MSSQL
本文档提供了有关如何将 Microsoft SQL Server 与 Google Security Operations SOAR 集成的指南。
集成版本:14.0
准备工作
本部分将帮助您配置 Google SecOps 远程代理(RHEL、CentOS 或 Docker),以使用 Kerberos 身份验证与 SQL Server 搭配使用。
配置 Google SecOps 远程代理(RHEL 或 CentOS)
如需配置 Google SecOps 远程代理(RHEL 或 CentOS)以与 SQL Server 搭配使用,请在远程代理 Linux shell 中完成以下步骤:
将 DNS 服务器添加到
/etc/resol.conf文件:#vi /etc/resolv.conf为 CentOS 7 安装 krb5 软件包:
#yum install krb5-workstation打开
/etc/krb5.conf文件,然后以大写形式将您的网域添加为default_realm:#vi etc/krb5.conf测试与 Active Directory 的连接。使用有权访问 SQL Server 数据库的用户:
#kinit sql_user输入您的用户密码。
显示获得的门票:
#klist可选:移除 Kerberos 票据:
#kdestroy -A
如需详细了解如何使用 Microsoft SQL 集成在 CentOS 上创建远程代理,请参阅使用安装程序为 CentOS 创建代理。
配置 Google SecOps 远程代理 (Docker)
如需配置 Google SecOps 远程代理 (Docker) 以与 SQL Server 搭配使用,请在远程代理 Linux shell 中完成以下步骤:
在 Docker 容器中运行 shell:
docker exec -it siemplify /bin/bash将网域 DNS 服务器添加到
/etc/resol.conf文件:#vi /etc/resolv.conf为 CentOS 7 安装 krb5 软件包:
#yum install krb5-workstation打开
/etc/krb5.conf文件,并以大写形式将您的网域添加为default_realm:#vi etc/krb5.conf获取 Kerberos 票据。使用有权访问 SQL Server 数据库的用户:
#kinit sql_user输入用户密码。
显示获得的门票:
#klist可选:移除 Kerberos 票据:
#kdestroy -A
如需详细了解如何在 Docker 上创建远程代理,请参阅使用 Docker 创建代理。
可选:安装 SQL Server 工具以进行调试
如需安装用于调试的 SQL Server 工具,请在远程代理 Linux shell 中完成以下步骤:
添加 Microsoft 代码库:
# curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo安装 SQL Server 工具:
# yum install mssql-tools unixODBC-devel二进制文件安装在以下目录中:
/opt/mssql-tools/bin。测试与 SQL Server 的连接:
#kinit sql_user运行以下命令:
/opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E
将 MSSQL 与 Google SecOps 集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
Server Address |
必需 SQL Server 实例的地址。 默认值为 |
Username |
可选 SQL Server 实例的用户名。 |
Password |
可选 用户密码。 |
Port |
可选 集成中要使用的端口。 |
Windows Authentication |
可选 如果选择此选项,集成将使用 Windows 身份验证进行身份验证。 默认情况下未选中。 |
Use Kerberos Authentication |
可选 如果选择此项,集成会使用 Kerberos 身份验证进行身份验证。 默认情况下未选中。 |
Kerberos Realm |
可选 Kerberos 领域值。 |
Kerberos Username |
可选 用于 Kerberos 身份验证的用户名。 |
Kerberos Password |
可选 用于 Kerberos 身份验证的密码。 |
Verify SSL |
可选 如果选中此选项,集成会验证与 SQL Server 的连接所用的 SSL 证书是否有效。 此选项将会默认选中。 此参数仅适用于 Microsoft ODBC 驱动程序(适用于 SQL Server 版本 18)。如果 Google SecOps 服务器主机运行的是早期版本的 ODBC 驱动程序,则集成会忽略此参数。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有必要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
SQL Server 集成服务包括以下操作:
Ping
使用 Ping 操作测试与 SQL Server 的连接。
此操作会在所有实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
运行 SQL 查询
使用 Run SQL Query 操作运行 SQL 查询。
此操作会在所有实体上运行。
操作输入
运行 SQL 查询操作需要以下参数:
| 参数 | 说明 |
|---|---|
Database Name |
必需 要运行查询的数据库名称。 |
|
必需 要运行的查询。 默认值为 |
操作输出
运行 SQL 查询操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 不可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用运行 SQL 查询操作时收到的 JSON 结果输出:
[
{
"Name": "Actions Monitor System",
"Creator": "System",
"Integration": "Example",
"VersionId": "VERSION_ID",
"ModificationTimenixTimeInMs": 1558278307098,
"Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
},{
"Name": "Jobs Monitor System",
"Creator": "System",
"Integration": "Example",
"VersionId": "VERSION_ID",
"ModificationTimenixTimeInMs": 1558278307098,
"Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
}
]
脚本结果
下表介绍了使用 Run SQL Query 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_blocked |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。