SCCM
集成版本:15.0
配置 SCCM 以与 Google Security Operations 搭配使用
将 SCCM 连接到 Linux
如需在 Centos 服务器上运行 SCCM 集成,请先安装 wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
之后,您就可以配置和使用集成。
在 Google SecOps 中配置 SCCM 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| 服务器地址 | 字符串 | x.x.x.x | 是 | 要连接的 Microsoft SCCM 服务器的 IP 地址或 DNS 名称。 |
| 网域 | 字符串 | 域名 | 是 | Microsoft SCCM 服务器网域。 |
| 用户名 | 字符串 | 不适用 | 是 | 用于连接到 Microsoft SCCM 的用户名。 |
| 密码 | 密码 | 不适用 | 是 | 用于连接到 Microsoft SCCM 的密码。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
获取计算机属性
说明
从 Microsoft SCCM 实例获取计算机属性,并使用获取的信息来丰富提供的 Google SecOps 主机实体。
参数
不适用
使用场景
从 Microsoft SCCM 获取 Google SecOps 剧本中有关主机的信息,并将这些数据用于丰富化。
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| ClientEdition | 返回 JSON 结果中是否存在相应值 |
| SMSInstalledSites | 返回 JSON 结果中是否存在相应值 |
| MDMDeviceCategoryID | 返回 JSON 结果中是否存在相应值 |
| ManagementAuthority | 返回 JSON 结果中是否存在相应值 |
| IPAddresses | 返回 JSON 结果中是否存在相应值 |
| EASDeviceID | 返回 JSON 结果中是否存在相应值 |
| ResourceType | 返回 JSON 结果中是否存在相应值 |
| SID | 返回 JSON 结果中是否存在相应值 |
| DeviceOwner | 返回 JSON 结果中是否存在相应值 |
| IsWriteFilterCapable | 返回 JSON 结果中是否存在相应值 |
| HardwareID | 返回 JSON 结果中是否存在相应值 |
| IsMachineChangesPersisted | 返回 JSON 结果中是否存在相应值 |
| SMBIOSGUID | 返回 JSON 结果中是否存在相应值 |
| NetbiosName | 返回 JSON 结果中是否存在相应值 |
| 构建 | 返回 JSON 结果中是否存在相应值 |
| AgentSite | 返回 JSON 结果中是否存在相应值 |
| IPv6Addresses | 返回 JSON 结果中是否存在相应值 |
| ResourceNames | 返回 JSON 结果中是否存在相应值 |
| PrimaryGroupID | 返回 JSON 结果中是否存在相应值 |
| ClientVersion | 返回 JSON 结果中是否存在相应值 |
| ClientType | 返回 JSON 结果中是否存在相应值 |
| PreviousSMSUUID | 返回 JSON 结果中是否存在相应值 |
| ResourceId | 返回 JSON 结果中是否存在相应值 |
| IPv6Prefixes | 返回 JSON 结果中是否存在相应值 |
| ObjectGUID | 返回 JSON 结果中是否存在相应值 |
| SMSAssignedSites | 返回 JSON 结果中是否存在相应值 |
| SMSResidentSites | 返回 JSON 结果中是否存在相应值 |
| IsPortableOperatingSystem | 返回 JSON 结果中是否存在相应值 |
| MDMComplianceStatus | 返回 JSON 结果中是否存在相应值 |
| WTGUniqueKey | 返回 JSON 结果中是否存在相应值 |
| AMTStatus | 返回 JSON 结果中是否存在相应值 |
| SystemGroupName | 返回 JSON 结果中是否存在相应值 |
| AgentName | 返回 JSON 结果中是否存在相应值 |
| 有效 | 返回 JSON 结果中是否存在相应值 |
| SNMPCommunityName | 返回 JSON 结果中是否存在相应值 |
| ADSiteName | 返回 JSON 结果中是否存在相应值 |
| IsClientAMT30Compatible | 返回 JSON 结果中是否存在相应值 |
| IsVirtualMachine | 返回 JSON 结果中是否存在相应值 |
| AlwaysInternet | 返回 JSON 结果中是否存在相应值 |
| 已停用 | 返回 JSON 结果中是否存在相应值 |
| 名称 | 返回 JSON 结果中是否存在相应值 |
| SystemOUName | 返回 JSON 结果中是否存在相应值 |
| SuppressAutoProvision | 返回 JSON 结果中是否存在相应值 |
| SMSUniqueIdentifier | 返回 JSON 结果中是否存在相应值 |
| ResourceDomainORWorkgroup | 返回 JSON 结果中是否存在相应值 |
| UserAccountControl | 返回 JSON 结果中是否存在相应值 |
| LastLogonTimestamp | 返回 JSON 结果中是否存在相应值 |
| AMTFullVersion | 返回 JSON 结果中是否存在相应值 |
| OperatingSystemNameandVersion | 返回 JSON 结果中是否存在相应值 |
| PublisherDeviceID | 返回 JSON 结果中是否存在相应值 |
| SystemContainerName | 返回 JSON 结果中是否存在相应值 |
| LastLogonUserName | 返回 JSON 结果中是否存在相应值 |
| InternetEnabled | 返回 JSON 结果中是否存在相应值 |
| SMSUUIDChangeDate | 返回 JSON 结果中是否存在相应值 |
| AgentTime | 返回 JSON 结果中是否存在相应值 |
| IsAssignedToUser | 返回 JSON 结果中是否存在相应值 |
| WipeStatus | 返回 JSON 结果中是否存在相应值 |
| SecurityGroupName | 返回 JSON 结果中是否存在相应值 |
| DistinguishedName | 返回 JSON 结果中是否存在相应值 |
| SystemRoles | 返回 JSON 结果中是否存在相应值 |
| 已作废 | 返回 JSON 结果中是否存在相应值 |
| SerialNumber | 返回 JSON 结果中是否存在相应值 |
| FullDomainName | 返回 JSON 结果中是否存在相应值 |
| IsAOACCapable | 返回 JSON 结果中是否存在相应值 |
| MACAddresses | 返回 JSON 结果中是否存在相应值 |
| IPSubnets | 返回 JSON 结果中是否存在相应值 |
| VirtualMachineType | 返回 JSON 结果中是否存在相应值 |
| CPUType | 返回 JSON 结果中是否存在相应值 |
| CreationDate | 返回 JSON 结果中是否存在相应值 |
| VirtualMachineHostName | 返回 JSON 结果中是否存在相应值 |
| OSBranch | 返回 JSON 结果中是否存在相应值 |
| LastLogonUserDomain | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON 结果
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果部分或全部提供的实体已得到丰富: print "以下实体已使用 SCCM 数据进行丰富:\n {0}".format([实体列表]) 如果部分提供的实体未得到丰富: print "未找到以下实体的 SCCM 数据:\n {0}".format([实体列表]) 如果未扩充所有提供的实体: print "No entities were enriched" 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或网络连接问题: print "Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表名称:{0}.entity.Identifier 的 Microsoft SCCM 查询结果 表格内容:内容是动态的,基于查询结果。 |
实体 |
获取登录历史记录
说明
根据提供的 Google SecOps 用户实体,从 Microsoft SCCM 实例检索用户登录历史记录。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要返回的记录数 | 整数 | 100 | 是 | 操作中要返回的记录数上限。 |
使用场景
从剧本中的 SCCM 获取用户登录信息。
运行于
此操作在 User 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 用户名 | 返回 JSON 结果中是否存在相应值 |
| LoginCount | 返回 JSON 结果中是否存在相应值 |
| LastLoggedIn | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果获取了部分或全部所提供实体的数据: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) 如果 SCCM 中未找到部分提供的实体: print "未找到以下实体的 SCCM 数据:\n {0}".format([实体列表]) 如果未能找到所有已提供实体的数据: print "No results were found." 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或网络连接问题: print "Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表名称:{0} 的 Microsoft SCCM 登录历史记录。format(entity.Identifier) 表格内容:内容是动态的,基于查询结果。 |
实体 |
丰富实体
说明
根据 Microsoft SCCM 中的信息丰富 Google SecOps 主机、IP 或用户实体。
参数
不适用
运行于
此操作适用于以下实体:
- 用户
- 主机
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
主机实体的返回示例,请求是在 PowerShell 中发出的:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果部分或全部提供的实体已得到丰富:“以下实体已使用 SCCM 数据得到丰富:\n {0}”。format([实体列表]) 如果部分提供的实体未得到丰富:“未找到以下实体的 SCCM 数据:\n {0}”。format([实体列表]) 如果所有提供的实体均未得到丰富:“未丰富任何实体” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或网络连接问题:“Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表名称:{0}.format(entity.Identifier) 的 Microsoft SCCM 扩充结果 表格内容:内容是动态的,基于查询结果。 |
实体 |
运行 WQL 查询
说明
针对 Microsoft SCCM 实例运行任意 Windows Management Instrumentation Query Language (WQL) 查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要运行的查询 | 字符串 | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | 是 | 指定要运行的 WQL 查询。请参考默认示例请求。 |
| 要返回的记录数 | 整数 | 100 | 是 | 操作中要返回的记录数上限。 |
使用场景
针对 Microsoft SCCM 实例运行任意查询,以根据 Google SecOps 中的提醒分析获取所需数据。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
主机实体的返回示例,请求是在 PowerShell 中发出的:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果查询成功并获取了数据: print "Query executed successfully and returned results". 如果未找到任何内容: print "查询已成功执行,但未返回任何结果。"。 如果出现错误: print "Query didn't complete due to error: {0}".format(exception.stacktrace). 如果查询结果被截断: 输出“查询结果超出限制,已被截断!”。 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或网络连接问题: print "Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
| 表 | 表格名称:WQL 查询结果 列:根据查询结果动态生成列 |
常规 |
| 附件 | Run_WQL_query_response.json - 包含操作返回的技术 JSON 数据。 | 常规 |
| JSON 查看器 | 显示查询结果的 JSON 查看器。 | 常规 |
创建扫描端点任务
说明
在 Microsoft SCCM 服务器上为端点创建扫描端点任务。扫描分为两种类型 - 全面扫描或快速扫描。此操作适用于主机或 IP Google SecOps 实体。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 扫描类型 | DDL | 快速扫描 | 是 | 指定是运行完整扫描还是快速扫描。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息\* | 操作不应失败,也不应停止 playbook 执行: 如果已为部分或全部提供的实体成功创建任务:“已为以下实体创建扫描端点任务:\n {0}”。format([实体列表]) 如果未能为部分未扩充的所提供实体创建扫描端点任务:“未能为以下实体创建扫描端点任务:\n {0}”。format([实体列表]) 如果未能为所有提供的实体创建任务:“未创建端点扫描任务,请查看操作日志了解详情” 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误或网络连接问题:“Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Microsoft SCCM 实例的连接。
参数
不适用
使用场景
该操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,不属于 playbook 的一部分。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Microsoft SCCM instance with the provided connection parameters!”(已使用提供的连接参数成功连接到 Microsoft SCCM 实例!)。 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the Microsoft SCCM instance! 错误为 {0}".format(exception.stacktrace)。 |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。