Esta página se ha traducido con Cloud Translation API.

MSSQL

En este documento se explica cómo integrar Microsoft SQL Server con Google Security Operations SOAR.

Versión de integración: 14.0

Antes de empezar

En esta sección se explica cómo configurar un agente remoto de Google SecOps (RHEL, CentOS o Docker) para que funcione con SQL Server mediante la autenticación Kerberos.

Configurar un agente remoto de Google SecOps (RHEL o CentOS)

Para configurar un agente remoto de Google SecOps (RHEL o CentOS) para que funcione con SQL Server, completa los siguientes pasos en el shell de Linux del agente remoto:

Añade tus servidores DNS al archivo /etc/resol.conf: #vi /etc/resolv.conf
Instala el paquete krb5 para CentOS 7: #yum install krb5-workstation
Abre el archivo /etc/krb5.conf y añade tu dominio como default_realm con mayúsculas: #vi etc/krb5.conf
Prueba la conexión con Active Directory. Usa un usuario que tenga acceso a la base de datos de SQL Server: #kinit sql_user
Introduce tu contraseña de usuario.
Mostrar la entrada obtenida: #klist
Opcional: Quita el ticket de Kerberos: #kdestroy -A

Para obtener más información sobre cómo crear un agente remoto en CentOS mediante la integración de Microsoft SQL, consulta Crear un agente con el instalador para CentOS.

Configurar un agente remoto de Google SecOps (Docker)

Para configurar un agente remoto de SecOps de Google (Docker) para que funcione con SQL Server, sigue estos pasos en el shell de Linux del agente remoto:

Ejecuta un shell en un contenedor de Docker: docker exec -it siemplify /bin/bash
Añade los servidores DNS de tu dominio al archivo /etc/resol.conf: #vi /etc/resolv.conf
Instala el paquete krb5 para CentOS 7: #yum install krb5-workstation
Abre el archivo /etc/krb5.conf y añade tu dominio como default_realm con mayúsculas: #vi etc/krb5.conf
Obtén un ticket de Kerberos. Usa un usuario que tenga acceso a la base de datos de SQL Server: #kinit sql_user
Escribe tu contraseña de usuario.
Mostrar la entrada obtenida: #klist
Opcional: Quita el ticket de Kerberos: #kdestroy -A

Para obtener más información sobre cómo crear un agente remoto en Docker, consulta Crear un agente con Docker.

Opcional: Instalar herramientas de SQL Server para depurar

Para instalar las herramientas de SQL Server para depurar, sigue estos pasos en la shell de Linux del agente remoto:

Añade el repositorio de Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Instala las herramientas de SQL Server: # yum install mssql-tools unixODBC-devel

Los archivos binarios se instalan en el siguiente directorio: /opt/mssql-tools/bin.
Prueba la conexión a SQL Server: #kinit sql_user
Ejecuta el siguiente comando: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Integrar MSSQL con Google SecOps

La integración requiere los siguientes parámetros:

Parámetros	Descripción
`Server Address`	Obligatorio Dirección de la instancia de SQL Server. El valor predeterminado es `sqlserver.DOMAIN.com`.
`Username`	Optional Nombre de usuario de la instancia de SQL Server.
`Password`	Optional La contraseña del usuario.
`Port`	Optional El puerto que se va a usar en la integración.
`Windows Authentication`	Optional Si se selecciona esta opción, la integración se autentica mediante la autenticación de Windows. No está seleccionada de forma predeterminada.
`Use Kerberos Authentication`	Optional Si se selecciona esta opción, la integración se autentica mediante la autenticación de Kerberos. No está seleccionada de forma predeterminada.
`Kerberos Realm`	Optional Valor del dominio de Kerberos.
`Kerberos Username`	Optional Nombre de usuario para la autenticación de Kerberos.
`Kerberos Password`	Optional La contraseña de la autenticación de Kerberos.
`Verify SSL`	Optional Si se selecciona esta opción, la integración verifica que el certificado SSL de la conexión con SQL Server sea válido. Esta opción está seleccionada de forma predeterminada. Este parámetro solo se aplica al controlador ODBC de Microsoft para SQL Server versión 18. Si el host del servidor de Google SecOps ejecuta versiones anteriores del controlador ODBC, la integración ignora este parámetro.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

La integración de SQL Server incluye las siguientes acciones:

Ping
Ejecutar consulta de SQL

Ping

Usa la acción Ping para probar la conectividad con SQL Server.

Esta acción se ejecuta en todas las entidades.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	No disponible
Resultado de la secuencia de comandos	Disponible

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script	Valor
`is_success`	`True` o `False`

Ejecutar consulta de SQL

Usa la acción Ejecutar consulta SQL para ejecutar consultas SQL.

Esta acción se ejecuta en todas las entidades.

Entradas de acciones

La acción Ejecutar consulta de SQL requiere los siguientes parámetros:

Parámetros Descripción

Parámetros	Descripción
`Database Name`	Obligatorio Nombre de la base de datos en la que se va a ejecutar la consulta.
	Obligatorio Consulta que se va a ejecutar. El valor predeterminado es `SELECT * FROM <>`.

Database Name

Obligatorio

Nombre de la base de datos en la que se va a ejecutar la consulta.

Obligatorio

Consulta que se va a ejecutar.

El valor predeterminado es SELECT * FROM <>.

Resultados de la acción

La acción Ejecutar consulta de SQL proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del panel de casos	No disponible
Enlace del panel de casos	No disponible
Tabla del panel de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	No disponible
Resultado de la secuencia de comandos	Disponible

Resultado de JSON

A continuación, se muestra un ejemplo de la salida del resultado en JSON que se recibe al usar la acción Ejecutar consulta SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Resultado de la secuencia de comandos

En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Ejecutar consulta SQL:

Nombre del resultado del script	Valor
`is_blocked`	`True` o `False`

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.