Se usó la API de Cloud Translation para traducir esta página.

MSSQL

En este documento, se proporciona orientación para integrar Microsoft SQL Server con Google Security Operations SOAR.

Versión de integración: 14.0

Antes de comenzar

En esta sección, se te ayuda a configurar un agente remoto de Google SecOps (RHEL, CentOS o Docker) para que funcione con SQL Server a través de la autenticación de Kerberos.

Configura un agente remoto de Google SecOps (RHEL o CentOS)

Para configurar un agente remoto de Google SecOps (RHEL o CentOS) para que funcione con SQL Server, completa los siguientes pasos en el shell de Linux del agente remoto:

Agrega tus servidores DNS al archivo /etc/resol.conf: #vi /etc/resolv.conf
Instala el paquete krb5 para CentOS 7: #yum install krb5-workstation
Abre el archivo /etc/krb5.conf y agrega tu dominio como default_realm con letras mayúsculas: #vi etc/krb5.conf
Probar la conexión con Active Directory Usa un usuario que tenga acceso a la base de datos de SQL Server: #kinit sql_user
Ingresa tu contraseña de usuario.
Muestra el ticket obtenido: #klist
Opcional: Quita el ticket de Kerberos: #kdestroy -A

Para obtener más información sobre cómo crear un agente remoto en CentOS con la integración de Microsoft SQL, consulta Crea un agente con el instalador para CentOS.

Configura un agente remoto de Google SecOps (Docker)

Para configurar un agente remoto de Google SecOps (Docker) para que funcione con SQL Server, completa los siguientes pasos en el shell de Linux del agente remoto:

Ejecuta una shell en un contenedor de Docker: docker exec -it siemplify /bin/bash
Agrega los servidores DNS de tu dominio al archivo /etc/resol.conf: #vi /etc/resolv.conf
Instala el paquete krb5 para CentOS 7: #yum install krb5-workstation
Abre el archivo /etc/krb5.conf y agrega tu dominio como default_realm con mayúsculas: #vi etc/krb5.conf
Obtén un ticket de Kerberos. Usa un usuario que tenga acceso a la base de datos de SQL Server: #kinit sql_user
Ingresa tu contraseña de usuario.
Muestra el ticket obtenido: #klist
Opcional: Quita el ticket de Kerberos: #kdestroy -A

Para obtener más información sobre cómo crear un agente remoto en Docker, consulta Crea un agente con Docker.

Opcional: Instala herramientas de SQL Server para la depuración

Para instalar las herramientas de SQL Server para la depuración, completa los siguientes pasos en el shell de Linux del agente remoto:

Agrega el repositorio de Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Instala las herramientas de SQL Server: # yum install mssql-tools unixODBC-devel

Los archivos binarios se instalan en el siguiente directorio: /opt/mssql-tools/bin.
Prueba la conexión a SQL Server: #kinit sql_user
Ejecuta el siguiente comando: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Integra MSSQL con Google SecOps

La integración requiere los siguientes parámetros:

Parámetros	Descripción
`Server Address`	Obligatorio Es la dirección de la instancia de SQL Server. El valor predeterminado es `sqlserver.DOMAIN.com`.
`Username`	Optional Es el nombre de usuario de la instancia de SQL Server.
`Password`	Optional Es la contraseña del usuario.
`Port`	Optional Es el puerto que se usará en la integración.
`Windows Authentication`	Optional Si se selecciona, la integración se autentica con la autenticación de Windows. No está seleccionada de forma predeterminada.
`Use Kerberos Authentication`	Optional Si se selecciona esta opción, la integración se autentica con la autenticación de Kerberos. No está seleccionada de forma predeterminada.
`Kerberos Realm`	Optional Es el valor del dominio de Kerberos.
`Kerberos Username`	Optional Nombre de usuario para la autenticación de Kerberos.
`Kerberos Password`	Optional Es la contraseña para la autenticación de Kerberos.
`Verify SSL`	Optional Si se selecciona, la integración verifica que el certificado SSL para la conexión con SQL Server sea válido. Esta opción se selecciona de forma predeterminada. Este parámetro solo se aplica al controlador ODBC de Microsoft para SQL Server versión 18. Si el host del servidor de SecOps de Google ejecuta versiones anteriores del controlador ODBC, la integración ignora este parámetro.

Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes realizar cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

La integración de SQL Server incluye las siguientes acciones:

Ping
Ejecutar consulta de SQL

Ping

Usa la acción Ping para probar la conectividad con SQL Server.

Esta acción se ejecuta en todas las entidades.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ejecutar consulta de SQL

Usa la acción Ejecutar consulta de SQL para ejecutar consultas de SQL.

Esta acción se ejecuta en todas las entidades.

Entradas de acción

La acción Ejecutar consulta en SQL requiere los siguientes parámetros:

Parámetros Descripción

Parámetros	Descripción
`Database Name`	Obligatorio Nombre de la base de datos en la que se ejecutará la consulta.
	Obligatorio Es la consulta que se ejecutará. El valor predeterminado es `SELECT * FROM <>`.

Database Name

Obligatorio

Nombre de la base de datos en la que se ejecutará la consulta.

Obligatorio

Es la consulta que se ejecutará.

El valor predeterminado es SELECT * FROM <>.

Resultados de la acción

La acción Ejecutar consulta en SQL proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	No disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

A continuación, se muestra un ejemplo del resultado JSON que se recibe cuando se usa la acción Ejecutar consulta SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Ejecutar consulta SQL:

Nombre del resultado de la secuencia de comandos	Valor
`is_blocked`	`True` o `False`

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.