WMI
統合バージョン: 7.0
Google Security Operations で WMI 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
WMI クライアントをインストールする
WMI クライアントを実行するには、次のコマンドを実行して、Google Security Operations Linux サーバーに WMI クライアントをインストールします。コマンドを実行する適切な権限(root)があることを確認します。リモート エージェントを使用する場合は、リモート エージェント サーバーでコマンドを実行します。
wget http://www6.atomicorp.com/channels/atomic/centos/7/x86_64/RPMS/wmi-1.3.14-4.el7.art.x86_64.rpm
sudo yum localinstall wmi-1.3.14-4.el7.art.x86_64.rpm
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
システム情報を取得する
説明
システムに関する情報を取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サーバー アドレス | 文字列 | なし | ○ | なし |
| ユーザー名 | 文字列 | なし | いいえ | なし |
| パスワード | 文字列 | なし | いいえ | なし |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| system_info | True/False | system_info:False |
JSON の結果
{
"NumberOfProcessors": 1,
"MaxProcessMemorySize": "137438953344",
"SystemDrive": "C:",
"WakeUpType": 6,
"ChassisSKUNumber": "Notebook",
"BootROMSupported": true,
"ForegroundApplicationBoost": 2,
"OperatingSystemSKU": 126,
"AdminPasswordStatus": 3,
"SuiteMask": 272,
"InstallDate": "20161205114436.000000+120",
"Distributed": false,
"EncryptionLevel": 256,
"FrontPanelResetStatus": 3,
"Debug": false,
"Organization": "",
"AutomaticManagedPagefile": true,
"PowerSupplyState": 3,
"InfraredSupported": false,
"LargeSystemCache": null,
"CodeSet": "1252",
"FreeSpaceInPagingFiles": "2415000",
"DataExecutionPrevention_32BitApplications": true,
"PrimaryOwnerContact": null,
"KeyboardPasswordStatus": 3,
"BootStatus": [0, 0, 0],
"MaxNumberOfProcesses": -1,
"FreePhysicalMemory": "8962948",
"DataExecutionPrevention_Available": true,
"PCSystemTypeEx": 2,
"CSDVersion": null,
"PartOfDomain": true,
"SystemFamily": "Latitude",
"DomainRole": 1,
"CurrentTimeZone": 120,
"OSType": 18,
"SystemDirectory": "C:\\\\Windows\\\\system32",
"Workgroup": null,
"CountryCode": "1",
"NameFormat": null,
"PAEEnabled": null,
"AutomaticResetCapability": true,
"DataExecutionPrevention_Drivers": true,
"TotalVirtualMemorySize": "18896472",
"NumberOfLicensedUsers": 0,
"DataExecutionPrevention_SupportPolicy": 2,
"TotalSwapSpaceSize": null,
"PowerOnPasswordStatus": 3,
"HypervisorPresent": false,
"SystemStartupSetting": null,
"LocalDateTime": "20180220173653.403000+120",
"SystemDevice": "\\\\Device\\\\HarddiskVolume2",
"PortableOperatingSystem": false,
"Domain": "DOMAIN.COM",
"TotalPhysicalMemory": "16799850496",
"ChassisBootupState": 3,
"SystemType": "x64-based PC",
"DNSHostName": "PC-01",
"EnableDaylightSavingsTime": true,
"PCSystemType": 2,
"PrimaryOwnerName": "Windows User",
"WindowsDirectory": "C:\\\\Windows",
"PowerState": 0,
"ResetCount": -1,
"LastLoadInfo": null,
"ServicePackMinorVersion": 0,
"OEMStringArray": ["Dell System", "1[07A0]", "3[1.0]"],
"BootOptionOnWatchDog": null,
"Status": "OK",
"OSArchitecture": "64-bit",
"SystemStartupOptions": null,
"OSLanguage": 1033,
"InitialLoadInfo": null,
"Manufacturer": "Microsoft Corporation",
"BuildType": "Multiprocessor Free",
"FreeVirtualMemory": "9128168",
"OtherTypeDescription": null,
"OEMLogoBitmap": null,
"ServicePackMajorVersion": 0,
"Version": "10.0.14393",
"ThermalState": 3,
"LastBootUpTime": "20180218183758.487061+120",
"SizeStoredInPagingFiles": "2490368",
"NumberOfProcesses": 133,
"PowerManagementSupported": null,
"CSName": "PC-01",
"SerialNumber": "00378-30000-00003-AA585",
"MUILanguages": ["en-US"],
"SupportContactDescription": null,
"Primary": true,
"SystemStartupDelay": null,
"ResetLimit": -1,
"ProductType": 1,
"RegisteredUser": "Windows User",
"Roles": ["LM_Workstation",
"LM_Server",
"SQLServer"],
"PlusProductID": null,
"ResetCapability": 1,
"SystemSKUNumber": "07A0",
"OSProductSuite": 256,
"PauseAfterReset": "-1",
"NumberOfUsers": 6,
"BootupState": "Normal boot",
"Name": "Microsoft Windows 10 Enterprise N 2016 LTSB|C:\\\\Windows|\\\\Device\\\\Harddisk0\\\\Partition2",
"AutomaticResetBootOption": true,
"Caption": "Microsoft Windows 10 Enterprise N 2016 LTSB",
"TotalVisibleMemorySize": "16406104",
"PowerManagementCapabilities": null,
"Model": "Latitude 7480",
"PlusVersionNumber": null,
"Description": "",
"NetworkServerModeEnabled": true,
"NumberOfLogicalProcessors": 4,
"BootOptionOnLimit": null,
"Locale": "0409",
"CSCreationClassName": "Win32_ComputerSystem",
"UserName": "DOMAIN\\\\User",
"BuildNumber": "14393",
"DaylightInEffect": false,
"CreationClassName": "Win32_OperatingSystem",
"BootDevice": "\\\\Device\\\\HarddiskVolume1"
}
サービスの一覧表示
説明
システムにインストールされているサービスのリストを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サーバー アドレス | 文字列 | なし | ○ | なし |
| ユーザー名 | 文字列 | なし | いいえ | なし |
| パスワード | 文字列 | なし | いいえ | なし |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| サービス | True/False | サービス:False |
JSON の結果
[
{
"DisplayName": "Adobe Flash Player Update Service",
"ServiceSpecificExitCode": 0,
"State": "Stopped",
"SystemName": "PC-01",
"ErrorControl": "Normal",
"Status": "OK",
"ProcessId": 0,
"DesktopInteract": false,
"Started": false,
"AcceptStop": false,
"CheckPoint": 0,
"PathName": "C:\\\\Windows\\\\SysWOW64\\\\Macromed\\\\Flash\\\\FlashPlayerUpdateService.exe",
"WaitHint": 0,
"Name": "AdobeFlashPlayerUpdateSvc",
"InstallDate": null,
"Caption": "Adobe Flash Player Update Service",
"StartMode": "Manual",
"Description": "This service keeps your Adobe Flash Player installation up to date with the latest enhancements and security fixes.",
"ServiceType": "Own Process",
"TagId": 0,
"DelayedAutoStart": false,
"StartName": "LocalSystem",
"AcceptPause": false,
"CreationClassName": "Win32_Service",
"SystemCreationClassName": "Win32_ComputerSystem",
"ExitCode": 0
}
]
ユーザーの一覧表示
説明
システムで構成されているすべてのユーザーを一覧表示します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サーバー アドレス | 文字列 | なし | ○ | なし |
| ユーザー名 | 文字列 | なし | いいえ | なし |
| パスワード | 文字列 | なし | いいえ | ユーザーの氏名。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| ユーザー | なし | なし |
JSON の結果
[
{
"Status": "Degraded",
"Domain": "PC-01",
"Description": "Built-in account for administering the computer/domain",
"InstallDate": null,
"Caption": "PC-01\\\\Administrator",
"Disabled": true,
"PasswordChangeable": true,
"Lockout": false,
"AccountType": 512,
"SID": "S-1-5-21-3501119061-1410835827-1917537121-500",
"LocalAccount": true,
"FullName": "",
"SIDType": 1,
"PasswordRequired": true,
"PasswordExpires": false,
"Name": "Administrator"
}
]
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON の結果
N/A
クエリを実行
説明
システムで WQL を使用して任意のクエリを実行します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サーバー アドレス | 文字列 | なし | ○ | なし |
| ユーザー名 | 文字列 | なし | いいえ | なし |
| パスワード | 文字列 | なし | いいえ | なし |
| WQL クエリ | 文字列 | なし | はい | クエリの内容(例: SELECT Caption, Description FROM Win32_LogicalDisk WHERE DriveType <> 3)。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 結果 | True/False | results:False |
JSON の結果
[
{
"Caption": "C:",
"Description": "Local Fixed Disk",
"DeviceID": "C:"
},
{
"Caption": "I:",
"Description": "Local Fixed Disk",
"DeviceID": "I:"
}
]
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。