WMI

통합 버전: 7.0

Google Security Operations에서 WMI 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

WMI 클라이언트 설치

WMI 클라이언트를 실행하려면 다음 명령어를 실행하여 Google Security Operations Linux 서버에 WMI 클라이언트를 설치하세요. 명령어를 실행할 수 있는 적절한 권한 (루트)이 있는지 확인합니다. 원격 에이전트를 사용하는 경우 원격 에이전트 서버에서 명령어를 실행합니다.

wget http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
sudo yum localinstall wmi-1.3.14-4.el7.art.x86_64.rpm

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
인스턴스 이름 문자열 해당 사항 없음 No 통합을 구성할 인스턴스의 이름입니다.
설명 문자열 해당 사항 없음 No 인스턴스에 대한 설명입니다.
원격 실행 체크박스 선택 해제 No 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다.

작업

시스템 정보 가져오기

설명

시스템에 관한 정보를 가져옵니다.

매개변수

매개변수 유형 기본값 필수 항목 설명
서버 주소 문자열 해당 사항 없음 해당 사항 없음
사용자 이름 문자열 해당 사항 없음 아니요 해당 사항 없음
비밀번호 문자열 해당 사항 없음 아니요 해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
system_info True/False system_info:False
JSON 결과
{
    "NumberOfProcessors": 1,
    "MaxProcessMemorySize": "137438953344",
    "SystemDrive": "C:",
    "WakeUpType": 6,
    "ChassisSKUNumber": "Notebook",
    "BootROMSupported": true,
    "ForegroundApplicationBoost": 2,
    "OperatingSystemSKU": 126,
    "AdminPasswordStatus": 3,
    "SuiteMask": 272,
    "InstallDate": "20161205114436.000000+120",
    "Distributed": false,
    "EncryptionLevel": 256,
    "FrontPanelResetStatus": 3,
    "Debug": false,
    "Organization": "",
    "AutomaticManagedPagefile": true,
    "PowerSupplyState": 3,
    "InfraredSupported": false,
    "LargeSystemCache": null,
    "CodeSet": "1252",
    "FreeSpaceInPagingFiles": "2415000",
    "DataExecutionPrevention_32BitApplications": true,
    "PrimaryOwnerContact": null,
    "KeyboardPasswordStatus": 3,
    "BootStatus": [0, 0, 0],
    "MaxNumberOfProcesses": -1,
    "FreePhysicalMemory": "8962948",
    "DataExecutionPrevention_Available": true,
    "PCSystemTypeEx": 2,
    "CSDVersion": null,
    "PartOfDomain": true,
    "SystemFamily": "Latitude",
    "DomainRole": 1,
    "CurrentTimeZone": 120,
    "OSType": 18,
    "SystemDirectory": "C:\\\\Windows\\\\system32",
    "Workgroup": null,
    "CountryCode": "1",
    "NameFormat": null,
    "PAEEnabled": null,
    "AutomaticResetCapability": true,
    "DataExecutionPrevention_Drivers": true,
    "TotalVirtualMemorySize": "18896472",
    "NumberOfLicensedUsers": 0,
    "DataExecutionPrevention_SupportPolicy": 2,
    "TotalSwapSpaceSize": null,
    "PowerOnPasswordStatus": 3,
    "HypervisorPresent": false,
    "SystemStartupSetting": null,
    "LocalDateTime": "20180220173653.403000+120",
    "SystemDevice": "\\\\Device\\\\HarddiskVolume2",
    "PortableOperatingSystem": false,
    "Domain": "DOMAIN.COM",
    "TotalPhysicalMemory": "16799850496",
    "ChassisBootupState": 3,
    "SystemType": "x64-based PC",
    "DNSHostName": "PC-01",
    "EnableDaylightSavingsTime": true,
    "PCSystemType": 2,
    "PrimaryOwnerName": "Windows User",
    "WindowsDirectory": "C:\\\\Windows",
    "PowerState": 0,
    "ResetCount": -1,
    "LastLoadInfo": null,
    "ServicePackMinorVersion": 0,
    "OEMStringArray": ["Dell System", "1[07A0]", "3[1.0]"],
    "BootOptionOnWatchDog": null,
    "Status": "OK",
    "OSArchitecture": "64-bit",
    "SystemStartupOptions": null,
    "OSLanguage": 1033,
    "InitialLoadInfo": null,
    "Manufacturer": "Microsoft Corporation",
    "BuildType": "Multiprocessor Free",
    "FreeVirtualMemory": "9128168",
    "OtherTypeDescription": null,
    "OEMLogoBitmap": null,
    "ServicePackMajorVersion": 0,
    "Version": "10.0.14393",
    "ThermalState": 3,
    "LastBootUpTime": "20180218183758.487061+120",
    "SizeStoredInPagingFiles": "2490368",
    "NumberOfProcesses": 133,
    "PowerManagementSupported": null,
    "CSName": "PC-01",
    "SerialNumber": "00378-30000-00003-AA585",
     "MUILanguages": ["en-US"],
     "SupportContactDescription": null,
     "Primary": true,
     "SystemStartupDelay": null,
     "ResetLimit": -1,
     "ProductType": 1,
     "RegisteredUser": "Windows User",
     "Roles": ["LM_Workstation",
               "LM_Server",
               "SQLServer"],
     "PlusProductID": null,
     "ResetCapability": 1,
     "SystemSKUNumber": "07A0",
     "OSProductSuite": 256,
     "PauseAfterReset": "-1",
     "NumberOfUsers": 6,
     "BootupState": "Normal boot",
     "Name": "Microsoft Windows 10 Enterprise N 2016   LTSB|C:\\\\Windows|\\\\Device\\\\Harddisk0\\\\Partition2",
     "AutomaticResetBootOption": true,
     "Caption": "Microsoft Windows 10 Enterprise N 2016 LTSB",
     "TotalVisibleMemorySize": "16406104",
     "PowerManagementCapabilities": null,
     "Model": "Latitude 7480",
     "PlusVersionNumber": null,
     "Description": "",
     "NetworkServerModeEnabled": true,
     "NumberOfLogicalProcessors": 4,
     "BootOptionOnLimit": null,
     "Locale": "0409",
     "CSCreationClassName": "Win32_ComputerSystem",
     "UserName": "DOMAIN\\\\User",
     "BuildNumber": "14393",
     "DaylightInEffect": false,
     "CreationClassName": "Win32_OperatingSystem",
     "BootDevice": "\\\\Device\\\\HarddiskVolume1"
}

서비스 나열

설명

시스템에 설치된 서비스 목록을 가져옵니다.

매개변수

매개변수 유형 기본값 필수 항목 설명
서버 주소 문자열 해당 사항 없음 해당 사항 없음
사용자 이름 문자열 해당 사항 없음 아니요 해당 사항 없음
비밀번호 문자열 해당 사항 없음 아니요 해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
services True/False services:False
JSON 결과
[
    {
        "DisplayName": "Adobe Flash Player Update Service",
        "ServiceSpecificExitCode": 0,
        "State": "Stopped",
        "SystemName": "PC-01",
        "ErrorControl": "Normal",
        "Status": "OK",
        "ProcessId": 0,
        "DesktopInteract": false,
        "Started": false,
        "AcceptStop": false,
        "CheckPoint": 0,
        "PathName": "C:\\\\Windows\\\\SysWOW64\\\\Macromed\\\\Flash\\\\FlashPlayerUpdateService.exe",
        "WaitHint": 0,
        "Name": "AdobeFlashPlayerUpdateSvc",
        "InstallDate": null,
        "Caption": "Adobe Flash Player Update Service",
        "StartMode": "Manual",
        "Description": "This service keeps your Adobe Flash Player installation up to date with the latest enhancements and security fixes.",
        "ServiceType": "Own Process",
        "TagId": 0,
        "DelayedAutoStart": false,
        "StartName": "LocalSystem",
        "AcceptPause": false,
        "CreationClassName": "Win32_Service",
        "SystemCreationClassName": "Win32_ComputerSystem",
        "ExitCode": 0
    }
]

사용자 표시

설명

시스템에 구성된 모든 사용자를 나열합니다.

매개변수

매개변수 유형 기본값 필수 항목 설명
서버 주소 문자열 해당 사항 없음 해당 사항 없음
사용자 이름 문자열 해당 사항 없음 아니요 해당 사항 없음
비밀번호 문자열 해당 사항 없음 아니요 사용자의 전체 이름입니다.

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
사용자 해당 사항 없음 해당 사항 없음
JSON 결과
[
    {
        "Status": "Degraded",
        "Domain": "PC-01",
        "Description": "Built-in account for administering the computer/domain",
        "InstallDate": null,
        "Caption": "PC-01\\\\Administrator",
        "Disabled": true,
        "PasswordChangeable": true,
        "Lockout": false,
        "AccountType": 512,
        "SID": "S-1-5-21-3501119061-1410835827-1917537121-500",
        "LocalAccount": true,
        "FullName": "",
        "SIDType": 1,
        "PasswordRequired": true,
        "PasswordExpires": false,
        "Name": "Administrator"
    }
]

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_connected True/False is_connected:False
JSON 결과
N/A

쿼리 실행

설명

시스템에서 WQL을 사용하여 임의의 쿼리를 실행합니다.

매개변수

매개변수 유형 기본값 필수 항목 설명
서버 주소 문자열 해당 사항 없음 해당 사항 없음
사용자 이름 문자열 해당 사항 없음 아니요 해당 사항 없음
비밀번호 문자열 해당 사항 없음 아니요 해당 사항 없음
WQL 쿼리 문자열 해당 사항 없음 쿼리 콘텐츠(예: SELECT Caption, Description FROM Win32_LogicalDisk WHERE DriveType <> 3)

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
결과 True/False results:False
JSON 결과
[
   {
     "Caption": "C:",
     "Description": "Local Fixed Disk",
     "DeviceID": "C:"
   },
   {
     "Caption": "I:",
     "Description": "Local Fixed Disk",
     "DeviceID": "I:"
   }
 ]

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.