Google Workspace を Google SecOps と統合する
このドキュメントでは、Google Workspace を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 19.0
ユースケース
Google Workspace と Google SecOps を統合すると、次のユースケースを解決できます。
- ユーザーのオフボーディングとアカウントのセキュリティ: Google SecOps の機能を使用して、Google Workspace へのアクセス権の取り消し、アカウントの停止、オフボーディングされたユーザーのメールを別の従業員に転送するワークフローをトリガーします。
始める前に
Google SecOps で Google Workspace 統合を構成する前に、次の前提条件の手順を完了します。
- サービス アカウントを作成します。
- ドメイン全体の権限をサービス アカウントに委任する。
- プロジェクトで Admin SDK API を有効にします。
- 認証方法を選択する:
- JSON キー
- Workload Identity
サービス アカウントを作成する
サービス アカウントを作成するには、次の操作を行います。
Google Cloud コンソールで、[認証情報] ページに移動します。
[認証情報を作成] メニューから [サービス アカウント] を選択します。
[サービス アカウントの詳細] で、[サービス アカウント名] フィールドに名前を入力します。
省略可: サービス アカウント ID を編集します。
[作成して続行] をクリックします。[権限] 画面が表示されます。
[続行] をクリックします。[アクセス権を持つプリンシパル] 画面が表示されます。
[完了] をクリックします。
ドメイン全体の権限をサービス アカウントに委任する
- ドメインの Google 管理コンソールから、 メインメニュー > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
- [ドメイン全体の委任] ペインで、[ドメイン全体の委任を管理] を選択します。
- [新しく追加] をクリックします。
- [クライアント ID] フィールドに、前のサービス アカウントの作成手順で取得したクライアント ID を入力します。
[OAuth スコープ] フィールドに、アプリケーションに必要なスコープのカンマ区切りリストを入力します。
https://mail.google.com/, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.group.member, https://www.googleapis.com/auth/admin.directory.customer.readonly, https://www.googleapis.com/auth/admin.directory.domain.readonly, https://www.googleapis.com/auth/admin.directory.group, https://www.googleapis.com/auth/admin.directory.orgunit, https://www.googleapis.com/auth/admin.directory.user.alias, https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly, https://www.googleapis.com/auth/apps.groups.settings, https://www.googleapis.com/auth/admin.directory.user.security[承認] をクリックします。
プロジェクトで Admin SDK API を有効にする
Google Cloud コンソールで、[API とサービス] に移動します。
[有効な API とサービス] をクリックします。
プロジェクトで Admin SDK API を有効にします。
認証方法を選択します。
Workload Identity は、本質的に安全性が高いため、推奨される認証方法です。オプションの違いは次のとおりです。
JSON キー: この方法は静的で有効期間の長いシークレットに依存しているため、侵害されると永続的なセキュリティ リスクが生じます。
Workload Identity: この方法では、有効期間の短い一時的なアクセス トークンを使用するため、シークレットを保存する必要がなくなり、セキュリティ体制が大幅に向上します。
JSON キーを構成する
JSON キーを作成する手順は次のとおりです。
- サービス アカウントを選択して、[キー] に移動します。
- [鍵を追加] をクリックします。
- [新しい鍵を作成] を選択します。
- キーのタイプは、JSON を選択し、[作成] をクリックします。[秘密鍵がパソコンに保存されました] ダイアログが表示され、秘密鍵のコピーがパソコンにダウンロードされます。
統合用のカスタムロールを作成する
- Google 管理コンソールで、[アカウント] > [管理者ロール] に移動します。
- [新しいロールを作成] をクリックします。
- 新しいカスタムロールの名前を指定して、[続行] をクリックします。
- [権限の選択] ページで、[Admin API] 権限セクションに移動します。
[Admin API 権限] で、次の権限を選択します。
- 組織部門
- ユーザー
- グループ
[続行] をクリックします。
新しいカスタムロールを作成するには、[ロールを作成] をクリックします。
カスタムの役割をユーザーに割り当てる
- 新しいユーザーを作成するには、[ディレクトリ> ユーザー] ページに移動します。
- サービス アカウントに関連付けられた新しいユーザーを追加します。
- 新しく作成したユーザーの設定を開きます。ユーザー アカウントのタブが開きます。
- [管理者ロールと権限] をクリックします。
- [編集] 編集をクリックします。
- 作成したカスタムロールを選択します。
- 選択したロールの切り替えを [割り当て済み] に切り替えます。
Workload Identity の認証情報を構成する
Workload Identity 認証情報の設定には、次の 2 つの重要な手順が必要です。
認証トークンを作成するために必要な Google Cloud IAM ロールをサービス アカウントに付与します。
サービス アカウントの権限を借用する権限を Google SecOps インスタンスに付与します。
サービス アカウントに Google Cloud IAM ロールを付与する
Workload Identity を有効にするには、サービス アカウントに認証トークンを作成するために必要な Service Account Token Creator IAM 権限が必要です。
このセクションでは、サービス アカウントがすでに作成されていることを前提としています。
サービス アカウントの作成方法については、サービス アカウントを作成するをご覧ください。作成時にアクセス権限またはプリンシパルを設定する必要があります。
Google Cloud コンソールで、[API とサービス > 認証情報] に移動します。
[サービス アカウント] で、サービス アカウントを選択し、[権限> アクセスの管理] をクリックします。
[追加] [ロールを追加] をクリックし、
Service Account Token Creator(roles/iam.serviceAccountTokenCreator)ロールを選択します。[保存] をクリックします。
Google SecOps インスタンスに権限借用権限を付与する
Workload Identity を使用するには、Google SecOps インスタンスにサービス アカウントの権限借用を許可する必要があります。これは、インスタンスが Google Cloud リソースに安全にアクセスできるようにする最後のステップです。
Google SecOps で、[Marketplace] > [レスポンス統合] に移動します。
構成する統合を選択し、[
Workload Identity Email] フィールドにサービス アカウントのメールアドレスを入力します。統合でユーザーを偽装するメールアドレスを
Delegated Emailフィールドに入力します。[保存] > [テスト] をクリックします。テストは失敗することが想定されます。
[テスト] の右にある close_small をクリックし、エラー メッセージで
gke-init-python@YOUR_PROJECT を検索します。Google SecOps インスタンスを識別するこの一意のメールアドレスをコピーします。[サービス アカウント] に移動し、プロジェクトとサービス アカウントを選択します。
[アクセス権を持つプリンシパル] > [追加] [アクセス権を付与] を選択します。
[プリンシパルを追加] に、コピーした値を貼り付けます。
[ロールを追加] で、
Service Account Token Creator(roles/iam.serviceAccountTokenCreator)ロールを選択します。
統合のパラメータ
Google Workspace との統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Verify SSL |
省略可。 選択すると、Google Workspace に接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
User's Service Account JSON |
省略可。 サービス アカウント キーの JSON ファイルの内容。 このパラメータまたは このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を指定します。 |
Delegated Email |
必須。 統合で使用するメールアドレス。 |
Workload Identity Email |
省略可。 サービス アカウントのクライアント メールアドレス。 このパラメータまたは Workload Identity 連携を使用してサービス アカウントの権限を借用するには、サービス アカウントに |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスを構成してサポートする方法の詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、Your Workdesk から保留中のアクションに対応すると手動アクションを実行するをご覧ください。
グループにメンバーを追加
Add Members To Group アクションを使用して、ユーザーをグループに追加します。
このアクションは User エンティティに対して実行されます。
グループにメンバーを追加アクションは、次のユースケースを解決します。
- オンボーディングとオフボーディングの自動化。
- 一時的なアクセス権を付与してインシデントに対応します。
- 動的なプロジェクト コラボレーション。
アクション入力
[Add Members To Group] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Address |
必須。 新しいメンバーを追加するグループのメールアドレス。 |
User Email Addresses |
省略可。 グループに追加するユーザーのカンマ区切りのリスト。 このアクションは、このパラメータに構成した値を |
アクションの出力
[グループにメンバーを追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Add Members To Group] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
拡張機能をブロックする
[拡張機能をブロック] アクションを使用して、組織部門で指定された Chrome 拡張機能をブロックします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[拡張機能をブロック] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Organization Unit Name |
必須。 拡張機能をブロックする組織部門の名前。 |
Extension ID |
必須。 ブロックする拡張機能の ID。 |
アクションの出力
[拡張機能をブロック] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[拡張機能をブロック] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
[
{
"targetKey": {
"targetResource": "orgunits/example-org-unit-id",
"additionalTargetKeys": {
"app_id": "chrome:exampleextensionid"
}
},
"value": {
"policySchema": "chrome.users.apps.InstallType",
"value": {
"appInstallType": "BLOCKED"
}
},
"sourceKey": {
"targetResource": "orgunits/example-org-unit-id"
},
"addedSourceKey": {
"targetResource": "orgunits/example-org-unit-id"
}
}
]
出力メッセージ
拡張機能をブロック アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Block Extension". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、拡張機能をブロック アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グループを作成
Google Workspace グループ管理者は、[グループを作成] アクションを使用して、Google 管理コンソール、Groups API、または Google Cloud Directory Sync で組織のグループを作成できます。
ビジネス向け Google グループを使用している場合は、Google グループで組織のグループを作成することもできます。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
グループを作成アクションは、次のユースケースで使用できます。
- インシデント対応チームを作成します。
- フィッシング キャンペーンを封じ込めます。
- 新しいユーザーとユーザー グループをオンボーディングします。
- プロジェクトでコラボレーションする。
- 機密データのアクセス制御を構成します。
アクション入力
[グループを作成] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Email Address |
必須。 新しいグループのメールアドレス。 |
Name |
省略可。 新しいグループの名前。 |
Description |
省略可。 新しいグループの説明。 |
アクションの出力
[グループを作成] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、グループを作成アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"kind":"admin#directory#group",
"id":"ID",
"etag":"TAG/var>",
"email":"user@example.com",
"name":"example",
"description":"",
"adminCreated":"True"
}
]
スクリプトの結果
次の表に、グループの作成アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
OU の作成
[組織部門の作成] アクションを使用して、新しい組織部門(OU)を作成します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
OU の作成アクションを使用すると、次のユースケースを解決できます。
- 新しい部門をオンボーディングします。
- 侵害されたアカウントを隔離します。
- データ所在地の地理的ベースのポリシーを実装します。
アクション入力
[組織部門を作成] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Customer ID |
必須。 お客様の Google Workspace アカウントの一意の ID。 アカウント |
Name |
省略可。 新しい OU の名前。 |
Description |
省略可。 新しい OU の説明。 |
Parent OU Path |
必須。 新しい OU の親 OU のフルパス。 |
アクションの出力
[OU を作成] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、組織部門の作成アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"kind":"admin#directory#orgUnit",
"etag":"TAG",
"name":"example",
"orgUnitPath":"/example_folder",
"orgUnitId":"id:ID",
"parentOrgUnitPath":"/",
"parentOrgUnitId":"id:ID"
}
]
スクリプトの結果
次の表に、OU の作成アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザーを作成
[ユーザーを作成] アクションを使用して、新しいユーザーを作成します。
Google Workspace アカウントにユーザーを追加する場合は、会社ドメインのメールアドレスと、Google Workspace サービスにアクセスする際に使用できるアカウントをユーザーに提供します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
ユーザーの作成アクションを使用すると、次のユースケースを解決できます。
- 新規ユーザーのオンボーディングを自動化します。
- 契約社員に一時的なアクセス権を付与します。
- インシデント対応にサンドボックスを使用する。
アクション入力
[Create User] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Given Name |
必須。 ユーザーの名。 |
Family Name |
必須。 ユーザーの姓。 |
Password |
必須。 新しいユーザーのパスワード。 |
Email Address |
必須。 ユーザーのメインのメールアドレス。 |
Phone |
省略可。 ユーザーの電話番号。 |
Gender |
省略可。 ユーザーの性別。 有効な値は、 |
Department |
省略可。 ユーザーの所属部門の名前。 |
Organization |
省略可。 ユーザーの組織の名前。 |
Change Password At Next Login |
省略可。 選択すると、ユーザーは次回ログイン時にパスワードを変更する必要があります。 デフォルトでは選択されていません。 |
アクションの出力
[ユーザーを作成] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、ユーザーの作成アクションを使用した場合に受信する JSON 結果の出力について説明しています。
[
{
"kind":"admin#directory#user",
"id":"ID",
"etag":"TAG",
"primaryEmail":"example@example.com",
"name":{
"givenName":"FIRST_NAME",
"familyName":"LAST_NAME"
},
"isAdmin":"False",
"isDelegatedAdmin":"False",
"creationTime":"2020-12-22T13:44:29.000Z",
"organizations":[
{
"name":"ExampleOrganization"
}
],
"phones":[
{
"value":"(800) 555‑0175"
}
],
"gender":{
"type":"male"
},
"customerId":"ID",
"orgUnitPath":"/",
"isMailboxSetup":"False"
}
]
スクリプトの結果
次の表に、ユーザーの作成アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
拡張機能を削除する
[拡張機能を削除] アクションを使用して、指定した Chrome 拡張機能を組織部門から削除します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[拡張機能を削除] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Organization Unit Name |
必須。 拡張機能を削除する組織部門の名前。 |
Extension ID |
必須。 削除する拡張機能の ID。 |
アクションの出力
[拡張機能を削除] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[拡張機能を削除] アクションを使用したときに受信した JSON 結果の出力を示しています。
[
{
"deleted_extensions": ["chrome:exampleextensionid"]
}
]
出力メッセージ
[拡張機能を削除] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Delete Extension". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[拡張機能を削除] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グループを削除
Google Workspace ディレクトリ グループを削除するには、[グループを削除] アクションを使用します。
このアクションは Google SecOps エンティティに対しては実行されません。
[グループを削除] アクションを使用すると、次のユースケースを解決できます。
- ユーザーのオフボーディングを自動化する。
- セキュリティ インシデントを修復します。
- 古いグループのクリーンアップを実行します。
アクション入力
[Delete Group] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Address |
必須。 削除するグループのメールアドレス。 |
アクションの出力
[グループを削除] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[グループを削除] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the Google Workspace! Error is
ERROR_DESCRIPTION |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[グループを削除] アクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
組織部門を削除する
組織部門を削除するには、[Delete OU] アクションを使用します。
ユーザー、デバイス、子組織が存在する場合は、その組織を削除できません。組織を削除する前に、ユーザーやデバイスを他の組織に移動し、子組織を削除してください。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
OU の削除アクションを使用すると、次のユースケースを解決できます。
- ユーザーのオフボーディングを自動化する。
- セキュリティ インシデントを修復します。
- プロジェクト リソースを管理し、プロジェクトのクリーンアップを実行します。
アクション入力
[OU を削除] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Customer ID |
必須。 お客様の Google Workspace アカウントの一意の ID。 アカウント |
OU Path |
必須。 組織部門へのフルパス。 組織部門がルート(/)パスの下にある場合は、パスなしで組織部門名を入力します。 |
アクションの出力
[Delete OU] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、OU を削除アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザーを削除
ユーザー アカウントを削除するには、[Delete User] アクションを使用します。
ユーザーを削除すると、そのユーザーは組織の Google Workspace サービスにアクセスしたり、使用したりできなくなります。
ユーザーを削除アクションを使用すると、次のユースケースを解決できます。
- 退職する従業員をオフボーディングします。
- 不正使用されたアカウントを修復します。
- 一時アカウントのクリーンアップを自動化します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
[Delete User] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Email Address |
必須。 削除するユーザーのメールアドレス。 |
アクションの出力
[Delete User] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[ユーザーを削除] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティの拡充
エンティティの拡充アクションを使用して、Google Workspace の情報で Google SecOps エンティティを拡充します。
このアクションは User エンティティに対して実行されます。
エンティティの拡充アクションを使用すると、次のユースケースを解決できます。
- ユーザーを調査します。
- フィッシング メールを分析します。
- データの引き出しの試みを調査します。
- マルウェアを検出します。
アクション入力
なし
アクションの出力
[エンティティを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充
エンティティの拡充アクションは、次のエンティティの拡充をサポートしています。
| 拡充フィールド名 | 拡充ロジック |
|---|---|
Phones |
JSON の結果に存在する場合に返す。 |
isDelegatedAdmin |
JSON の結果に存在する場合に返す。 |
suspended |
JSON の結果に存在する場合に返す。 |
id |
JSON の結果に存在する場合に返す。 |
nonEditableAliases |
JSON の結果に存在する場合に返す。 |
archived |
JSON の結果に存在する場合に返す。 |
isEnrolledIn2Sv |
JSON の結果に存在する場合に返す。 |
includeInGlobalAddressList |
JSON の結果に存在する場合に返す。 |
Relations |
JSON の結果に存在する場合に返す。 |
isAdmin |
JSON の結果に存在する場合に返す。 |
etag |
JSON の結果に存在する場合に返す。 |
lastLoginTime |
JSON の結果に存在する場合に返す。 |
orgUnitPath |
JSON の結果に存在する場合に返す。 |
agreedToTerms |
JSON の結果に存在する場合に返す。 |
externalIds |
JSON の結果に存在する場合に返す。 |
ipWhitelisted |
JSON の結果に存在する場合に返す。 |
kind |
JSON の結果に存在する場合に返す。 |
isEnforcedIn2Sv |
JSON の結果に存在する場合に返す。 |
isMailboxSetup |
JSON の結果に存在する場合に返す。 |
emails |
JSON の結果に存在する場合に返す。 |
organizations |
JSON の結果に存在する場合に返す。 |
primaryEmail |
JSON の結果に存在する場合に返す。 |
name |
JSON の結果に存在する場合に返す。 |
gender |
JSON の結果に存在する場合に返す。 |
creationTime |
JSON の結果に存在する場合に返す。 |
changePasswordAtNextLogin |
JSON の結果に存在する場合に返す。 |
customerId |
JSON の結果に存在する場合に返す。 |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信する JSON 結果の出力について説明しています。
[{
"Phones":
[{
"customType": "",
"type": "custom",
"value": "(800) 555‑0175"
}],
"isDelegatedAdmin": false,
"suspended": false,
"id": "ID",
"nonEditableAliases": ["user@example.com"],
"archived": false,
"isEnrolledIn2Sv": true,
"includeInGlobalAddressList": true,
"Relations":
[{
"type": "manager",
"value": "user@example.com"
}],
"isAdmin": false,
"etag": "E_TAG_VALUE",
"lastLoginTime": "2019-02-11T12:24:41.000Z",
"orgUnitPath": "/OU-1",
"agreedToTerms": true,
"externalIds": [{"type": "organization",
"value": ""}],
"ipWhitelisted": false,
"kind": "admin#directory#user",
"isEnforcedIn2Sv": true,
"isMailboxSetup": true,
"emails":
[{
"primary": true,
"address": "user@example.com"
},
{
"address": "user@example.com"
}],
"organizations":
[{
"department": "R&D",
"customType": "", "name": "Company"
}],
"primaryEmail": "user@example.com",
"name":
{
"fullName": "NAME SURNAME",
"givenName": "NAME",
"familyName": "SURNAME"
},
"gender": {"type": "male"},
"creationTime": "2017-10-26T06:57:13.000Z",
"changePasswordAtNextLogin": false,
"customerId": "CUSTOMER_ID"
}]
スクリプトの結果
次の表に、エンティティの拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
拡張機能の詳細を取得する
拡張機能の詳細を取得アクションを使用して、指定した Chrome 拡張機能に関する情報を取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Get Extension Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Extension ID |
必須。 拡充する拡張機能 ID のカンマ区切りのリスト。 |
Max Requesting Users To Return |
必須。 拡張機能のインストールをリクエストしたユーザーの最大数。 最大値は |
Max Requesting Devices To Return |
必須。 拡張機能のインストールがリクエストされたデバイスの最大数。 最大値は |
アクションの出力
[拡張機能の詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、拡張機能の詳細を取得アクションを使用したときに受信した JSON 結果の出力を示しています。
[
{
"Entity": "Example Extension Name",
"EntityResult": {
"name": "customers/example-customer-id/apps/chrome/exampleextensionid",
"displayName": "Example Extension Name",
"description": "A description for an example extension.",
"appId": "exampleextensionid",
"revisionId": "11.3.0.0",
"type": "CHROME",
"iconUri": "https://lh3.googleusercontent.com/KxYKwMcAzhn_DBMVIb0mtvIOsAME2d8-csv5d_vnKYX6PL3D6BGbVy3hH68ky8nM9yTDGAPl6B77pA7tpu4_jeUkXw",
"detailUri": "https://chromewebstore.google.com/detail/exampleextensionid",
"firstPublishTime": "2011-12-14T06:57:01.918Z",
"latestPublishTime": "2025-07-01T02:05:04.252Z",
"publisher": "example-publisher",
"reviewNumber": "5423",
"reviewRating": 4,
"chromeAppInfo": {
"supportEnabled": true,
"minUserCount": 3000000,
"permissions": [
{
"type": "offscreen"
},
{
"type": "scripting",
"documentationUri": "https://developer.chrome.com/docs/extensions/reference/scripting/",
"accessUserData": false
},
{
"type": "storage",
"documentationUri": "https://developer.chrome.com/docs/extensions/reference/storage/",
"accessUserData": false
},
{
"type": "tabs",
"documentationUri": "https://developer.chrome.com/docs/extensions/reference/tabs#type-Tab",
"accessUserData": true
}
],
"siteAccess": [
{
"hostMatch": "https://*/*"
},
{
"hostMatch": "http://*/*"
}
],
"isTheme": false,
"googleOwned": true,
"isCwsHosted": true,
"kioskEnabled": false,
"isKioskOnly": false,
"type": "EXTENSION",
"isExtensionPolicySupported": false,
"manifestVersion": "3",
"requestingUserDetails": [
{
"email": "user@example.com",
"justification": "Example justification for the request."
}
],
"requestingDeviceDetails": [
{
"device": "example-device-id",
"justification": "Example justification for the request."
}
]
}
}
}
]
出力メッセージ
[Get Extension Details] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Extension Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、拡張機能の詳細を取得アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グループの詳細を取得する
グループの詳細を取得アクションを使用して、Google Workspace のグループに関する情報を取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Get Group Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Addresses |
必須。 調査するグループメールのカンマ区切りのリスト。 |
アクションの出力
[グループの詳細を取得] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[グループの詳細を取得] アクションを使用したときに受信される JSON 結果の出力を示しています。
{
"Entity": "group@example.com",
"EntityResult": {
"kind": "groupsSettings#groups",
"email": "group@example.com",
"name": "GROUP_NAME",
"description": "DESCRIPTION",
"whoCanJoin": "CAN_REQUEST_TO_JOIN",
"whoCanViewMembership": "ALL_MEMBERS_CAN_VIEW",
"whoCanViewGroup": "ALL_MEMBERS_CAN_VIEW",
"whoCanInvite": "ALL_MANAGERS_CAN_INVITE",
"whoCanAdd": "ALL_MANAGERS_CAN_ADD",
"allowExternalMembers": "false",
"whoCanPostMessage": "ANYONE_CAN_POST",
"allowWebPosting": "true",
"primaryLanguage": "en_US",
"maxMessageBytes": 26214400,
"isArchived": "false",
"archiveOnly": "false",
"messageModerationLevel": "MODERATE_NONE",
"spamModerationLevel": "MODERATE",
"replyTo": "REPLY_TO_IGNORE",
"includeCustomFooter": "false",
"customFooterText": "",
"sendMessageDenyNotification": "false",
"defaultMessageDenyNotificationText": "",
"showInGroupDirectory": "true",
"allowGoogleCommunication": "false",
"membersCanPostAsTheGroup": "false",
"messageDisplayFont": "DEFAULT_FONT",
"includeInGlobalAddressList": "true",
"whoCanLeaveGroup": "ALL_MEMBERS_CAN_LEAVE",
"whoCanContactOwner": "ANYONE_CAN_CONTACT",
"whoCanAddReferences": "NONE",
"whoCanAssignTopics": "NONE",
"whoCanUnassignTopic": "NONE",
"whoCanTakeTopics": "NONE",
"whoCanMarkDuplicate": "NONE",
"whoCanMarkNoResponseNeeded": "NONE",
"whoCanMarkFavoriteReplyOnAnyTopic": "NONE",
"whoCanMarkFavoriteReplyOnOwnTopic": "NONE",
"whoCanUnmarkFavoriteReplyOnAnyTopic": "NONE",
"whoCanEnterFreeFormTags": "NONE",
"whoCanModifyTagsAndCategories": "NONE",
"favoriteRepliesOnTop": "true",
"whoCanApproveMembers": "ALL_MANAGERS_CAN_APPROVE",
"whoCanBanUsers": "OWNERS_AND_MANAGERS",
"whoCanModifyMembers": "OWNERS_AND_MANAGERS",
"whoCanApproveMessages": "OWNERS_AND_MANAGERS",
"whoCanDeleteAnyPost": "OWNERS_AND_MANAGERS",
"whoCanDeleteTopics": "OWNERS_AND_MANAGERS",
"whoCanLockTopics": "OWNERS_AND_MANAGERS",
"whoCanMoveTopicsIn": "OWNERS_AND_MANAGERS",
"whoCanMoveTopicsOut": "OWNERS_AND_MANAGERS",
"whoCanPostAnnouncements": "OWNERS_AND_MANAGERS",
"whoCanHideAbuse": "NONE",
"whoCanMakeTopicsSticky": "NONE",
"whoCanModerateMembers": "OWNERS_AND_MANAGERS",
"whoCanModerateContent": "OWNERS_AND_MANAGERS",
"whoCanAssistContent": "NONE",
"customRolesEnabledForSettingsToBeMerged": "false",
"enableCollaborativeInbox": "false",
"whoCanDiscoverGroup": "ALL_IN_DOMAIN_CAN_DISCOVER",
"defaultSender": "DEFAULT_SELF"
}
}
出力メッセージ
[Get Group Details] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Group Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グループの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ホスト ブラウザの詳細を取得する
ホスト ブラウザの詳細を取得アクションを使用して、指定された Google SecOps Hostname エンティティに関連付けられているブラウザに関する情報を取得します。
このアクションは Google SecOps の Hostname エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Get Host Browser Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Get Host Browser Details] アクションを使用した場合に受信される JSON 結果の出力です。
{
"Entity": "example.host.com",
"EntityResult": [
{
"deviceId": "example-device-id",
"kind": "admin#directory#browserdevice",
"lastPolicyFetchTime": "2025-07-25T12:11:17.546Z",
"osPlatform": "Linux",
"osArchitecture": "x86_64",
"osVersion": "6.12.27-1rodete1-amd64",
"machineName": "example.host.com",
"lastRegistrationTime": "2025-07-07T07:45:20.504Z",
"extensionCount": "15",
"policyCount": "23",
"lastDeviceUser": "example-user",
"lastActivityTime": "2025-07-26T12:13:55.385Z",
"osPlatformVersion": "Linux 6.12.27-1rodete1-amd64",
"browserVersions": [
"140.0.7259.2 (Dev)"
],
"lastStatusReportTime": "2025-07-26T07:46:00.919Z",
"lastDeviceUsers": [
{
"userName": "example-user",
"lastStatusReportTime": "2025-07-26T07:46:00.919Z"
}
],
"machinePolicies": [
{
"source": "MACHINE_LEVEL_USER_CLOUD",
"name": "CloudReportingEnabled",
"value": "true"
}
],
"browsers": [
{
"browserVersion": "140.0.7259.2",
"channel": "DEV",
"lastStatusReportTime": "2025-07-26T07:46:00.919Z",
"executablePath": "/opt/google/chrome-unstable",
"profiles": [
{
"name": "Example User Profile",
"id": "/home/example_user/.config/google-chrome/Default",
"lastStatusReportTime": "2025-07-26T07:46:00.919Z",
"lastPolicyFetchTime": "2025-07-25T12:11:17.546Z",
"chromeSignedInUserEmail": "user@example.com",
"extensions": [
{
"extensionId": "exampleextensionid",
"version": "2.0.6",
"permissions": [
"alarms",
"contextMenus",
"management",
"storage",
"https://accounts.google.com/*",
"https://appengine.google.com/*",
"https://example.com/*",
"https://example.org/*",
"https://example-api.com/*",
"https://docs.example.com/*",
"https://internal.example.net/*",
"https://partners.example.com/*",
"https://www.google.com/*"
],
],
"name": "Example Extension",
"description": "This is a description for an example extension.",
"appType": "EXTENSION",
"homepageUrl": "https://chromewebstore.google.com/detail/exampleextensionid",
"installType": "ADMIN",
"manifestVersion": 3
}
],
"userPolicies": [
{
"source": "USER_CLOUD",
"name": "CloudProfileReportingEnabled",
"value": "true"
}
]
}
],
"pendingInstallVersion": "140.0.7312.0"
}
],
"virtualDeviceId": "example-virtual-device-id",
"orgUnitPath": "/",
"deviceIdentifiersHistory": {
"records": [
{
"identifiers": {
"machineName": "example.host.com"
},
"firstRecordTime": "2025-06-03T08:06:33.895Z",
"lastActivityTime": "2025-07-26T07:46:01.325Z"
}
]
}
}
]
}
出力メッセージ
[Get Host Browser Details] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Host Browser Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Get Host Browser Details アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グループ メンバーの一覧表示
グループ メンバーを一覧表示アクションを使用して、Google Workspace グループのメンバーを一覧表示します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
グループ メンバーのリストを取得アクションを使用すると、次のユースケースを解決できます。
- ユーザーのオンボーディングとオフボーディングを自動化します。
- セキュリティ監査を実施する。
- インシデントに対応します。
- 動的リソース アクセスをサポートします。
アクション入力
[グループ メンバーを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Address |
必須。 グループのメールアドレス。 |
Include Derived Membership |
省略可。 選択すると、グループ内のユーザーの間接的なメンバーシップが一覧表示されます。 デフォルトで選択されています。 |
アクションの出力
[List Group Members] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、グループ メンバーを一覧表示アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"status": "ACTIVE",
"kind": "admin#directory#member",
"email": "user1@example.com",
"etag": "E_TAG_VALUE",
"role": "MEMBER",
"type": "USER",
"id": "ID"
},{
"status": "ACTIVE",
"kind": "admin#directory#member",
"email": "user2@example.com",
"etag": "E_TAG_VALUE",
"role": "MEMBER",
"type": "USER", "id": "ID"
}
スクリプトの結果
次の表に、List Group Members アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
members |
True または False |
グループ権限の一覧表示
グループの権限を一覧表示アクションを使用して、Google Workspace グループに関連するロールと権限を一覧表示します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[List Group Privileges] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Addresses |
省略可。 検査するグループのカンマ区切りのリスト。 |
Check Roles |
省略可。 グループに関連するロールのカンマ区切りのリスト。 |
Check Privileges |
省略可。 グループに関連する権限のカンマ区切りのリスト。 このパラメータを使用するには、権限を拡張パラメータを選択する必要があります。ロールを確認パラメータを構成した場合、アクションは、指定したロールの権限のみを確認します。 |
Expand Privileges |
省略可。 選択すると、アクションはグループに関連するすべての固有の権限に関する情報を返します。 |
Max Roles To Return |
必須。 グループに関連付けられているロールの最大数。 デフォルト値は |
Max Privileges To Return |
必須。 グループに関連する権限のうち、返される権限の最大数。 デフォルト値は |
アクションの出力
List Group Privileges アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、グループ権限のリスト アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"Entity": "user@example.com",
"EntityResult": {
"roles": [
"Role1",
"_GROUPS_EDITOR_ROLE",
"example-role"
],
"unique_privileges": [
"VIEW_SITE_DETAILS",
"ACCESS_EMAIL_LOG_SEARCH",
"ACCESS_ADMIN_QUARANTINE",
"ACCESS_RESTRICTED_QUARANTINE",
"ADMIN_QUALITY_DASHBOARD_ACCESS",
"MANAGE_DLP_RULE",
"DASHBOARD_ACCESS",
"MANAGE_GSC_RULE",
"VIEW_GSC_RULE",
"SECURITY_HEALTH_DASHBOARD_ACCESS",
"SIT_CALENDAR_VIEW_METADATA",
"SIT_CHAT_VIEW_METADATA",
"SIT_CHROME_VIEW_METADATA",
"SIT_DEVICE_UPDATE_DELETE",
"SIT_DEVICE_VIEW_METADATA",
"SIT_DRIVE_UPDATE_DELETE"
]
}
}
出力メッセージ
グループ権限のリスト アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List Group Privileges". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グループ権限のリスト アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
アカウントの OU を一覧表示する
アカウントの組織部門を一覧表示アクションを使用して、アカウントの組織部門を一覧表示します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アカウントの OU を一覧表示アクションを使用すると、次のユースケースを解決できます。
- ユーザーのオフボーディングを自動化します。
- 対象を絞ったセキュリティ監査を実施する。
- グループ メンバーシップの管理を自動化します。
- ユーザー プロビジョニングを効率化します。
- コンプライアンス レポートと監査を自動化します。
統合の入力
[List OU of Account] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Customer ID |
必須。 顧客の Google Workspace アカウントの一意の ID。 アカウントの |
Organization Unit Path |
省略可。 返す組織部門のパス。 デフォルト値は |
Max Organization Units |
必須。 返す組織部門の最大数。 最大値は デフォルト値は |
アクションの出力
[List OU of Account] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、アカウントの組織部門を一覧表示アクションを使用した場合に受信する JSON 結果の出力を示しています。
[{
"kind": "admin#directory#orgUnit",
"parentOrgUnitPath": "/",
"name": "OU-1",
"etag": "E_TAG_VALUE",
"orgUnitPath": "/OU-1",
"parentOrgUnitId": "id:1455",
"blockInheritance": false,
"orgUnitId": "id:123",
"description": ""
}]
スクリプトの結果
次の表に、List OU of Account アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
organizational_units |
True または False |
ユーザー権限の一覧表示
ユーザー権限のリスト アクションを使用して、Google Workspace でユーザーに関連するロールと権限を一覧表示します。
このアクションは Google SecOps の User エンティティに対して実行されます。
アクション入力
[List User Privileges] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
User Email Addresses |
省略可。 調査するユーザーのカンマ区切りのリスト。 このアクションは、このパラメータに構成した値を |
Check Roles |
省略可。 ユーザーに関連するロールのカンマ区切りのリスト。 |
Check Privileges |
省略可。 ユーザーに関連する権限のカンマ区切りリスト。 このパラメータを使用するには、権限を拡張パラメータを選択する必要があります。ロールを確認パラメータを構成した場合、アクションは、指定したロールの権限のみを確認します。 |
Include Inherited Roles |
省略可。 選択すると、グループから継承されたユーザーロールも返されます。 |
Expand Privileges |
省略可。 選択すると、ユーザーに関連するすべての固有の権限に関する情報が返されます。 |
Max Roles To Return |
必須。 ユーザーに関連するロールの最大数。 デフォルト値は |
Max Privileges To Return |
必須。 ユーザーに関連する権限のうち、返される権限の最大数。 デフォルト値は |
アクションの出力
[ユーザー権限を一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、ユーザー権限のリスト アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"Entity": "user@example.com",
"EntityResult": {
"roles": [
"Role1",
"_GROUPS_EDITOR_ROLE",
"example-role"
],
"unique_privileges": [
"VIEW_SITE_DETAILS",
"ACCESS_EMAIL_LOG_SEARCH",
"ACCESS_ADMIN_QUARANTINE",
"ACCESS_RESTRICTED_QUARANTINE",
"ADMIN_QUALITY_DASHBOARD_ACCESS",
"MANAGE_DLP_RULE",
"DASHBOARD_ACCESS",
"MANAGE_GSC_RULE",
"VIEW_GSC_RULE",
"SECURITY_HEALTH_DASHBOARD_ACCESS",
"SIT_CALENDAR_VIEW_METADATA",
"SIT_CHAT_VIEW_METADATA",
"SIT_CHROME_VIEW_METADATA",
"SIT_DEVICE_UPDATE_DELETE",
"SIT_DEVICE_VIEW_METADATA",
"SIT_DRIVE_UPDATE_DELETE"
]
}
}
出力メッセージ
[ユーザー権限を一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "List User Privileges". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、List User Privileges アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザーの一覧表示
ユーザーを一覧表示アクションを使用して、アカウントに存在するユーザーを一覧表示します。
このアクションは Google SecOps エンティティに対しては実行されません。
ユーザーを一覧表示アクションを使用すると、次のユースケースを解決できます。
- 不正使用された可能性のあるアカウントを特定します。
- オフボーディング プロセスを自動化します。
- ユーザーのアクセス権限を監査して管理する
- 不審なアクティビティを調査します。
- ユーザー ライセンスとリソースを管理します。
アクション入力
[ユーザーを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Customer ID |
省略可。 顧客の Google Workspace アカウントの一意の ID。 このパラメータ値を指定しない場合、アクションは |
Domain |
省略可。 ユーザーを検索するドメイン。 |
Manager Email |
省略可。 ユーザーのマネージャーのメールアドレス。 |
Return Only Admin Accounts? |
省略可。 選択すると、アクションは管理者アカウントのみを返します。 デフォルトでは選択されていません。 |
Return Only Delegated Admin Accounts? |
省略可。 選択すると、委任された管理者アカウントのみが返されます。 デフォルトでは選択されていません。 |
Return Only Suspended Users? |
省略可。 選択すると、アクションは一時停止されたアカウントのみを返します。 デフォルトでは選択されていません。 |
Org Unit Path |
省略可。 ユーザーを取得する組織部門のフルパス。このパスは、ターゲット ユニットの下にリストされているすべての組織部門チェーンと一致します。 |
Department |
省略可。 ユーザーを取得する組織内の部門。 |
Record Limit |
省略可。 アクションで返されるデータレコードの最大数。 デフォルト値は |
Custom Query Parameter |
省略可。 リストユーザーの検索呼び出しに追加するカスタム クエリ パラメータ( このパラメータは、 |
Return only users without 2fa? |
省略可。 選択すると、2 段階認証プロセス(2FA)が有効になっていないユーザーのみが返されます。 デフォルトでは選択されていません。 |
Email Addresses |
省略可。 検索するメールアドレスのカンマ区切りリスト。 このパラメータを構成する場合は、 このパラメータを構成すると、アクションは |
アクションの出力
[ユーザーを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
[List Users] アクションを実行すると、ケースウォールに次の表が表示されます。
テーブル名: Google G Suite Users
テーブルの列:
- ID
- メール
- 名
- Family Name
- 管理者?
- 委任された管理者?
- 作成時間
- Last Login Time
- 一時停止中?
- アーカイブ済み?
- 次回ログイン時にパスワードを変更しますか?
- お客様 ID
- 組織部門のパス
- メールボックスは設定されていますか?
- 再設定用のメールアドレス
JSON の結果
次の例は、ユーザーを一覧表示アクションを使用した場合に受信する JSON 結果の出力について説明しています。
{
"kind": "admin#directory#users",
"etag": "E_TAG_VALUE",
"users": [
{
"kind": "admin#directory#user",
"id": "ID",
"etag": "E_TAG_VALUE",
"primaryEmail": "user@example.com",
"name": {
"givenName": "NAME",
"familyName": "SURNAME",
"fullName": "NAME SURNAME"
},
"isAdmin": true,
"isDelegatedAdmin": false,
"lastLoginTime": "2020-12-22T06:40:34.000Z",
"creationTime": "2020-07-22T09:23:28.000Z",
"agreedToTerms": true,
"suspended": false,
"archived": false,
"changePasswordAtNextLogin": false,
"ipWhitelisted": false,
"emails": [
{
"address": "user@example.com",
"primary": true
},
{
"address": "user@example.com"
}
],
"nonEditableAliases": [
"user@example.com"
],
"customerId": "CUSTOMER_ID",
"orgUnitPath": "/Management",
"isMailboxSetup": true,
"isEnrolledIn2Sv": false,
"isEnforcedIn2Sv": false,
"includeInGlobalAddressList": true,
"recoveryEmail": "email@example.com"
}
]
}
出力メッセージ
[ユーザーを一覧表示] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the Google Workspace! Error is
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ユーザーを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、Google Workspace への接続をテストします。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グループからメンバーを削除する
グループからメンバーを削除アクションを使用して、Google Workspace グループからメンバーを削除します。
このアクションは Google SecOps の User エンティティに対して実行されます。
ユーザーを一覧表示アクションを使用すると、次のユースケースを解決できます。
- ユーザーのオフボーディングを自動化します。
- 動的グループの管理を実行します。
- アクセス制御の問題を修復します。
アクション入力
[Remove Members From Group] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Group Email Address |
必須。 メンバーを削除するグループのメールアドレス。 |
User Email Addresses |
省略可。 グループから削除するユーザーのカンマ区切りのリスト。 このアクションは、このパラメータに構成した値を |
アクションの出力
[Remove Members From Group] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[Remove Members From Group] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザー セッションを取り消す
[Revoke User Sessions] アクションを使用して、ユーザーのウェブ セッションとデバイス セッションを取り消し、Google Workspace でログイン Cookie をリセットします。
このアクションは Google SecOps の User エンティティに対して実行されます。
アクション入力
[ユーザー セッションを取り消す] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
User Email Addresses |
省略可。 ログアウトするユーザーのカンマ区切りのリスト。このアクションは、このパラメータの値を Google SecOps |
アクションの出力
[ユーザー セッションを取り消す] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[ユーザー セッションを取り消す] アクションを使用したときに受信した JSON 結果の出力を示しています。
[
{
"Entity": "ENTITY_ID",
"EntityResult": {
"Status": "done"
}
}
]
出力メッセージ
[Revoke User Sessions] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Revoke User Sessions". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[ユーザー セッションを取り消す] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザー アクティビティ イベントを検索する
ユーザー アクティビティ イベントを検索アクションを使用して、指定された Google SecOps User エンティティのアプリケーションからアクティビティ イベントを取得します。
このアクションは Google SecOps の User エンティティに対して実行されます。
アクション入力
[Search User Activity Events] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
User Email Addresses |
省略可。 処理する追加のユーザー メールアドレスのカンマ区切りリスト。 このアクションは、このリスト内のすべてのユーザーと |
Application Names |
必須。 アクティビティ イベントをクエリするアプリケーションのリスト。 サポートされているアプリケーションの完全なリストについては、ApplicationName のドキュメントをご覧ください。 |
Event Type Filter |
省略可。 取得するイベントタイプのカンマ区切りのリスト。 |
Time Frame |
省略可。 アクティビティ検索の期間。 値は次のいずれかになります。
デフォルト値は |
Start Time |
省略可。 アクティビティ検索の期間の開始。
値を ISO 8601 形式で構成します。 |
End Time |
省略可。 アクティビティ検索の期間の終了日時。
値を ISO 8601 形式で構成します。 |
Max Events To Return |
必須。 ユーザーごとに返されるイベントの最大数。 このアクションでは、ユーザーごと、アプリごとに最大 デフォルト値は 最大値は |
アクションの出力
[Search User Activity Events] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Search User Activity Events] アクションを使用したときに受信した JSON 結果の出力です。
{
"Entity": "user@example.com",
"EntityResult": [
{
"applicationName": "login",
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
},
{
"applicationName": "token",
"type": "auth",
"name": "authorize",
"parameters": [
{
"name": "client_id",
"value": "example-client-id.apps.googleusercontent.com"
},
{
"name": "app_name",
"value": "Google Chrome"
},
{
"name": "client_type",
"value": "NATIVE_DESKTOP"
},
{
"name": "scope_data",
"multiMessageValue": [
{
"parameter": [
{
"name": "scope_name",
"value": "https://www.google.com/accounts/OAuthLogin"
},
{
"name": "product_bucket",
"multiValue": [
"IDENTITY"
]
}
]
}
]
},
{
"name": "scope",
"multiValue": [
"https://www.google.com/accounts/OAuthLogin"
]
}
]
}
]
}
出力メッセージ
[Search User Activity Events] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
|
アクションが成功しました。 |
Error executing action "Search User Activity Events". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ユーザー アクティビティ イベントを検索アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
組織部門を更新する
組織部門(OU)を更新するには、[組織部門を更新] アクションを使用します。
このアクションは、すべての Google SecOps エンティティに対して実行されます。
OU の更新アクションを使用すると、次のユースケースを解決できます。
- セキュリティ グループを管理する。
- ユーザーのオンボーディングとオフボーディングを自動化する。
- データ分離ポリシーを実装します。
アクション入力
[組織部門を更新] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Customer ID |
必須。 顧客の Google Workspace アカウントの一意の ID。 アカウントの |
Name |
省略可。 OU の名前。 |
Description |
省略可。 組織部門の説明。 |
OU Path |
必須。 OU へのフルパス。 組織部門がルートパス |
アクションの出力
[OU を更新] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| スクリプトの結果 | 利用可能 |
スクリプトの結果
次の表に、[OU を更新] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ユーザーを更新
ユーザーを更新アクションを使用して、Google Workspace ディレクトリのユーザーを更新します。
このアクションは Google SecOps エンティティに対しては実行されません。
ユーザーを更新アクションを使用すると、次のユースケースを解決できます。
- 侵害されたアカウントを無効にします。
- 不審なアクティビティが検出されたら、パスワードの再設定を強制します。
- 従業員の転勤が完了したら、部門情報を更新します。
- 無効なアカウントを停止します。
アクション入力
[Update User] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Email Address |
必須。 更新するユーザーを特定するために使用されるメインのメールアドレスのカンマ区切りのリスト。 |
Given Name |
省略可。 ユーザーの名。 |
Family Name |
省略可。 ユーザーの姓。 |
Password |
省略可。 新しいユーザーのパスワード。 |
Phone |
省略可。 ユーザーの電話番号。 このアクションは、 |
Gender |
省略可。 ユーザーの性別。 有効な値は、 |
Department |
省略可。 ユーザーの所属部門の名前。 |
Organization |
省略可。 ユーザーの組織の名前。 |
Change Password At Next Login |
省略可。 選択すると、ユーザーは次回ログイン時にパスワードを変更する必要があります。 デフォルトでは選択されていません。 |
User Status |
省略可。 更新するユーザー ステータス。 デフォルトでは、このアクションはユーザーのステータスを変更しません。 使用できる値は次のとおりです。
|
アクションの出力
[Update User] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[ユーザーを更新] アクションでは、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Update User". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ユーザーを更新アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。