Esta página foi traduzida pela API Cloud Translation.

MSSQL

Este documento fornece orientações sobre como integrar o Microsoft SQL Server ao Google Security Operations SOAR.

Versão da integração: 14.0

Antes de começar

Esta seção ajuda você a configurar um agente remoto do Google SecOps (RHEL, CentOS ou Docker) para trabalhar com o SQL Server usando a autenticação Kerberos.

Configurar um agente remoto do Google SecOps (RHEL ou CentOS)

Para configurar um agente remoto do Google SecOps (RHEL ou CentOS) para trabalhar com o SQL Server, conclua as seguintes etapas no shell do agente remoto Linux:

Adicione seus servidores DNS ao arquivo /etc/resol.conf: #vi /etc/resolv.conf
Instale o pacote krb5 para CentOS 7: #yum install krb5-workstation
Abra o arquivo /etc/krb5.conf e adicione seu domínio como default_realm com maiúsculas: #vi etc/krb5.conf
Teste a conexão com o Active Directory. Use um usuário com acesso ao banco de dados do SQL Server: #kinit sql_user
Insira sua senha de usuário.
Mostre o ingresso recebido: #klist
Opcional: remova o tíquete do Kerberos: #kdestroy -A

Para mais informações sobre como criar um agente remoto no CentOS usando a integração do Microsoft SQL, consulte Criar um agente com o instalador para CentOS.

Configurar um agente remoto do Google SecOps (Docker)

Para configurar um agente remoto do Google SecOps (Docker) para trabalhar com o SQL Server, conclua as etapas a seguir no shell Linux do agente remoto:

Execute um shell em um contêiner do Docker: docker exec -it siemplify /bin/bash
Adicione os servidores DNS do seu domínio ao arquivo /etc/resol.conf: #vi /etc/resolv.conf
Instale o pacote krb5 para CentOS 7: #yum install krb5-workstation
Abra o arquivo /etc/krb5.conf e adicione seu domínio como default_realm com letras maiúsculas: #vi etc/krb5.conf
Receba um tíquete do Kerberos. Use um usuário com acesso ao banco de dados do SQL Server: #kinit sql_user
Digite a senha do usuário.
Mostre o ingresso recebido: #klist
Opcional: remova o tíquete do Kerberos: #kdestroy -A

Para mais informações sobre como criar um agente remoto no Docker, consulte Criar um agente com o Docker.

Opcional: instale ferramentas do SQL Server para depuração

Para instalar as ferramentas do SQL Server para depuração, conclua as etapas a seguir no shell do Linux do agente remoto:

Adicione o repositório da Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Instale as ferramentas do SQL Server: # yum install mssql-tools unixODBC-devel

Os binários são instalados no seguinte diretório: /opt/mssql-tools/bin.
Teste a conexão com o SQL Server: #kinit sql_user
Execute este comando: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Integrar o MSSQL ao Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros	Descrição
`Server Address`	Obrigatório Um endereço da instância do SQL Server. O valor padrão é `sqlserver.DOMAIN.com`.
`Username`	Opcional O nome de usuário da instância do SQL Server.
`Password`	Opcional A senha do usuário.
`Port`	Opcional A porta a ser usada na integração.
`Windows Authentication`	Opcional Se selecionada, a integração fará a autenticação usando a autenticação do Windows. Não selecionada por padrão.
`Use Kerberos Authentication`	Opcional Se selecionada, a integração será autenticada usando a autenticação do Kerberos. Não selecionada por padrão.
`Kerberos Realm`	Opcional O valor do realm do Kerberos.
`Kerberos Username`	Opcional O nome de usuário para a autenticação do Kerberos.
`Kerberos Password`	Opcional A senha para a autenticação Kerberos.
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para a conexão com o SQL Server é válido. Essa opção é selecionada por padrão. Esse parâmetro se aplica apenas ao driver ODBC da Microsoft para SQL Server versão 18. Se o host do servidor do Google SecOps executar versões anteriores do driver ODBC, a integração vai ignorar esse parâmetro.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

A integração do SQL Server inclui as seguintes ações:

Ping
Executar consulta SQL

Ping

Use a ação Ping para testar a conectividade com o SQL Server.

Essa ação é executada em todas as entidades.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Indisponível
Resultado do script	Disponível

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Executar consulta SQL

Use a ação Executar consulta SQL para executar consultas SQL.

Essa ação é executada em todas as entidades.

Entradas de ação

A ação Executar consulta SQL exige os seguintes parâmetros:

Parâmetros Descrição

Parâmetros	Descrição
`Database Name`	Obrigatório O nome do banco de dados em que a consulta será executada.
	Obrigatório A consulta a ser executada. O valor padrão é `SELECT * FROM <>`.

Database Name

Obrigatório

O nome do banco de dados em que a consulta será executada.

Obrigatório

A consulta a ser executada.

O valor padrão é SELECT * FROM <>.

Saídas de ação

A ação Executar consulta SQL fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Disponível
Mensagens de saída	Indisponível
Resultado do script	Disponível

Resultado JSON

Confira a seguir um exemplo da saída de resultado JSON recebida ao usar a ação Executar consulta SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar consulta SQL:

Nome do resultado do script	Valor
`is_blocked`	`True` ou `False`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.