SCCM
統合バージョン: 12.0
Chronicle SOAR と連携するように SCCM を構成する
SCCM を Linux に接続する
Centos サーバーで SCCM 統合を実行するには、まず wmi をインストールします。
rpm -Uvh http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
yum install wmi
その後、統合を構成して使用できます。
Chronicle SOAR で SCCM 統合を構成する
Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー アドレス | 文字列 | x.x.x.x | ○ | 接続先の Microsoft SCCM サーバーの IP アドレスまたは DNS 名。 |
| ドメイン | 文字列 | ドメイン | ○ | Microsoft SCCM サーバーのドメイン。 |
| ユーザー名 | 文字列 | なし | ○ | Microsoft SCCM への接続に使用するユーザー名。 |
| パスワード | パスワード | なし | ○ | Microsoft SCCM への接続に使用するパスワード。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
コンピュータのプロパティを取得する
説明
Microsoft SCCM インスタンスからコンピュータ プロパティを取得し、取得した情報を使用して、指定された Chronicle SOAR Host エンティティを拡充します。
パラメータ
なし
ユースケース
Microsoft SCCM から Chronicle SOAR ハンドブック内のホストに関する情報を取得し、そのデータを拡充に使用します。
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用対象 |
|---|---|
| ClientEdition | JSON の結果に存在する場合に返します。 |
| SMSInstalledSites | JSON の結果に存在する場合に返します。 |
| MDMDeviceCategoryID | JSON の結果に存在する場合に返します。 |
| ManagementAuthority | JSON の結果に存在する場合に返します。 |
| IPAddresses | JSON の結果に存在する場合に返します。 |
| EASDeviceID | JSON の結果に存在する場合に返します。 |
| ResourceType | JSON の結果に存在する場合に返します。 |
| SID | JSON の結果に存在する場合に返します。 |
| DeviceOwner | JSON の結果に存在する場合に返します。 |
| IsWriteFilterCapable | JSON の結果に存在する場合に返します。 |
| HardwareID | JSON の結果に存在する場合に返します。 |
| IsMachineChangesPersisted | JSON の結果に存在する場合に返します。 |
| SMBIOSGUID | JSON の結果に存在する場合に返します。 |
| NetbiosName | JSON の結果に存在する場合に返します。 |
| Build | JSON の結果に存在する場合に返します。 |
| AgentSite | JSON の結果に存在する場合に返します。 |
| IPv6Addresses | JSON の結果に存在する場合に返します。 |
| ResourceNames | JSON の結果に存在する場合に返します。 |
| PrimaryGroupID | JSON の結果に存在する場合に返します。 |
| ClientVersion | JSON の結果に存在する場合に返します。 |
| ClientType | JSON の結果に存在する場合に返します。 |
| PreviousSMSUUID | JSON の結果に存在する場合に返します。 |
| ResourceId | JSON の結果に存在する場合に返します。 |
| IPv6Prefixes | JSON の結果に存在する場合に返します。 |
| ObjectGUID | JSON の結果に存在する場合に返します。 |
| SMSAssignedSites | JSON の結果に存在する場合に返します。 |
| SMSResidentSites | JSON の結果に存在する場合に返します。 |
| IsPortableOperatingSystem | JSON の結果に存在する場合に返します。 |
| MDMComplianceStatus | JSON の結果に存在する場合に返します。 |
| WTGUniqueKey | JSON の結果に存在する場合に返します。 |
| AMTStatus | JSON の結果に存在する場合に返します。 |
| SystemGroupName | JSON の結果に存在する場合に返します。 |
| AgentName | JSON の結果に存在する場合に返します。 |
| Active | JSON の結果に存在する場合に返します。 |
| SNMPCommunityName | JSON の結果に存在する場合に返します。 |
| ADSiteName | JSON の結果に存在する場合に返します。 |
| IsClientAMT30Compatible | JSON の結果に存在する場合に返します。 |
| IsVirtualMachine | JSON の結果に存在する場合に返します。 |
| AlwaysInternet | JSON の結果に存在する場合に返します。 |
| Decommissioned | JSON の結果に存在する場合に返します。 |
| Name | JSON の結果に存在する場合に返します。 |
| SystemOUName | JSON の結果に存在する場合に返します。 |
| SuppressAutoProvision | JSON の結果に存在する場合に返します。 |
| SMSUniqueIdentifier | JSON の結果に存在する場合に返します。 |
| ResourceDomainORWorkgroup | JSON の結果に存在する場合に返します。 |
| UserAccountControl | JSON の結果に存在する場合に返します。 |
| LastLogonTimestamp | JSON の結果に存在する場合に返します。 |
| AMTFullVersion | JSON の結果に存在する場合に返します。 |
| OperatingSystemNameandVersion | JSON の結果に存在する場合に返します。 |
| PublisherDeviceID | JSON の結果に存在する場合に返します。 |
| SystemContainerName | JSON の結果に存在する場合に返します。 |
| LastLogonUserName | JSON の結果に存在する場合に返します。 |
| InternetEnabled | JSON の結果に存在する場合に返します。 |
| SMSUUIDChangeDate | JSON の結果に存在する場合に返します。 |
| AgentTime | JSON の結果に存在する場合に返します。 |
| IsAssignedToUser | JSON の結果に存在する場合に返します。 |
| WipeStatus | JSON の結果に存在する場合に返します。 |
| SecurityGroupName | JSON の結果に存在する場合に返します。 |
| DistinguishedName | JSON の結果に存在する場合に返します。 |
| SystemRoles | JSON の結果に存在する場合に返します。 |
| Obsolete | JSON の結果に存在する場合に返します。 |
| SerialNumber | JSON の結果に存在する場合に返します。 |
| FullDomainName | JSON の結果に存在する場合に返します。 |
| IsAOACCapable | JSON の結果に存在する場合に返します。 |
| MACAddresses | JSON の結果に存在する場合に返します。 |
| IPSubnets | JSON の結果に存在する場合に返します。 |
| VirtualMachineType | JSON の結果に存在する場合に返します。 |
| CPUType | JSON の結果に存在する場合に返します。 |
| CreationDate | JSON の結果に存在する場合に返します。 |
| VirtualMachineHostName | JSON の結果に存在する場合に返します。 |
| OSBranch | JSON の結果に存在する場合に返します。 |
| LastLogonUserDomain | JSON の結果に存在する場合に返します。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_enriched | True/False | is_enriched:False |
JSON の結果
[
{
"EntityResult": {
"ClientEdition": "None",
"SMSInstalledSites": "()",
"MDMDeviceCategoryID": "None",
"ManagementAuthority": "None",
"IPAddresses": "(u'1.1.1.1', u'1.1.1.1')",
"EASDeviceID": "None",
"ResourceType": "5",
"Unknown": "None",
"SID": "S-1-5-21-2485274276-3947876705-1900992244-1487",
"DeviceOwner": "None",
"IsWriteFilterCapable": "None",
"HardwareID": "None",
"IsMachineChangesPersisted": "None",
"SMBIOSGUID": "None",
"NetbiosName": "PC_01",
"Build": "None",
"AgentSite": "(u'001',)",
"IPv6Addresses": "()",
"Client": "None",
"ResourceNames": "(u'PC-01.DOMAIN.COM',)",
"PrimaryGroupID": "515",
"ClientVersion": "None",
"ClientType": "None",
"PreviousSMSUUID": "None",
"ResourceId": "2097152157",
"IPv6Prefixes": "()",
"ObjectGUID": "(189, 112, 106, 52, 65, 87, 150, 71, 166, 96, 209, 16, 161, 133, 38, 242)",
"SMSAssignedSites": "(u'001',)",
"SMSResidentSites": "(u'001',)",
"IsPortableOperatingSystem": "None",
"MDMComplianceStatus": "None",
"WTGUniqueKey": "None",
"AMTStatus": "None",
"SystemGroupName": "()",
"AgentName": "(u'SMS_AD_SYSTEM_DISCOVERY_AGENT',)",
"Active": "None",
"SNMPCommunityName": "None",
"ADSiteName": "Default-First-Site-Name",
"IsClientAMT30Compatible": "None",
"IsVirtualMachine": "None",
"AlwaysInternet": "None",
"Decommissioned": "0",
"Name": "PC-01",
"SystemOUName": "()",
"SuppressAutoProvision": "None",
"SMSUniqueIdentifier": "None",
"ResourceDomainORWorkgroup": "DOMAIN",
"UserAccountControl": "4096",
"LastLogonTimestamp": "20190203084427.000000+***",
"AMTFullVersion": "None",
"OperatingSystemNameandVersion": "Microsoft Windows NT Workstation 10.0", "PublisherDeviceID": "None",
"SystemContainerName": "(u'DOMAIN\\\\\\\\COMPUTERS',)",
"LastLogonUserName": "None",
"InternetEnabled": "None",
"SMSUUIDChangeDate": "None",
"AgentTime": "(u'20190207115148.000000+***',)",
"IsAssignedToUser": "None",
"WipeStatus": "None",
"SecurityGroupName": "()",
"SystemRoles": "()",
"DistinguishedName": "CN=PC-01,CN=Computers,DC=DOMAIN,DC=COM",
"Obsolete": "None",
"SerialNumber": "None",
"FullDomainName": "DOMAIN.COM",
"IsAOACCapable": "None",
"MACAddresses": "()",
"IPSubnets": "()",
"VirtualMachineType": "None",
"CPUType": "None",
"CreationDate": "20190128134818.000000+***",
"VirtualMachineHostName": "None",
"OSBranch": "None",
"LastLogonUserDomain": "None"
},
"Entity": "PC_01"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 指定されたエンティティの一部またはすべてが拡充されている場合: "Following entities were enriched with SCCM data:\n {0}".format([entity list]) を出力します。 指定されたエンティティの一部が拡充されていない場合: "SCCM data for the following entities was not found:\n {0}".format([entity list]) を出力します。 指定されたエンティティがすべて拡充されていない場合: "No entities were enriched" を出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| Table | テーブルの名前: {0}.entity.Identifier の Microsoft SCCM クエリ結果 テーブルのコンテンツ: コンテンツは動的で、クエリ結果に基づきます。 |
エンティティ |
ログイン履歴を取得する
説明
指定された Chronicle SOAR ユーザー エンティティに基づいて、Microsoft SCCM インスタンスからユーザーのログイン履歴を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるレコード数 | 整数 | 100 | ○ | アクションで返されるレコードの最大数。 |
ユースケース
ハンドブックで SCCM からユーザーのログイン情報を取得します。
実行
このアクションは User エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用対象 |
|---|---|
| ユーザー名 | JSON の結果に存在する場合に返します。 |
| LoginCount | JSON の結果に存在する場合に返します。 |
| LastLoggedIn | JSON の結果に存在する場合に返します。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": [
{
"Username": "pc-01\\\\local_users",
"LoginCount": 22,
"LastLoggedIn": "20170815103710.000000+***"
}
],
"Entity": "pc-01"
}
]
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 指定されたエンティティの一部またはすべてのデータが取得された場合: "Found SCCM information on the following entities;:\n {0}".format([entity list]) を出力します。 指定されたエンティティの一部が SCCM で見つからない場合: "SCCM data for the following entities was not found:\n {0}".format([entity list]) を出力します。 指定されたすべてのエンティティのデータが見つからない場合: "No results were found." を出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| Table | テーブルの名前: {0}.format(entity.Identifier) の Microsoft SCCM のログイン履歴 テーブルのコンテンツ: コンテンツは動的で、クエリ結果に基づきます。 |
エンティティ |
エンティティの拡充
説明
Microsoft SCCM の情報に基づいて、Chronicle SOAR のホスト、IP、ユーザー エンティティを拡充します。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- ユーザー
- ホスト
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
Host エンティティの戻り値の例。Powershell でリクエストが行われました。
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 指定されたエンティティの一部またはすべてが拡充されている場合: "Following entities were enriched with SCCM data:\n {0}".format([entity list]) 指定されたエンティティの一部が拡充されていない場合: "SCCM data for the following entities were not found:\n {0}".format([entity list]) 指定されたエンティティがすべて拡充されていない場合: "No entities were enriched" アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| Table | テーブルの名前: {0}.format(entity.Identifier) の Microsoft SCCM 拡充結果 テーブルのコンテンツ: コンテンツは動的で、クエリ結果に基づきます。 |
エンティティ |
WQL クエリの実行
説明
Microsoft SCCM インスタンスに対して任意の Windows Management Instrumentation Query Language(WQL)クエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 実行するクエリ | 文字列 | SELECT UniqueUserName,LastLoginTime,LoginCount,ResourceName from SMS_UserMachineIntelligence JOIN SMS_R_User ON SMS_UserMachineIntelligence.UniqueUserName = SMS_R_User.UniqueUserName WHERE SMS_R_User.UserPrincipalName = "sccm_user@sccm-domain.com" | ○ | 実行する WQL クエリを指定します。参考として、デフォルトのリクエストの例を考えます。 |
| 返されるレコード数 | 整数 | 100 | ○ | アクションで返されるレコードの最大数。 |
ユースケース
Microsoft SCCM インスタンスに対して任意のクエリを実行し、Chronicle SOAR でのアラート分析に基づいて必要なデータを取得します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
Host エンティティの戻り値の例。Powershell でリクエストが行われました。
__GENUS : 2
__CLASS : SMS_R_System
__SUPERCLASS : SMS_Resource
__DYNASTY : SMS_BaseClass
__RELPATH : SMS_R_System.ResourceId=16777219
__PROPERTY_COUNT : 77
__DERIVATION : {SMS_Resource, SMS_BaseClass}
__SERVER : SCCM-SCCM
__NAMESPACE : ROOT\SMS\site_SCM
__PATH : \\SCCM-SCCM\ROOT\SMS\site_SCM:SMS_R_System.ResourceId=16777219
AADDeviceID : 00000000-0000-0000-0000-000000000000
AADTenantID : 00000000-0000-0000-0000-000000000000
Active : 1
ADSiteName : Default-First-Site-Name
AgentName : {SMS_AD_SYSTEM_DISCOVERY_AGENT, SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT, MP_ClientRegistration, Heartbeat Discovery}
AgentSite : {SCM, SCM, SCM, SCM}
AgentTime : {20200730230502.000000+***, 20200415051330.000000+***, 20200415055902.000000+***, 20200730231034.000000+***}
AlwaysInternet : 0
AMTFullVersion :
AMTStatus :
Build : 10.0.18363
BuildExt : 10.0.18363.900
Client : 1
ClientEdition : 0
ClientType : 1
ClientVersion : 5.00.8790.1007
CPUType : Intel64 Family 6 Model 63 Stepping 2
CreationDate : 20200415121334.000000+***
Decommissioned : 0
DeviceOwner : 1
DistinguishedName : CN=SCCM-W10,OU=Workstations,OU=SCCM,DC=sccm-lab,DC=local
EASDeviceID :
FullDomainName : SCCM-LAB.LOCAL
HardwareID : 2:39AC2A8E6794B559B4F8D5677EFE804D834DE6FF
InternetEnabled : 0
IPAddresses : {172.30.202.92, fe80::4cca:c991:272d:24c3}
IPSubnets : {172.30.202.0}
IPv6Addresses : {}
IPv6Prefixes : {}
IsAOACCapable : False
IsAssignedToUser : False
IsClientAMT30Compatible :
IsMachineChangesPersisted : True
IsPortableOperatingSystem : False
IsVirtualMachine : True
IsWriteFilterCapable : False
LastLogonTimestamp : 20200731060204.000000+***
LastLogonUserDomain : SCCM-LAB
LastLogonUserName : Administrator
MACAddresses : {00:50:56:A2:D7:A8}
ManagementAuthority : 0
MDMComplianceStatus :
MDMDeviceCategoryID :
Name : SCCM-W10
NetbiosName : SCCM-W10
ObjectGUID : {230, 152, 150, 13...}
Obsolete : 0
OperatingSystemNameandVersion : Microsoft Windows NT Workstation 10.0
OSBranch : 0
PreviousSMSUUID : Unknown
PrimaryGroupID : 515
PublisherDeviceID :
ResourceDomainORWorkgroup : SCCM-LAB
ResourceId : 16777219
ResourceNames : {SCCM-W10.sccm-lab.local}
ResourceType : 5
SecurityGroupName : {SCCM-LAB\Domain Computers}
SerialNumber :
SID : S-1-5-21-3004247314-75612377-2250890222-1104
SMBIOSGUID : 8ABD2242-1FEF-CCCE-12F5-77021D40BE0E
SMSAssignedSites : {SCM}
SMSInstalledSites : {SCM}
SMSResidentSites : {SCM}
SMSUniqueIdentifier : GUID:778CB685-B19A-40CD-9257-E9883A0E4AD3
SMSUUIDChangeDate : 20200701090912.000000+***
SNMPCommunityName :
SuppressAutoProvision :
SystemContainerName : {}
SystemGroupName : {SCCM-LAB\Domain Computers}
SystemOUName : {SCCM-LAB.LOCAL/SCCM, SCCM-LAB.LOCAL/SCCM/WORKSTATIONS}
SystemRoles : {}
Unknown :
UserAccountControl : 4096
VirtualMachineHostName :
VirtualMachineType : 0
WipeStatus :
WTGUniqueKey :
PSComputerName : SCCM-SCCM
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 クエリが成功し、データが取得された場合: "Query executed successfully and returned results" を出力します。 何も見つからない場合: "Query executed successfully, but did not return any results." を出力します。 エラーが発生した場合: "Query didn't complete due to error: {0}".format(exception.stacktrace) を出力します。 クエリ結果が切り捨てられた場合: "Query results exceeded limits and were truncated!" を出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
| Table | テーブル名: WQL クエリ結果 列: クエリ結果に基づいて列を動的に生成します |
一般 |
| 添付ファイル | Run_WQL_query_response.json - には、returned by the action の技術的な JSON データが含まれます。 | 一般 |
| JSON ビューア | クエリ結果の JSON ビューアを表示します。 | 一般 |
スキャン エンドポイント タスクの作成
説明
Microsoft SCCM サーバー上にエンドポイントのスキャン エンドポイント タスクを作成します。スキャンには、フルとクイックの 2 種類があります。このアクションは、Host または IP の Chronicle SOAR エンティティで機能します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Scan Type | DDL | クイック スキャン | ○ | フルスキャンとクイック スキャンのどちらを実行するかを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ\* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 指定されたエンティティの一部またはすべてのタスクが正常に作成された場合: "Scan endpoint task was created for the following entities:\n {0}".format([entity list]) I指定されたエンティティの一部のスキャン エンドポイント タスクを作成できない場合: "Failed to create scan endpoint task for the following entities:\n {0}".format([entity list]) 指定されたすべてのエンティティのタスクを作成できない場合: "Endpoint scan tasks were not created, check the action log for details" アクションが失敗し、Playbook の実行が停止します。 認証情報の誤りや接続の切断などの重大なエラーの場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Microsoft SCCM インスタンスへの接続をテストします。
パラメータ
なし
ユースケース
このアクションは、[Chronicle Marketplace] タブの統合構成ページで接続をテストするために使用され、手動によるアクションとして実行できます。これは、ハンドブックには含まれません。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: "Successfully connected to the Microsoft SCCM instance with the provided connection parameters!". アクションが失敗し、Playbook の実行が停止します。 成功しなかった場合: "Failed to connect to the Microsoft SCCM instance! Error is {0}".format(exception.stacktrace) を出力します。 |
一般 |