Diese Seite wurde von der Cloud Translation API übersetzt.

MSSQL

In diesem Dokument finden Sie eine Anleitung zur Integration von Microsoft SQL Server in Google Security Operations SOAR.

Integrationsversion: 14.0

Hinweise

In diesem Abschnitt erfahren Sie, wie Sie einen Google SecOps-Remote-Agent (RHEL, CentOS oder Docker) für die Verwendung mit SQL Server mithilfe der Kerberos-Authentifizierung konfigurieren.

Google SecOps-Remote-Agent konfigurieren (RHEL oder CentOS)

Führen Sie die folgenden Schritte in der Linux-Shell des Remote-Agents aus, um einen Google SecOps-Remote-Agent (RHEL oder CentOS) für die Verwendung mit SQL Server zu konfigurieren:

Fügen Sie Ihre DNS-Server der Datei /etc/resol.conf hinzu: #vi /etc/resolv.conf
Installieren Sie das krb5-Paket für CentOS 7: #yum install krb5-workstation
Öffnen Sie die Datei /etc/krb5.conf und fügen Sie Ihre Domain als default_realm in Großbuchstaben hinzu: #vi etc/krb5.conf
Verbindung mit Active Directory testen Verwenden Sie einen Nutzer, der Zugriff auf die SQL Server-Datenbank hat: #kinit sql_user
Geben Sie Ihr Nutzerpasswort ein.
Zeigen Sie das erhaltene Ticket vor: #klist
Optional: Entfernen Sie das Kerberos-Ticket: #kdestroy -A

Weitere Informationen zum Erstellen eines Remote-Agents unter CentOS mit der Microsoft SQL-Integration finden Sie unter Agent mit Installer für CentOS erstellen.

Google SecOps-Remote-Agent (Docker) konfigurieren

Führen Sie die folgenden Schritte in der Linux-Shell des Remote-Agents aus, um einen Google SecOps-Remote-Agent (Docker) für die Verwendung mit SQL Server zu konfigurieren:

Shell in einem Docker-Container ausführen: docker exec -it siemplify /bin/bash
Fügen Sie die DNS-Server Ihrer Domain der Datei /etc/resol.conf hinzu: #vi /etc/resolv.conf
Installieren Sie das krb5-Paket für CentOS 7: #yum install krb5-workstation
Öffnen Sie die Datei /etc/krb5.conf und fügen Sie Ihre Domain als default_realm in Großbuchstaben hinzu: #vi etc/krb5.conf
Kerberos-Ticket abrufen Verwenden Sie einen Nutzer, der Zugriff auf die SQL Server-Datenbank hat: #kinit sql_user
Geben Sie Ihr Nutzerpasswort ein.
Zeigen Sie das erhaltene Ticket vor: #klist
Optional: Entfernen Sie das Kerberos-Ticket: #kdestroy -A

Weitere Informationen zum Erstellen eines Remote-Agents in Docker finden Sie unter Agent mit Docker erstellen.

Optional: SQL Server-Tools für das Debugging installieren

Führen Sie die folgenden Schritte in der Linux-Shell des Remote-Agents aus, um die SQL Server-Tools für das Debugging zu installieren:

Fügen Sie das Microsoft-Repository hinzu: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
SQL Server-Tools installieren: # yum install mssql-tools unixODBC-devel

Binärdateien werden im folgenden Verzeichnis installiert: /opt/mssql-tools/bin.
Testen Sie die Verbindung zu SQL Server: #kinit sql_user
Führen Sie dazu diesen Befehl aus: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

MSSQL in Google SecOps einbinden

Für die Integration sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Server Address`	Erforderlich Eine Adresse der SQL Server-Instanz. Der Standardwert ist `sqlserver.DOMAIN.com`.
`Username`	Optional Der Nutzername der SQL Server-Instanz.
`Password`	Optional Das Nutzerpasswort.
`Port`	Optional Der Port, der in der Integration verwendet werden soll.
`Windows Authentication`	Optional Wenn diese Option ausgewählt ist, erfolgt die Authentifizierung der Integration über die Windows-Authentifizierung. Diese Option ist standardmäßig nicht ausgewählt.
`Use Kerberos Authentication`	Optional Wenn diese Option ausgewählt ist, erfolgt die Authentifizierung der Integration über die Kerberos-Authentifizierung. Diese Option ist standardmäßig nicht ausgewählt.
`Kerberos Realm`	Optional Der Wert des Kerberos-Bereichs.
`Kerberos Username`	Optional Der Nutzername für die Kerberos-Authentifizierung.
`Kerberos Password`	Optional Das Passwort für die Kerberos-Authentifizierung.
`Verify SSL`	Optional Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum SQL-Server gültig ist. Standardmäßig ausgewählt. Dieser Parameter gilt nur für den Microsoft ODBC-Treiber für SQL Server Version 18. Wenn auf dem Google SecOps-Serverhost ältere ODBC-Treiberversionen ausgeführt werden, wird dieser Parameter von der Integration ignoriert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Sie können bei Bedarf später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Die SQL Server-Integration umfasst die folgenden Aktionen:

Ping
SQL-Abfrage ausführen

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zum SQL-Server zu testen.

Diese Aktion wird für alle Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabemeldungen	Nicht verfügbar
Scriptergebnis	Verfügbar

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

SQL-Abfrage ausführen

Verwenden Sie die Aktion SQL-Abfrage ausführen, um SQL-Abfragen auszuführen.

Diese Aktion wird für alle Elemente ausgeführt.

Aktionseingaben

Für die Aktion SQL-Abfrage ausführen sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Database Name`	Erforderlich Der Name der Datenbank, für die die Abfrage ausgeführt werden soll.
	Erforderlich Die auszuführende Abfrage. Der Standardwert ist `SELECT * FROM <>`.

Database Name

Erforderlich

Der Name der Datenbank, für die die Abfrage ausgeführt werden soll.

Erforderlich

Die auszuführende Abfrage.

Der Standardwert ist SELECT * FROM <>.

Aktionsausgaben

Die Aktion SQL-Abfrage ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle „Fall-Repository“	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabemeldungen	Nicht verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Im Folgenden sehen Sie ein Beispiel für die JSON-Ergebnisausgabe, die bei Verwendung der Aktion SQL-Abfrage ausführen empfangen wird:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion SQL-Abfrage ausführen beschrieben:

Name des Scriptergebnisses	Wert
`is_blocked`	`True` oder `False`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten