SolarWinds Orion
Versão da integração: 4.0
Casos de uso
Realizar ações ativas: executar consultas SQL para receber mais informações sobre o endpoint.
Configurar a integração do SolarWinds Orion no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço IP | String | x.x.x.x:17778 | Sim | Endereço IP da instância do SolarWinds Orion. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do SolarWinds Orion. |
| Senha | Senha | N/A | Sim | Senha da conta do SolarWinds Orion. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifique se o certificado SSL da conexão com o servidor SolarWinds Orion é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o SolarWinds Orion usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_succeed:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for concluída: Imprima "Conexão bem-sucedida ao servidor SolarWinds Orion com os parâmetros de conexão fornecidos!" A ação deve falhar e interromper a execução de um playbook: Imprima "Failed to connect to the SolarWinds Orion server! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar consulta
Descrição
Execute a consulta no SolarWinds Orion.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que precisa ser executada. Observação: as consultas do SolarWind não são compatíveis com a notação "*". |
| Número máximo de resultados a serem retornados | Número inteiro | 100 | Não | Especifique quantos resultados devem ser retornados. |
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado do JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status não for 400 (is_success = true): Imprima "A consulta foi executada e os resultados do SolarWinds Orion foram recuperados". Se o código de status for 400 (is_success = false): Imprima "Não foi possível executar a consulta e recuperar os resultados do SolarWinds Orion. Motivo: {0}".format(message) A ação precisa falhar e interromper a execução de um playbook: Imprima "Erro ao executar a ação "Executar consulta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: "Results" Todas as colunas da resposta serão usadas como colunas da tabela. |
Geral |
Executar consulta de entidade
Descrição
Executa uma consulta no SolarWinds Orion com base nas entidades de IP e nome do host.
Como trabalhar com parâmetros de ação
Essa ação permite recuperar facilmente informações sobre os endpoints com base nas entidades de IP e nome do host.
Imagine uma situação em que você quer recuperar o tempo de atividade dos endpoints. O primeiro endpoint tem o IP "172.30.230.130", e o segundo tem o nome do host "DC001". Nesse caso, a consulta ficaria assim:
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
Para criar a mesma consulta usando a ação "Executar consulta de entidade", preencha os parâmetros da ação da seguinte maneira:
| Consulta | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| Chave da entidade de IP | IpAddress |
| Chave da entidade de nome do host | DisplayName |
A cláusula WHERE será preparada automaticamente.
Documentação do esquema da tabela
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que precisa ser executada. Observação: as consultas do SolarWind não aceitam a notação "*" e não devem ter uma cláusula WHERE, porque ela é adicionada pela ação. Consulte a documentação da ação para mais detalhes. |
| Chave da entidade de IP | String | IpAddress | Não | Especifique qual chave deve ser usada com entidades de IP na cláusula WHERE da consulta. Consulte a documentação da ação para mais detalhes. Padrão: IpAddress |
| Chave da entidade de nome do host | String | Nome do host | Não | Especifique qual chave deve ser usada com entidades de nome de host na cláusula WHERE da consulta. Consulte a documentação da ação para mais detalhes. Padrão: Nome do host |
| Número máximo de resultados a serem retornados | Número inteiro | 100 | Não | Especifique quantos resultados devem ser retornados. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status não for 400 (is_success = true): Imprima "A consulta foi executada e os resultados do SolarWinds Orion foram recuperados". Se o código de status for 400 (is_success = false): Imprima "Não foi possível executar a consulta e recuperar os resultados do SolarWinds Orion. Motivo: {0}".format(message) Se não houver entidades no escopo (is_success = false) Imprima "Nenhuma entidade foi encontrada no escopo". A ação precisa falhar e interromper a execução de um playbook: Imprima "Erro ao executar a ação "Executar consulta de entidade". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela: "Results" Todas as colunas da resposta serão usadas como colunas da tabela. |
Geral |
Endpoint de enriquecimento
Descrição
Extrai as informações do sistema do endpoint pelo nome do host ou endereço IP.
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enriquecimento de entidades
Para o enriquecimento de entidades, todos os campos da resposta serão usados. O prefixo será SLRWORION
Por exemplo, SLRW_ORION_CPULoad é mapeado de CPULoad.
Resultado do JSON
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida e pelo menos uma das entidades fornecidas tiver sido enriquecida (is_success = true): Print "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Imprima "Não foi possível enriquecer os seguintes endpoints do SolarWinds Orion \n: {0}".format([entity.identifier]) Se não for possível enriquecer todas as entidades (is_success = false): Imprima "Nenhuma entidade foi enriquecida." A ação precisa falhar e interromper a execução de um playbook: Imprima "Erro ao executar a ação "Enriquecer endpoint". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.