SCCM
Versione integrazione: 15.0
Configura SCCM in modo che funzioni con Google Security Operations
Connetti SCCM a Linux
Per eseguire l'integrazione di SCCM sul server CentOS, installa prima wmi:
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
Dopodiché, puoi configurare e utilizzare l'integrazione.
Configura l'integrazione di SCCM in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server | Stringa | x.x.x.x | Sì | L'indirizzo IP o il nome DNS del server Microsoft SCCM a cui connettersi. |
| Dominio | Stringa | dominio | Sì | Dominio del server Microsoft SCCM. |
| Nome utente | Stringa | N/D | Sì | Il nome utente da utilizzare per connettersi a Microsoft SCCM. |
| Password | Password | N/D | Sì | La password da utilizzare per connettersi a Microsoft SCCM. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Ottieni proprietà computer
Descrizione
Recupera le proprietà del computer dall'istanza Microsoft SCCM e utilizza le informazioni ottenute per arricchire l'entità host Google SecOps fornita.
Parametri
N/D
Casi d'uso
Ottieni informazioni sull'host nel playbook Google SecOps da Microsoft SCCM e utilizza questi dati per l'arricchimento.
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| ClientEdition | Restituisce se esiste nel risultato JSON |
| SMSInstalledSites | Restituisce se esiste nel risultato JSON |
| MDMDeviceCategoryID | Restituisce se esiste nel risultato JSON |
| ManagementAuthority | Restituisce se esiste nel risultato JSON |
| IPAddresses | Restituisce se esiste nel risultato JSON |
| EASDeviceID | Restituisce se esiste nel risultato JSON |
| ResourceType | Restituisce se esiste nel risultato JSON |
| SID | Restituisce se esiste nel risultato JSON |
| DeviceOwner | Restituisce se esiste nel risultato JSON |
| IsWriteFilterCapable | Restituisce se esiste nel risultato JSON |
| HardwareID | Restituisce se esiste nel risultato JSON |
| IsMachineChangesPersisted | Restituisce se esiste nel risultato JSON |
| SMBIOSGUID | Restituisce se esiste nel risultato JSON |
| NetbiosName | Restituisce se esiste nel risultato JSON |
| Build | Restituisce se esiste nel risultato JSON |
| AgentSite | Restituisce se esiste nel risultato JSON |
| IPv6Addresses | Restituisce se esiste nel risultato JSON |
| ResourceNames | Restituisce se esiste nel risultato JSON |
| PrimaryGroupID | Restituisce se esiste nel risultato JSON |
| ClientVersion | Restituisce se esiste nel risultato JSON |
| ClientType | Restituisce se esiste nel risultato JSON |
| PreviousSMSUUID | Restituisce se esiste nel risultato JSON |
| ID risorsa | Restituisce se esiste nel risultato JSON |
| IPv6Prefixes | Restituisce se esiste nel risultato JSON |
| ObjectGUID | Restituisce se esiste nel risultato JSON |
| SMSAssignedSites | Restituisce se esiste nel risultato JSON |
| SMSResidentSites | Restituisce se esiste nel risultato JSON |
| IsPortableOperatingSystem | Restituisce se esiste nel risultato JSON |
| MDMComplianceStatus | Restituisce se esiste nel risultato JSON |
| WTGUniqueKey | Restituisce se esiste nel risultato JSON |
| AMTStatus | Restituisce se esiste nel risultato JSON |
| SystemGroupName | Restituisce se esiste nel risultato JSON |
| AgentName | Restituisce se esiste nel risultato JSON |
| Attivo | Restituisce se esiste nel risultato JSON |
| SNMPCommunityName | Restituisce se esiste nel risultato JSON |
| ADSiteName | Restituisce se esiste nel risultato JSON |
| IsClientAMT30Compatible | Restituisce se esiste nel risultato JSON |
| IsVirtualMachine | Restituisce se esiste nel risultato JSON |
| AlwaysInternet | Restituisce se esiste nel risultato JSON |
| Dismesso | Restituisce se esiste nel risultato JSON |
| Nome | Restituisce se esiste nel risultato JSON |
| SystemOUName | Restituisce se esiste nel risultato JSON |
| SuppressAutoProvision | Restituisce se esiste nel risultato JSON |
| SMSUniqueIdentifier | Restituisce se esiste nel risultato JSON |
| ResourceDomainORWorkgroup | Restituisce se esiste nel risultato JSON |
| UserAccountControl | Restituisce se esiste nel risultato JSON |
| LastLogonTimestamp | Restituisce se esiste nel risultato JSON |
| AMTFullVersion | Restituisce se esiste nel risultato JSON |
| OperatingSystemNameandVersion | Restituisce se esiste nel risultato JSON |
| PublisherDeviceID | Restituisce se esiste nel risultato JSON |
| SystemContainerName | Restituisce se esiste nel risultato JSON |
| LastLogonUserName | Restituisce se esiste nel risultato JSON |
| InternetEnabled | Restituisce se esiste nel risultato JSON |
| SMSUUIDChangeDate | Restituisce se esiste nel risultato JSON |
| AgentTime | Restituisce se esiste nel risultato JSON |
| IsAssignedToUser | Restituisce se esiste nel risultato JSON |
| WipeStatus | Restituisce se esiste nel risultato JSON |
| SecurityGroupName | Restituisce se esiste nel risultato JSON |
| DistinguishedName | Restituisce se esiste nel risultato JSON |
| SystemRoles | Restituisce se esiste nel risultato JSON |
| Obsoleta | Restituisce se esiste nel risultato JSON |
| SerialNumber | Restituisce se esiste nel risultato JSON |
| FullDomainName | Restituisce se esiste nel risultato JSON |
| IsAOACCapable | Restituisce se esiste nel risultato JSON |
| MACAddresses | Restituisce se esiste nel risultato JSON |
| IPSubnets | Restituisce se esiste nel risultato JSON |
| VirtualMachineType | Restituisce se esiste nel risultato JSON |
| CPUType | Restituisce se esiste nel risultato JSON |
| CreationDate | Restituisce se esiste nel risultato JSON |
| VirtualMachineHostName | Restituisce se esiste nel risultato JSON |
| OSBranch | Restituisce se esiste nel risultato JSON |
| LastLogonUserDomain | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_enriched | Vero/Falso | is_enriched:False |
Risultato JSON
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se alcune o tutte le entità fornite sono state arricchite: print "Following entities were enriched with SCCM data:\n {0}".format([entity list]) Se alcune delle entità fornite non sono state arricchite: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se non è stato eseguito l'arricchimento di tutte le entità fornite: print "No entities were enriched" L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se si verifica un errore critico, ad esempio credenziali errate o problemi di connettività di rete: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Nome tabella:risultati della query Microsoft SCCM per {0}.entity.Identifier Contenuti della tabella:i contenuti sono dinamici e basati sui risultati della query. |
Entità |
Recupera la cronologia di accesso
Descrizione
Recupera la cronologia di accesso degli utenti dall'istanza Microsoft SCCM in base all'entità utente Google SecOps fornita.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero di record da restituire | Numero intero | 100 | Sì | Il numero massimo di record da restituire nell'azione. |
Casi d'uso
Ottieni le informazioni di accesso degli utenti da SCCM nel playbook.
Run On
Questa azione viene eseguita sull'entità Utente.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| Nome utente | Restituisce se esiste nel risultato JSON |
| LoginCount | Restituisce se esiste nel risultato JSON |
| LastLoggedIn | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se hai ricevuto dati per alcune o tutte le persone giuridiche fornite: print "Found SCCM information on the following entities;:\n {0}".format([entity list]) Se alcune delle entità fornite non sono state trovate in SCCM: print "SCCM data for the following entities was not found:\n {0}".format([entity list]) Se non riesci a trovare dati per tutte le entità fornite: print "Nessun risultato trovato." L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se si verifica un errore critico, ad esempio credenziali errate o problemi di connettività di rete: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Nome tabella: cronologia degli accessi a Microsoft SCCM per {0}.format(entity.Identifier) Contenuti della tabella:i contenuti sono dinamici e basati sui risultati della query. |
Entità |
Arricchisci entità
Descrizione
Arricchisci le entità host, IP o utente di Google SecOps in base alle informazioni di Microsoft SCCM.
Parametri
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- Utente
- Host
- Indirizzo IP
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Esempio di restituzione per l'entità Host, la richiesta è stata effettuata in PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se alcune o tutte le entità fornite sono state arricchite: "Le seguenti entità sono state arricchite con i dati SCCM:\n {0}".format([entity list]) Se alcune delle entità fornite non sono state arricchite: "Non sono stati trovati dati SCCM per le seguenti entità:\n {0}".format([entity list]) Se non è stato eseguito l'arricchimento di tutte le entità fornite: "Nessuna entità è stata arricchita" L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se si verifica un errore critico, ad esempio credenziali errate o problemi di connettività di rete: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Nome tabella: risultati dell'arricchimento di Microsoft SCCM per {0}.format(entity.Identifier) Contenuti della tabella:i contenuti sono dinamici e basati sui risultati della query. |
Entità |
Esegui query WQL
Descrizione
Esegui query WQL (Windows Management Instrumentation Query Language) arbitrarie sull'istanza di Microsoft SCCM.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query da eseguire | Stringa | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | Sì | Specifica la query WQL da eseguire. Prendi come riferimento la richiesta di esempio predefinita. |
| Numero di record da restituire | Numero intero | 100 | Sì | Il numero massimo di record da restituire nell'azione. |
Casi d'uso
Esegui query arbitrarie sulle istanze di Microsoft SCCM per ottenere i dati necessari in base all'analisi degli avvisi in Google SecOps.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
Esempio di restituzione per l'entità Host, la richiesta è stata effettuata in PowerShell:
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se la query ha esito positivo e ha restituito dati: print "Query executed successfully and returned results". Se non viene trovato nulla: print "Query executed successfully, but did not return any results.". Se si verifica un errore: print "Query didn't complete due to error: {0}".format(exception.stacktrace). Se i risultati della query sono stati troncati: print "Query results exceeded limits and were truncated!". L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se si verifica un errore critico, ad esempio credenziali errate o problemi di connettività di rete: print "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
| Tabella | Nome tabella: risultati della query WQL Colonne:genera dinamicamente le colonne in base ai risultati della query |
Generale |
| Allegati | Run_WQL_query_response.json: contiene i dati JSON tecnici restituiti dall'azione. | Generale |
| Visualizzatore JSON | Mostra il visualizzatore JSON per il risultato della query. | Generale |
Crea attività di endpoint di scansione
Descrizione
Crea un'attività di endpoint di scansione sul server Microsoft SCCM per l'endpoint. Sono disponibili due tipi di scansioni: completa o rapida. L'azione funziona con le entità Google SecOps Host o IP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di scansione | DDL | Scansione rapida | Sì | Specifica se eseguire la scansione completa o la scansione rapida. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'attività è stata creata correttamente per alcune o tutte le entità fornite: "L'attività di scansione dell'endpoint è stata creata per le seguenti entità:\n {0}".format([entity list]) Se non è stato possibile creare l'attività dell'endpoint di scansione per alcune delle entità fornite non sono state arricchite: "Impossibile creare l'attività dell'endpoint di scansione per le seguenti entità:\n {0}".format([entity list]) Se non riesci a creare un'attività per tutte le entità fornite: "Endpoint scan tasks were not created, check the action log for details" (Le attività di scansione dell'endpoint non sono state create. Controlla il log delle azioni per i dettagli). L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se si verifica un errore critico, ad esempio credenziali errate o problemi di connettività di rete: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
Dindin
Descrizione
Verifica la connettività all'istanza di Microsoft SCCM con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Casi d'uso
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, che non fa parte dei playbook.
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e non deve interrompere l'esecuzione del playbook: Se l'operazione va a buon fine: "Connessione all'istanza Microsoft SCCM riuscita con i parametri di connessione forniti". L'azione deve non riuscire e interrompere l'esecuzione del playbook: Se l'operazione non va a buon fine: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace). |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.