SCCM
Versão da integração: 15.0
Configurar o SCCM para trabalhar com o Google Security Operations
Conectar o SCCM ao Linux
Para executar a integração do SCCM no servidor CentOS, primeiro instale o wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Depois disso, você pode configurar e usar a integração.
Configurar a integração do SCCM no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | x.x.x.x | Sim | O endereço IP ou o nome DNS do servidor do Microsoft SCCM a que se conectar. |
| Domínio | String | domínio | Sim | Domínio do servidor do Microsoft SCCM. |
| Nome de usuário | String | N/A | Sim | O nome de usuário a ser usado para se conectar ao Microsoft SCCM. |
| Senha | Senha | N/A | Sim | A senha a ser usada para se conectar ao Microsoft SCCM. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Receber propriedades do computador
Descrição
Receba propriedades do computador da instância do Microsoft SCCM e use as informações obtidas para enriquecer a entidade de host do Google SecOps fornecida.
Parâmetros
N/A
Casos de uso
Receba informações sobre o host no playbook do Google SecOps do Microsoft SCCM e use esses dados para enriquecimento.
Executar em
Essa ação é executada na entidade "Hostname".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| ClientEdition | Retorna se ele existe no resultado JSON |
| SMSInstalledSites | Retorna se ele existe no resultado JSON |
| MDMDeviceCategoryID | Retorna se ele existe no resultado JSON |
| ManagementAuthority | Retorna se ele existe no resultado JSON |
| IPAddresses | Retorna se ele existe no resultado JSON |
| EASDeviceID | Retorna se ele existe no resultado JSON |
| ResourceType | Retorna se ele existe no resultado JSON |
| SID | Retorna se ele existe no resultado JSON |
| DeviceOwner | Retorna se ele existe no resultado JSON |
| IsWriteFilterCapable | Retorna se ele existe no resultado JSON |
| HardwareID | Retorna se ele existe no resultado JSON |
| IsMachineChangesPersisted | Retorna se ele existe no resultado JSON |
| SMBIOSGUID | Retorna se ele existe no resultado JSON |
| NetbiosName | Retorna se ele existe no resultado JSON |
| Criar | Retorna se ele existe no resultado JSON |
| AgentSite | Retorna se ele existe no resultado JSON |
| IPv6Addresses | Retorna se ele existe no resultado JSON |
| ResourceNames | Retorna se ele existe no resultado JSON |
| PrimaryGroupID | Retorna se ele existe no resultado JSON |
| ClientVersion | Retorna se ele existe no resultado JSON |
| ClientType | Retorna se ele existe no resultado JSON |
| PreviousSMSUUID | Retorna se ele existe no resultado JSON |
| ResourceId | Retorna se ele existe no resultado JSON |
| IPv6Prefixes | Retorna se ele existe no resultado JSON |
| ObjectGUID | Retorna se ele existe no resultado JSON |
| SMSAssignedSites | Retorna se ele existe no resultado JSON |
| SMSResidentSites | Retorna se ele existe no resultado JSON |
| IsPortableOperatingSystem | Retorna se ele existe no resultado JSON |
| MDMComplianceStatus | Retorna se ele existe no resultado JSON |
| WTGUniqueKey | Retorna se ele existe no resultado JSON |
| AMTStatus | Retorna se ele existe no resultado JSON |
| SystemGroupName | Retorna se ele existe no resultado JSON |
| AgentName | Retorna se ele existe no resultado JSON |
| Ativo | Retorna se ele existe no resultado JSON |
| SNMPCommunityName | Retorna se ele existe no resultado JSON |
| ADSiteName | Retorna se ele existe no resultado JSON |
| IsClientAMT30Compatible | Retorna se ele existe no resultado JSON |
| IsVirtualMachine | Retorna se ele existe no resultado JSON |
| AlwaysInternet | Retorna se ele existe no resultado JSON |
| Desativado | Retorna se ele existe no resultado JSON |
| Nome | Retorna se ele existe no resultado JSON |
| SystemOUName | Retorna se ele existe no resultado JSON |
| SuppressAutoProvision | Retorna se ele existe no resultado JSON |
| SMSUniqueIdentifier | Retorna se ele existe no resultado JSON |
| ResourceDomainORWorkgroup | Retorna se ele existe no resultado JSON |
| UserAccountControl | Retorna se ele existe no resultado JSON |
| LastLogonTimestamp | Retorna se ele existe no resultado JSON |
| AMTFullVersion | Retorna se ele existe no resultado JSON |
| OperatingSystemNameandVersion | Retorna se ele existe no resultado JSON |
| PublisherDeviceID | Retorna se ele existe no resultado JSON |
| SystemContainerName | Retorna se ele existe no resultado JSON |
| LastLogonUserName | Retorna se ele existe no resultado JSON |
| InternetEnabled | Retorna se ele existe no resultado JSON |
| SMSUUIDChangeDate | Retorna se ele existe no resultado JSON |
| AgentTime | Retorna se ele existe no resultado JSON |
| IsAssignedToUser | Retorna se ele existe no resultado JSON |
| WipeStatus | Retorna se ele existe no resultado JSON |
| SecurityGroupName | Retorna se ele existe no resultado JSON |
| DistinguishedName | Retorna se ele existe no resultado JSON |
| SystemRoles | Retorna se ele existe no resultado JSON |
| Obsoleto | Retorna se ele existe no resultado JSON |
| SerialNumber | Retorna se ele existe no resultado JSON |
| FullDomainName | Retorna se ele existe no resultado JSON |
| IsAOACCapable | Retorna se ele existe no resultado JSON |
| MACAddresses | Retorna se ele existe no resultado JSON |
| IPSubnets | Retorna se ele existe no resultado JSON |
| VirtualMachineType | Retorna se ele existe no resultado JSON |
| CPUType | Retorna se ele existe no resultado JSON |
| CreationDate | Retorna se ele existe no resultado JSON |
| VirtualMachineHostName | Retorna se ele existe no resultado JSON |
| OSBranch | Retorna se ele existe no resultado JSON |
| LastLogonUserDomain | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_enriched | Verdadeiro/Falso | is_enriched:False |
Resultado do JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução do playbook: Se algumas ou todas as entidades fornecidas foram enriquecidas: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Se algumas das entidades fornecidas não foram enriquecidas: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se nem todas as entidades fornecidas foram enriquecidas: print "No entities were enriched" A ação deve falhar e interromper a execução do playbook: Se houver um erro crítico, como credenciais incorretas ou problemas de conectividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela:resultados da consulta do Microsoft SCCM para {0}.entity.Identifier Conteúdo da tabela:o conteúdo é dinâmico e baseado nos resultados da consulta. |
Entidade |
Acessar histórico de login
Descrição
Recupera o histórico de login do usuário da instância do Microsoft SCCM com base na entidade de usuário do Google SecOps fornecida.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número de registros a serem retornados | Número inteiro | 100 | Sim | Número máximo de registros a serem retornados na ação. |
Casos de uso
Receba informações de login do usuário do SCCM no playbook.
Executar em
Essa ação é executada na entidade "User".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Nome de usuário | Retorna se ele existe no resultado JSON |
| LoginCount | Retorna se ele existe no resultado JSON |
| LastLoggedIn | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução do playbook: Se você tiver dados de algumas ou todas as entidades fornecidas: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Se algumas das entidades fornecidas não foram encontradas no SCCM: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se não for possível encontrar dados para todas as entidades fornecidas: print "Nenhum resultado foi encontrado." A ação deve falhar e interromper a execução do playbook: Se houver um erro crítico, como credenciais incorretas ou problemas de conectividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela:histórico de login do Microsoft SCCM para {0}.format(entity.Identifier) Conteúdo da tabela:o conteúdo é dinâmico e baseado nos resultados da consulta. |
Entidade |
Enriquecer entidades
Descrição
Enriqueça as entidades de host, IP ou usuário do Google SecOps com base nas informações do Microsoft SCCM.
Parâmetros
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Usuário
- Host
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
Exemplo de retorno para a entidade "Host". A solicitação foi feita no PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução do playbook: Se algumas ou todas as entidades fornecidas foram enriquecidas: "As seguintes entidades foram enriquecidas com dados do SCCM:\n {0}".format([lista de entidades]) Se algumas das entidades fornecidas não foram enriquecidas: "Não foram encontrados dados do SCCM para as seguintes entidades:\n {0}".format([lista de entidades]) Se todas as entidades fornecidas não foram enriquecidas: "Nenhuma entidade foi enriquecida" A ação deve falhar e interromper a execução do playbook: Se houver um erro crítico, como credenciais incorretas ou problemas de conectividade de rede: "Não foi possível se conectar à instância do Microsoft SCCM! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela:resultados do enriquecimento do Microsoft SCCM para {0}.format(entity.Identifier) Conteúdo da tabela:o conteúdo é dinâmico e baseado nos resultados da consulta. |
Entidade |
Executar consulta WQL
Descrição
Executar uma consulta arbitrária da linguagem de consulta de instrumentação de gerenciamento do Windows (WQL) em uma instância do Microsoft SCCM.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta a ser executada | String | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Sim | Especifique a consulta WQL a ser executada. Considere o exemplo de solicitação padrão para referência. |
| Número de registros a serem retornados | Número inteiro | 100 | Sim | Número máximo de registros a serem retornados na ação. |
Casos de uso
Execute consultas arbitrárias em instâncias do Microsoft SCCM para receber os dados necessários com base na análise de alertas no Google SecOps.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
Exemplo de retorno para a entidade "Host". A solicitação foi feita no PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução do playbook: Se a consulta for bem-sucedida e receber dados: print "Query executed successfully and returned results". Se nada for encontrado: print "Query executed successfully, but did not return any results.". Se houver um erro: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Se os resultados da consulta foram truncados: print "Query results exceeded limits and were truncated!". A ação deve falhar e interromper a execução do playbook: Se houver um erro crítico, como credenciais incorretas ou problemas de conectividade de rede: print "Failed to connect to the Microsoft SCCM instance! O erro é {0}".format(exception.stacktrace). |
Geral |
| Tabela | Nome da tabela:resultados da consulta WQL Colunas:gere colunas dinamicamente com base nos resultados da consulta. |
Geral |
| Anexos | Run_WQL_query_response.json: contém os dados técnicos JSON retornados pela ação. | Geral |
| Leitor de JSON | Mostra o visualizador JSON para o resultado da consulta. | Geral |
Criar tarefa de endpoint de verificação
Descrição
Crie uma tarefa de endpoint de verificação no servidor Microsoft SCCM para o endpoint. Dois tipos de verificações estão disponíveis: completa ou rápida. A ação funciona com entidades do Google SecOps de host ou IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de verificação | DDL | Verificação rápida | Sim | Especifique se você quer executar a verificação completa ou rápida. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não pode falhar nem interromper a execução do playbook: Se a tarefa foi criada para algumas ou todas as entidades fornecidas: "A tarefa do endpoint de verificação foi criada para as seguintes entidades:\n {0}".format([entity list]) Se não for possível criar a tarefa de endpoint de verificação para algumas das entidades fornecidas que não foram enriquecidas: "Não foi possível criar a tarefa de endpoint de verificação para as seguintes entidades:\n {0}".format([entity list]) Se não for possível criar uma tarefa para todas as entidades fornecidas: "As tarefas de verificação de endpoint não foram criadas. Consulte o registro de ações para mais detalhes" A ação deve falhar e interromper a execução do playbook: Se houver um erro crítico, como credenciais incorretas ou problemas de conectividade de rede: "Não foi possível se conectar à instância do Microsoft SCCM! O erro é {0}".format(exception.stacktrace). |
Geral |
Ping
Descrição
Teste a conectividade com a instância do Microsoft SCCM usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Casos de uso
A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, que não faz parte dos playbooks.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução do playbook: Se tudo der certo: "Conexão bem-sucedida com a instância do Microsoft SCCM usando os parâmetros de conexão fornecidos". A ação deve falhar e interromper a execução do playbook: Se não der certo: "Não foi possível se conectar à instância do Microsoft SCCM. O erro é {0}".format(exception.stacktrace). |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.