemas de conetividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela: histórico de início de sessão do Microsoft SCCM para {0}.format(entity.Identifier) Conteúdo da tabela: o conteúdo é dinâmico e baseia-se nos resultados da consulta. |
Entidade |
Enriquecer entidades
Descrição
Enriquecer as entidades de anfitrião, IP ou utilizador do Google SecOps com base nas informações do Microsoft SCCM.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Utilizador
- Anfitrião
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Exemplo de devolução para a entidade Host, o pedido foi feito no Powershell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se algumas ou todas as entidades fornecidas foram enriquecidas: "As seguintes entidades foram enriquecidas com dados do SCCM:\n {0}".format([entity list]) Se algumas das entidades fornecidas não foram enriquecidas: "SCCM data for the following entities were not found:\n {0}".format([entity list]) Se nenhuma das entidades indicadas tiver sido enriquecida: "Nenhuma entidade foi enriquecida" A ação deve falhar e parar a execução do guia interativo: Se ocorrer um erro crítico, como credenciais incorretas ou problemas de conetividade de rede: "Falha ao estabelecer ligação à instância do Microsoft SCCM! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela: resultados do enriquecimento do Microsoft SCCM para {0}.format(entity.Identifier) Conteúdo da tabela: o conteúdo é dinâmico e baseia-se nos resultados da consulta. |
Entidade |
Executar consulta WQL
Descrição
Executar uma consulta de linguagem de consulta de instrumentação de gestão do Windows (WQL) arbitrária na instância do Microsoft SCCM.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta a executar | String | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Sim | Especifique a consulta WQL a executar. Considere o pedido de exemplo predefinido para referência. |
| Número de registos a devolver | Número inteiro | 100 | Sim | Número máximo de registos a devolver na ação. |
Exemplos de utilização
Execute consultas arbitrárias em instâncias do Microsoft SCCM para obter os dados necessários com base na análise de alertas no Google SecOps.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
Exemplo de devolução para a entidade Host, o pedido foi feito no Powershell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se a consulta for bem-sucedida e receber dados: imprimir "Query executed successfully and returned results" (Consulta executada com êxito e resultados devolvidos). Se não encontrar nada: print "Query executed successfully, but did not return any results.". Se houver um erro: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Se os resultados da consulta foram truncados: print "Query results exceeded limits and were truncated!". A ação deve falhar e parar a execução do guia interativo: Se for um erro crítico, como credenciais incorretas ou problemas de conetividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela: resultados da consulta WQL Colunas: geram colunas dinamicamente com base nos resultados da consulta |
Geral |
| Anexos | Run_WQL_query_response.json: contém dados JSON técnicos devolvidos pela ação. | Geral |
| Visualizador de JSON | Mostrar o visualizador de JSON para o resultado da consulta. | Geral |
Create Scan Endpoint Task
Descrição
Crie uma tarefa de ponto final de análise no servidor do Microsoft SCCM para o ponto final. Estão disponíveis dois tipos de análises: completa ou rápida. A ação funciona com entidades de anfitrião ou IP da Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de análise | LDD | Digitalização rápida | Sim | Especifique se quer executar uma análise completa ou uma análise rápida. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não deve falhar nem parar a execução do guia interativo: Se a tarefa foi criada com êxito para algumas ou todas as entidades fornecidas: "A tarefa de ponto final de análise foi criada para as seguintes entidades:\n {0}".format([entity list]) Se não tiver sido possível criar a tarefa do endpoint de análise para algumas das entidades fornecidas que não foram enriquecidas: "Não foi possível criar a tarefa do endpoint de análise para as seguintes entidades:\n {0}".format([entity list]) Se não conseguir criar uma tarefa para todas as entidades fornecidas: "Não foram criadas tarefas de análise de pontos finais. Consulte o registo de ações para ver detalhes" A ação deve falhar e parar a execução do guia interativo: Se ocorrer um erro crítico, como credenciais incorretas ou problemas de conetividade de rede: "Falha ao estabelecer ligação à instância do Microsoft SCCM! O erro é {0}".format(exception.stacktrace). |
Geral |
Tchim-tchim
Descrição
Teste a conetividade à instância do Microsoft SCCM com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Exemplos de utilização
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, que não faz parte dos manuais de procedimentos.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução do guia interativo: Se tiver êxito: "Ligação à instância do Microsoft SCCM estabelecida com êxito com os parâmetros de ligação fornecidos!". A ação deve falhar e parar a execução do guia interativo: Se não for bem-sucedido: "Falha ao estabelecer ligação à instância do Microsoft SCCM! O erro é {0}".format(exception.stacktrace). |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.