SCCM
整合版本:15.0
設定 SCCM,以便與 Google Security Operations 搭配使用
將 SCCM 連線至 Linux
如要在 Centos 伺服器上執行 SCCM 整合,請先安裝 wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
完成後,即可設定及使用整合功能。
在 Google SecOps 中設定 SCCM 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| 伺服器位址 | 字串 | x.x.x.x | 是 | 要連線的 Microsoft SCCM 伺服器 IP 位址或 DNS 名稱。 |
| 網域 | 字串 | 網域 | 是 | Microsoft SCCM 伺服器網域。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 用於連線至 Microsoft SCCM 的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | 用於連線至 Microsoft SCCM 的密碼。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
取得電腦屬性
說明
從 Microsoft SCCM 執行個體取得電腦屬性,並使用取得的資訊擴充提供的 Google SecOps 主機實體。
參數
不適用
應用實例
從 Microsoft SCCM 取得 Google SecOps 劇本中的主機資訊,並使用這項資料進行擴充。
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| ClientEdition | 如果 JSON 結果中存在該值,則傳回該值 |
| SMSInstalledSites | 如果 JSON 結果中存在該值,則傳回該值 |
| MDMDeviceCategoryID | 如果 JSON 結果中存在該值,則傳回該值 |
| ManagementAuthority | 如果 JSON 結果中存在該值,則傳回該值 |
| IPAddresses | 如果 JSON 結果中存在該值,則傳回該值 |
| EASDeviceID | 如果 JSON 結果中存在該值,則傳回該值 |
| ResourceType | 如果 JSON 結果中存在該值,則傳回該值 |
| SID | 如果 JSON 結果中存在該值,則傳回該值 |
| DeviceOwner | 如果 JSON 結果中存在該值,則傳回該值 |
| IsWriteFilterCapable | 如果 JSON 結果中存在該值,則傳回該值 |
| HardwareID | 如果 JSON 結果中存在該值,則傳回該值 |
| IsMachineChangesPersisted | 如果 JSON 結果中存在該值,則傳回該值 |
| SMBIOSGUID | 如果 JSON 結果中存在該值,則傳回該值 |
| NetbiosName | 如果 JSON 結果中存在該值,則傳回該值 |
| 建構 | 如果 JSON 結果中存在該值,則傳回該值 |
| AgentSite | 如果 JSON 結果中存在該值,則傳回該值 |
| IPv6Addresses | 如果 JSON 結果中存在該值,則傳回該值 |
| ResourceNames | 如果 JSON 結果中存在該值,則傳回該值 |
| PrimaryGroupID | 如果 JSON 結果中存在該值,則傳回該值 |
| ClientVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| ClientType | 如果 JSON 結果中存在該值,則傳回該值 |
| PreviousSMSUUID | 如果 JSON 結果中存在該值,則傳回該值 |
| ResourceId | 如果 JSON 結果中存在該值,則傳回該值 |
| IPv6Prefixes | 如果 JSON 結果中存在該值,則傳回該值 |
| ObjectGUID | 如果 JSON 結果中存在該值,則傳回該值 |
| SMSAssignedSites | 如果 JSON 結果中存在該值,則傳回該值 |
| SMSResidentSites | 如果 JSON 結果中存在該值,則傳回該值 |
| IsPortableOperatingSystem | 如果 JSON 結果中存在該值,則傳回該值 |
| MDMComplianceStatus | 如果 JSON 結果中存在該值,則傳回該值 |
| WTGUniqueKey | 如果 JSON 結果中存在該值,則傳回該值 |
| AMTStatus | 如果 JSON 結果中存在該值,則傳回該值 |
| SystemGroupName | 如果 JSON 結果中存在該值,則傳回該值 |
| AgentName | 如果 JSON 結果中存在該值,則傳回該值 |
| 有效 | 如果 JSON 結果中存在該值,則傳回該值 |
| SNMPCommunityName | 如果 JSON 結果中存在該值,則傳回該值 |
| ADSiteName | 如果 JSON 結果中存在該值,則傳回該值 |
| IsClientAMT30Compatible | 如果 JSON 結果中存在該值,則傳回該值 |
| IsVirtualMachine | 如果 JSON 結果中存在該值,則傳回該值 |
| AlwaysInternet | 如果 JSON 結果中存在該值,則傳回該值 |
| 已停用 | 如果 JSON 結果中存在該值,則傳回該值 |
| 名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| SystemOUName | 如果 JSON 結果中存在該值,則傳回該值 |
| SuppressAutoProvision | 如果 JSON 結果中存在該值,則傳回該值 |
| SMSUniqueIdentifier | 如果 JSON 結果中存在該值,則傳回該值 |
| ResourceDomainORWorkgroup | 如果 JSON 結果中存在該值,則傳回該值 |
| UserAccountControl | 如果 JSON 結果中存在該值,則傳回該值 |
| LastLogonTimestamp | 如果 JSON 結果中存在該值,則傳回該值 |
| AMTFullVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| OperatingSystemNameandVersion | 如果 JSON 結果中存在該值,則傳回該值 |
| PublisherDeviceID | 如果 JSON 結果中存在該值,則傳回該值 |
| SystemContainerName | 如果 JSON 結果中存在該值,則傳回該值 |
| LastLogonUserName | 如果 JSON 結果中存在該值,則傳回該值 |
| InternetEnabled | 如果 JSON 結果中存在該值,則傳回該值 |
| SMSUUIDChangeDate | 如果 JSON 結果中存在該值,則傳回該值 |
| AgentTime | 如果 JSON 結果中存在該值,則傳回該值 |
| IsAssignedToUser | 如果 JSON 結果中存在該值,則傳回該值 |
| WipeStatus | 如果 JSON 結果中存在該值,則傳回該值 |
| SecurityGroupName | 如果 JSON 結果中存在該值,則傳回該值 |
| DistinguishedName | 如果 JSON 結果中存在該值,則傳回該值 |
| SystemRoles | 如果 JSON 結果中存在該值,則傳回該值 |
| 已過時 | 如果 JSON 結果中存在該值,則傳回該值 |
| SerialNumber | 如果 JSON 結果中存在該值,則傳回該值 |
| FullDomainName | 如果 JSON 結果中存在該值,則傳回該值 |
| IsAOACCapable | 如果 JSON 結果中存在該值,則傳回該值 |
| MACAddresses | 如果 JSON 結果中存在該值,則傳回該值 |
| IPSubnets | 如果 JSON 結果中存在該值,則傳回該值 |
| VirtualMachineType | 如果 JSON 結果中存在該值,則傳回該值 |
| CPUType | 如果 JSON 結果中存在該值,則傳回該值 |
| CreationDate | 如果 JSON 結果中存在該值,則傳回該值 |
| VirtualMachineHostName | 如果 JSON 結果中存在該值,則傳回該值 |
| OSBranch | 如果 JSON 結果中存在該值,則傳回該值 |
| LastLogonUserDomain | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON 結果
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果部分或所有提供的實體已擴充: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) 如果部分提供的實體未經過擴充: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) 如果系統未擴充所有提供的實體: print "No entities were enriched" 動作應失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤或網路連線問題: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 資料表名稱:{0}.entity.Identifier 的 Microsoft SCCM 查詢結果 表格內容:內容會根據查詢結果動態變化。 |
實體 |
取得登入記錄
說明
根據提供的 Google SecOps 使用者實體,從 Microsoft SCCM 執行個體擷取使用者登入記錄。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的記錄數 | 整數 | 100 | 是 | 動作中傳回的記錄數量上限。 |
應用實例
從劇本中的 SCCM 取得使用者登入資訊。
執行時間
這項動作會對使用者實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 使用者名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| LoginCount | 如果 JSON 結果中存在該值,則傳回該值 |
| LastLoggedIn | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果取得部分或所有實體的資料: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) 如果 SCCM 中找不到部分提供的實體: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) 如果無法找到所有提供的實體資料: print "No results were found." 動作應失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤或網路連線問題: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 資料表名稱:「{0}」的 Microsoft SCCM 登入記錄。format(entity.Identifier) 表格內容:內容會根據查詢結果動態變化。 |
實體 |
充實實體
說明
根據 Microsoft SCCM 的資訊,擴充 Google SecOps 主機、IP 或使用者實體。
參數
不適用
執行時間
這項動作會對下列實體執行:
- 使用者
- 主機
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
以下是主機實體的傳回範例,要求是在 Powershell 中提出:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果部分或所有提供的實體都已擴充:「下列實體已使用 SCCM 資料擴充:\n {0}」。format([實體清單]) 如果部分提供的實體未經過擴充:「SCCM data for the following entities were not found:\n {0}」。format([實體清單]) 如果所有提供的實體都未經過擴充:「No entities were enriched」(沒有任何實體經過擴充) 動作應失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤或網路連線問題:「無法連線至 Microsoft SCCM 執行個體!Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 資料表名稱:{0}.format(entity.Identifier) 的 Microsoft SCCM 擴充結果 表格內容:內容會根據查詢結果動態變化。 |
實體 |
執行 WQL 查詢
說明
針對 Microsoft SCCM 執行個體執行任意 Windows Management Instrumentation 查詢語言 (WQL) 查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要執行的查詢 | 字串 | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | 是 | 指定要執行的 WQL 查詢。請參考預設範例要求。 |
| 要傳回的記錄數 | 整數 | 100 | 是 | 動作中傳回的記錄數上限。 |
應用實例
對 Microsoft SCCM 執行任意查詢,根據 Google SecOps 中的快訊分析結果取得所需資料。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
以下是主機實體的傳回範例,要求是在 Powershell 中提出:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果查詢成功並取得資料: print "Query executed successfully and returned results". 如果找不到任何內容: print "Query executed successfully, but did not return any results.". 如果發生錯誤: print "Query didn't complete due to error: {0}".format(exception.stacktrace). 如果查詢結果遭到截斷: print "Query results exceeded limits and were truncated!"。 動作應失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤或網路連線問題: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
一般 |
| 資料表 | 資料表名稱:WQL 查詢結果 資料欄:根據查詢結果動態產生資料欄 |
一般 |
| 附件 | Run_WQL_query_response.json - 包含動作傳回的技術 JSON 資料。 | 一般 |
| JSON 檢視器 | 顯示查詢結果的 JSON 檢視器。 | 一般 |
建立掃描端點工作
說明
在 Microsoft SCCM 伺服器上為端點建立掃描端點工作。掃描分為兩種,分別是完整掃描和快速掃描。這項動作適用於主機或 IP Google SecOps 實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 掃描類型 | DDL | 快速掃描 | 是 | 指定要執行完整掃描或快速掃描。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息\* | 動作不應失敗,也不應停止執行應對手冊: 如果已為部分或所有提供的實體成功建立工作:「已為下列實體建立掃描端點工作:\n {0}」。format([實體清單]) 如果無法為部分提供的實體建立掃描端點工作,因為這些實體未經過擴充:「Failed to create scan endpoint task for the following entities:\n {0}」。format([entity list]) 如果無法為所有提供的實體建立工作:「Endpoint scan tasks were not created, check the action log for details」(未建立端點掃描工作,請查看動作記錄瞭解詳情) 動作應失敗並停止執行應對手冊: 如果發生重大錯誤,例如憑證錯誤或網路連線問題:「無法連線至 Microsoft SCCM 執行個體!Error is {0}".format(exception.stacktrace). |
一般 |
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Microsoft SCCM 執行個體的連線。
參數
不適用
應用實例
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,且可做為手動動作執行,不屬於應對手冊的一部分。
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Microsoft SCCM instance with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Microsoft SCCM 執行個體!) 動作應失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。