MSSQL
Ce document explique comment intégrer Microsoft SQL Server à Google Security Operations SOAR.
Version de l'intégration : 14.0
Avant de commencer
Cette section vous aide à configurer un agent distant Google SecOps (RHEL, CentOS ou Docker) pour qu'il fonctionne avec SQL Server à l'aide de l'authentification Kerberos.
Configurer un agent distant Google SecOps (RHEL ou CentOS)
Pour configurer un agent distant Google SecOps (RHEL ou CentOS) afin qu'il fonctionne avec SQL Server, procédez comme suit dans le shell Linux de l'agent distant :
Ajoutez vos serveurs DNS au fichier
/etc/resol.conf
:#vi /etc/resolv.conf
Installez le package krb5 pour CentOS 7 :
#yum install krb5-workstation
Ouvrez le fichier
/etc/krb5.conf
et ajoutez votre domaine en tant quedefault_realm
en majuscules :#vi etc/krb5.conf
Testez la connexion avec Active Directory. Utilisez un utilisateur ayant accès à la base de données SQL Server :
#kinit sql_user
.Saisissez votre mot de passe utilisateur.
Affichez le billet obtenu :
#klist
Facultatif : Supprimez le ticket Kerberos :
#kdestroy -A
Pour savoir comment créer un agent à distance sur CentOS à l'aide de l'intégration Microsoft SQL, consultez Créer un agent avec le programme d'installation pour CentOS.
Configurer un agent distant Google SecOps (Docker)
Pour configurer un agent distant Google SecOps (Docker) afin qu'il fonctionne avec SQL Server, procédez comme suit dans le shell Linux de l'agent distant :
Exécutez une interface système dans un conteneur Docker :
docker exec -it siemplify /bin/bash
Ajoutez les serveurs DNS de votre domaine au fichier
/etc/resol.conf
:#vi /etc/resolv.conf
Installez le package krb5 pour CentOS 7 :
#yum install krb5-workstation
Ouvrez le fichier
/etc/krb5.conf
et ajoutez votre domaine en tant quedefault_realm
en majuscules :#vi etc/krb5.conf
Obtenez un ticket Kerberos. Utilisez un utilisateur ayant accès à la base de données SQL Server :
#kinit sql_user
Saisissez votre mot de passe utilisateur.
Affichez le billet obtenu :
#klist
Facultatif : Supprimez le ticket Kerberos :
#kdestroy -A
Pour en savoir plus sur la création d'un agent à distance sur Docker, consultez Créer un agent avec Docker.
Facultatif : Installez les outils SQL Server pour le débogage
Pour installer les outils SQL Server pour le débogage, procédez comme suit dans le shell Linux de l'agent distant :
Ajoutez le dépôt Microsoft :
# curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Installez les outils SQL Server :
# yum install mssql-tools unixODBC-devel
Les binaires sont installés dans le répertoire suivant :
/opt/mssql-tools/bin
.Testez la connexion à SQL Server :
#kinit sql_user
Exécutez la commande suivante :
/opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E
Intégrer MSSQL à Google SecOps
L'intégration nécessite les paramètres suivants :
Paramètres | Description |
---|---|
Server Address |
Obligatoire Adresse de l'instance SQL Server. La valeur par défaut est |
Username |
Optional Nom d'utilisateur de l'instance SQL Server. |
Password |
Optional Mot de passe de l'utilisateur. |
Port |
Optional Port à utiliser dans l'intégration. |
Windows Authentication |
Optional Si cette option est sélectionnée, l'intégration s'authentifie à l'aide de l'authentification Windows. (non sélectionnée par défaut). |
Use Kerberos Authentication |
Optional Si cette option est sélectionnée, l'intégration s'authentifie à l'aide de l'authentification Kerberos. (non sélectionnée par défaut). |
Kerberos Realm |
Optional Valeur du domaine Kerberos. |
Kerberos Username |
Optional Nom d'utilisateur pour l'authentification Kerberos. |
Kerberos Password |
Optional Mot de passe pour l'authentification Kerberos. |
Verify SSL |
Optional Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur SQL est valide. Cette option est sélectionnée par défaut. Ce paramètre ne s'applique qu'au pilote Microsoft ODBC pour SQL Server version 18. Si l'hôte du serveur Google SecOps exécute des versions antérieures du pilote ODBC, l'intégration ignore ce paramètre. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
L'intégration SQL Server inclut les actions suivantes :
Ping
Utilisez l'action Ping pour tester la connectivité à SQL Server.
Cette action s'exécute sur toutes les entités.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
Type de sortie de l'action | Disponibilité |
---|---|
Pièce jointe au mur des cas | Non disponible |
Lien vers le mur des cas | Non disponible |
Table du mur des cas | Non disponible |
Table d'enrichissement | Non disponible |
Résultat JSON | Non disponible |
Messages de sortie | Non disponible |
Résultat du script | Disponible |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
Nom du résultat du script | Valeur |
---|---|
is_success |
True ou False |
Exécuter une requête SQL
Utilisez l'action Exécuter une requête SQL pour exécuter des requêtes SQL.
Cette action s'exécute sur toutes les entités.
Entrées d'action
L'action Exécuter une requête SQL nécessite les paramètres suivants :
Paramètres | Description |
---|---|
Database Name |
Obligatoire Nom de la base de données sur laquelle exécuter la requête. |
|
Obligatoire Requête à exécuter. La valeur par défaut est |
Sorties d'action
L'action Exécuter une requête SQL fournit les sorties suivantes :
Type de sortie de l'action | Disponibilité |
---|---|
Pièce jointe au mur des cas | Non disponible |
Lien vers le mur des cas | Non disponible |
Table du mur des cas | Non disponible |
Table d'enrichissement | Non disponible |
Résultat JSON | Disponible |
Messages de sortie | Non disponible |
Résultat du script | Disponible |
Résultat JSON
Vous trouverez ci-dessous un exemple de résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête SQL :
[
{
"Name": "Actions Monitor System",
"Creator": "System",
"Integration": "Example",
"VersionId": "VERSION_ID",
"ModificationTimenixTimeInMs": 1558278307098,
"Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
},{
"Name": "Jobs Monitor System",
"Creator": "System",
"Integration": "Example",
"VersionId": "VERSION_ID",
"ModificationTimenixTimeInMs": 1558278307098,
"Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
}
]
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Exécuter une requête SQL :
Nom du résultat du script | Valeur |
---|---|
is_blocked |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.