MSSQL

Ce document explique comment intégrer Microsoft SQL Server à Google Security Operations SOAR.

Version de l'intégration : 14.0

Avant de commencer

Cette section vous aide à configurer un agent distant Google SecOps (RHEL, CentOS ou Docker) pour qu'il fonctionne avec SQL Server à l'aide de l'authentification Kerberos.

Configurer un agent distant Google SecOps (RHEL ou CentOS)

Pour configurer un agent distant Google SecOps (RHEL ou CentOS) afin qu'il fonctionne avec SQL Server, procédez comme suit dans le shell Linux de l'agent distant :

  1. Ajoutez vos serveurs DNS au fichier /etc/resol.conf : #vi /etc/resolv.conf

  2. Installez le package krb5 pour CentOS 7 : #yum install krb5-workstation

  3. Ouvrez le fichier /etc/krb5.conf et ajoutez votre domaine en tant que default_realm en majuscules : #vi etc/krb5.conf

  4. Testez la connexion avec Active Directory. Utilisez un utilisateur ayant accès à la base de données SQL Server : #kinit sql_user.

  5. Saisissez votre mot de passe utilisateur.

  6. Affichez le billet obtenu : #klist

  7. Facultatif : Supprimez le ticket Kerberos : #kdestroy -A

Pour savoir comment créer un agent à distance sur CentOS à l'aide de l'intégration Microsoft SQL, consultez Créer un agent avec le programme d'installation pour CentOS.

Configurer un agent distant Google SecOps (Docker)

Pour configurer un agent distant Google SecOps (Docker) afin qu'il fonctionne avec SQL Server, procédez comme suit dans le shell Linux de l'agent distant :

  1. Exécutez une interface système dans un conteneur Docker : docker exec -it siemplify /bin/bash

  2. Ajoutez les serveurs DNS de votre domaine au fichier /etc/resol.conf : #vi /etc/resolv.conf

  3. Installez le package krb5 pour CentOS 7 : #yum install krb5-workstation

  4. Ouvrez le fichier /etc/krb5.conf et ajoutez votre domaine en tant que default_realm en majuscules : #vi etc/krb5.conf

  5. Obtenez un ticket Kerberos. Utilisez un utilisateur ayant accès à la base de données SQL Server : #kinit sql_user

  6. Saisissez votre mot de passe utilisateur.

  7. Affichez le billet obtenu : #klist

  8. Facultatif : Supprimez le ticket Kerberos : #kdestroy -A

Pour en savoir plus sur la création d'un agent à distance sur Docker, consultez Créer un agent avec Docker.

Facultatif : Installez les outils SQL Server pour le débogage

Pour installer les outils SQL Server pour le débogage, procédez comme suit dans le shell Linux de l'agent distant :

  1. Ajoutez le dépôt Microsoft : # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo

  2. Installez les outils SQL Server : # yum install mssql-tools unixODBC-devel

    Les binaires sont installés dans le répertoire suivant : /opt/mssql-tools/bin.

  3. Testez la connexion à SQL Server : #kinit sql_user

  4. Exécutez la commande suivante : /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Intégrer MSSQL à Google SecOps

L'intégration nécessite les paramètres suivants :

Paramètres Description
Server Address Obligatoire

Adresse de l'instance SQL Server.

La valeur par défaut est sqlserver.DOMAIN.com.

Username Optional

Nom d'utilisateur de l'instance SQL Server.

Password Optional

Mot de passe de l'utilisateur.

Port Optional

Port à utiliser dans l'intégration.

Windows Authentication Optional

Si cette option est sélectionnée, l'intégration s'authentifie à l'aide de l'authentification Windows.

(non sélectionnée par défaut).

Use Kerberos Authentication Optional

Si cette option est sélectionnée, l'intégration s'authentifie à l'aide de l'authentification Kerberos.

(non sélectionnée par défaut).

Kerberos Realm Optional

Valeur du domaine Kerberos.

Kerberos Username Optional

Nom d'utilisateur pour l'authentification Kerberos.

Kerberos Password Optional

Mot de passe pour l'authentification Kerberos.

Verify SSL Optional

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur SQL est valide.

Cette option est sélectionnée par défaut.

Ce paramètre ne s'applique qu'au pilote Microsoft ODBC pour SQL Server version 18. Si l'hôte du serveur Google SecOps exécute des versions antérieures du pilote ODBC, l'intégration ignore ce paramètre.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

L'intégration SQL Server inclut les actions suivantes :

Ping

Utilisez l'action Ping pour tester la connectivité à SQL Server.

Cette action s'exécute sur toutes les entités.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Non disponible
Résultat du script Disponible
Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Exécuter une requête SQL

Utilisez l'action Exécuter une requête SQL pour exécuter des requêtes SQL.

Cette action s'exécute sur toutes les entités.

Entrées d'action

L'action Exécuter une requête SQL nécessite les paramètres suivants :

Paramètres Description
Database Name Obligatoire

Nom de la base de données sur laquelle exécuter la requête.

Obligatoire

Requête à exécuter.

La valeur par défaut est SELECT * FROM <>.

Sorties d'action

L'action Exécuter une requête SQL fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Non disponible
Résultat du script Disponible
Résultat JSON

Vous trouverez ci-dessous un exemple de résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête SQL :

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]
Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Exécuter une requête SQL :

Nom du résultat du script Valeur
is_blocked True ou False

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.