WMI
整合版本:7.0
在 Google Security Operations 中設定 WMI 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
安裝 WMI 用戶端
如要執行 WMI 用戶端,請執行下列指令,在 Google Security Operations Linux 伺服器上安裝 WMI 用戶端。 請確認您具備適當權限 (root),可以執行指令。使用遠端代理程式時,請在遠端代理程式伺服器上執行指令。
wget http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
sudo yum localinstall wmi-1.3.14-4.el7.art.x86_64.rpm
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
取得系統資訊
說明
取得系統相關資訊。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 伺服器位址 | 字串 | 不適用 | 是 | 不適用 |
| 使用者名稱 | 字串 | 不適用 | 否 | 不適用 |
| 密碼 | 字串 | 不適用 | 否 | 不適用 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| system_info | True/False | system_info:False |
JSON 結果
{
"NumberOfProcessors": 1,
"MaxProcessMemorySize": "137438953344",
"SystemDrive": "C:",
"WakeUpType": 6,
"ChassisSKUNumber": "Notebook",
"BootROMSupported": true,
"ForegroundApplicationBoost": 2,
"OperatingSystemSKU": 126,
"AdminPasswordStatus": 3,
"SuiteMask": 272,
"InstallDate": "20161205114436.000000+120",
"Distributed": false,
"EncryptionLevel": 256,
"FrontPanelResetStatus": 3,
"Debug": false,
"Organization": "",
"AutomaticManagedPagefile": true,
"PowerSupplyState": 3,
"InfraredSupported": false,
"LargeSystemCache": null,
"CodeSet": "1252",
"FreeSpaceInPagingFiles": "2415000",
"DataExecutionPrevention_32BitApplications": true,
"PrimaryOwnerContact": null,
"KeyboardPasswordStatus": 3,
"BootStatus": [0, 0, 0],
"MaxNumberOfProcesses": -1,
"FreePhysicalMemory": "8962948",
"DataExecutionPrevention_Available": true,
"PCSystemTypeEx": 2,
"CSDVersion": null,
"PartOfDomain": true,
"SystemFamily": "Latitude",
"DomainRole": 1,
"CurrentTimeZone": 120,
"OSType": 18,
"SystemDirectory": "C:\\\\Windows\\\\system32",
"Workgroup": null,
"CountryCode": "1",
"NameFormat": null,
"PAEEnabled": null,
"AutomaticResetCapability": true,
"DataExecutionPrevention_Drivers": true,
"TotalVirtualMemorySize": "18896472",
"NumberOfLicensedUsers": 0,
"DataExecutionPrevention_SupportPolicy": 2,
"TotalSwapSpaceSize": null,
"PowerOnPasswordStatus": 3,
"HypervisorPresent": false,
"SystemStartupSetting": null,
"LocalDateTime": "20180220173653.403000+120",
"SystemDevice": "\\\\Device\\\\HarddiskVolume2",
"PortableOperatingSystem": false,
"Domain": "DOMAIN.COM",
"TotalPhysicalMemory": "16799850496",
"ChassisBootupState": 3,
"SystemType": "x64-based PC",
"DNSHostName": "PC-01",
"EnableDaylightSavingsTime": true,
"PCSystemType": 2,
"PrimaryOwnerName": "Windows User",
"WindowsDirectory": "C:\\\\Windows",
"PowerState": 0,
"ResetCount": -1,
"LastLoadInfo": null,
"ServicePackMinorVersion": 0,
"OEMStringArray": ["Dell System", "1[07A0]", "3[1.0]"],
"BootOptionOnWatchDog": null,
"Status": "OK",
"OSArchitecture": "64-bit",
"SystemStartupOptions": null,
"OSLanguage": 1033,
"InitialLoadInfo": null,
"Manufacturer": "Microsoft Corporation",
"BuildType": "Multiprocessor Free",
"FreeVirtualMemory": "9128168",
"OtherTypeDescription": null,
"OEMLogoBitmap": null,
"ServicePackMajorVersion": 0,
"Version": "10.0.14393",
"ThermalState": 3,
"LastBootUpTime": "20180218183758.487061+120",
"SizeStoredInPagingFiles": "2490368",
"NumberOfProcesses": 133,
"PowerManagementSupported": null,
"CSName": "PC-01",
"SerialNumber": "00378-30000-00003-AA585",
"MUILanguages": ["en-US"],
"SupportContactDescription": null,
"Primary": true,
"SystemStartupDelay": null,
"ResetLimit": -1,
"ProductType": 1,
"RegisteredUser": "Windows User",
"Roles": ["LM_Workstation",
"LM_Server",
"SQLServer"],
"PlusProductID": null,
"ResetCapability": 1,
"SystemSKUNumber": "07A0",
"OSProductSuite": 256,
"PauseAfterReset": "-1",
"NumberOfUsers": 6,
"BootupState": "Normal boot",
"Name": "Microsoft Windows 10 Enterprise N 2016 LTSB|C:\\\\Windows|\\\\Device\\\\Harddisk0\\\\Partition2",
"AutomaticResetBootOption": true,
"Caption": "Microsoft Windows 10 Enterprise N 2016 LTSB",
"TotalVisibleMemorySize": "16406104",
"PowerManagementCapabilities": null,
"Model": "Latitude 7480",
"PlusVersionNumber": null,
"Description": "",
"NetworkServerModeEnabled": true,
"NumberOfLogicalProcessors": 4,
"BootOptionOnLimit": null,
"Locale": "0409",
"CSCreationClassName": "Win32_ComputerSystem",
"UserName": "DOMAIN\\\\User",
"BuildNumber": "14393",
"DaylightInEffect": false,
"CreationClassName": "Win32_OperatingSystem",
"BootDevice": "\\\\Device\\\\HarddiskVolume1"
}
可列出服務
說明
取得系統上安裝的服務清單。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 伺服器位址 | 字串 | 不適用 | 是 | 不適用 |
| 使用者名稱 | 字串 | 不適用 | 否 | 不適用 |
| 密碼 | 字串 | 不適用 | 否 | 不適用 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 服務 | True/False | services:False |
JSON 結果
[
{
"DisplayName": "Adobe Flash Player Update Service",
"ServiceSpecificExitCode": 0,
"State": "Stopped",
"SystemName": "PC-01",
"ErrorControl": "Normal",
"Status": "OK",
"ProcessId": 0,
"DesktopInteract": false,
"Started": false,
"AcceptStop": false,
"CheckPoint": 0,
"PathName": "C:\\\\Windows\\\\SysWOW64\\\\Macromed\\\\Flash\\\\FlashPlayerUpdateService.exe",
"WaitHint": 0,
"Name": "AdobeFlashPlayerUpdateSvc",
"InstallDate": null,
"Caption": "Adobe Flash Player Update Service",
"StartMode": "Manual",
"Description": "This service keeps your Adobe Flash Player installation up to date with the latest enhancements and security fixes.",
"ServiceType": "Own Process",
"TagId": 0,
"DelayedAutoStart": false,
"StartName": "LocalSystem",
"AcceptPause": false,
"CreationClassName": "Win32_Service",
"SystemCreationClassName": "Win32_ComputerSystem",
"ExitCode": 0
}
]
將使用者列入清單
說明
列出系統上設定的所有使用者。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 伺服器位址 | 字串 | 不適用 | 是 | 不適用 |
| 使用者名稱 | 字串 | 不適用 | 否 | 不適用 |
| 密碼 | 字串 | 不適用 | 否 | 使用者的全名。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 使用者 | 不適用 | 不適用 |
JSON 結果
[
{
"Status": "Degraded",
"Domain": "PC-01",
"Description": "Built-in account for administering the computer/domain",
"InstallDate": null,
"Caption": "PC-01\\\\Administrator",
"Disabled": true,
"PasswordChangeable": true,
"Lockout": false,
"AccountType": 512,
"SID": "S-1-5-21-3501119061-1410835827-1917537121-500",
"LocalAccount": true,
"FullName": "",
"SIDType": 1,
"PasswordRequired": true,
"PasswordExpires": false,
"Name": "Administrator"
}
]
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 結果
N/A
執行查詢
說明
在系統上使用 WQL 執行任意查詢。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 伺服器位址 | 字串 | 不適用 | 是 | 不適用 |
| 使用者名稱 | 字串 | 不適用 | 否 | 不適用 |
| 密碼 | 字串 | 不適用 | 否 | 不適用 |
| WQL 查詢 | 字串 | 不適用 | 是 | 查詢內容(例如:SELECT Caption, Description FROM Win32_LogicalDisk WHERE DriveType <> 3)。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 結果 | True/False | results:False |
JSON 結果
[
{
"Caption": "C:",
"Description": "Local Fixed Disk",
"DeviceID": "C:"
},
{
"Caption": "I:",
"Description": "Local Fixed Disk",
"DeviceID": "I:"
}
]
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。