Diese Seite wurde von der Cloud Translation API übersetzt.

SolarWinds Orion

Integrationsversion: 4.0

Anwendungsbereiche

Aktive Aktionen ausführen – SQL-Abfragen ausführen, um weitere Informationen zum Endpunkt zu erhalten.

SolarWinds Orion-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Instanzname	String	–	Nein	Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung	String	–	Nein	Beschreibung der Instanz.
IP-Adresse	String	x.x.x.x:17778	Ja	IP-Adresse der SolarWinds Orion-Instanz.
Nutzername	String	–	Ja	Nutzername des SolarWinds Orion-Kontos.
Passwort	Passwort	–	Ja	Das Passwort des SolarWinds Orion-Kontos.
SSL überprüfen	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum SolarWinds Orion-Server gültig ist.
Remote ausführen	Kästchen	Deaktiviert	Nein	Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Ping

Beschreibung

‌Testen Sie die Verbindung zu SolarWinds Orion mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_succeed:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: Geben Sie „Successfully connected to the SolarWinds Orion server with the provided connection parameters!“ aus. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Falls nicht erfolgreich: Geben Sie „Failed to connect to the SolarWinds Orion server! Fehler: {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg:

Geben Sie „Successfully connected to the SolarWinds Orion server with the provided connection parameters!“ aus.

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:
Falls nicht erfolgreich:

Geben Sie „Failed to connect to the SolarWinds Orion server! Fehler: {0}".format(exception.stacktrace)

Allgemein

Abfrage ausführen

Beschreibung‌

Führen Sie die Abfrage in SolarWinds Orion aus.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist Mandatory	Beschreibung
Abfrage	String	–	Ja	Geben Sie die Abfrage an, die ausgeführt werden muss. Hinweis: SolarWind-Abfragen unterstützen die „*“-Notation nicht.
Maximale Anzahl zurückzugebender Ergebnisse	Ganzzahl	100	Nein	Geben Sie an, wie viele Ergebnisse zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.

‌Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_succeed	Wahr/falsch	is_succeed:False

JSON-Ergebnis

{
    "results": [
        {
            "DisplayName": "orion"
        }
    ]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn nicht Statuscode 400 (is_success = true): Geben Sie „Successfully executed query and retrieved results from SolarWinds Orion“ aus. Wenn der Statuscode 400 (is_success = false) lautet: Gib Folgendes aus: „Die Aktion konnte die Abfrage nicht erfolgreich ausführen und keine Ergebnisse von SolarWinds Orion abrufen. Grund: {0}".format(message) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen: Gibt „Error executing action ‚Execute Query‘“ (Fehler beim Ausführen der Aktion „Abfrage ausführen“) aus. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Tabellenname: „Results“ Alle Spalten aus der Antwort werden als Tabellenspalten verwendet.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn nicht Statuscode 400 (is_success = true):

Geben Sie „Successfully executed query and retrieved results from SolarWinds Orion“ aus.

Wenn der Statuscode 400 (is_success = false) lautet:

Gib Folgendes aus: „Die Aktion konnte die Abfrage nicht erfolgreich ausführen und keine Ergebnisse von SolarWinds Orion abrufen. Grund: {0}".format(message)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen:

Gibt „Error executing action ‚Execute Query‘“ (Fehler beim Ausführen der Aktion „Abfrage ausführen“) aus. Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Tabellenname: „Results“

Alle Spalten aus der Antwort werden als Tabellenspalten verwendet.

Allgemein

Entitätsabfrage ausführen

Beschreibung

Führen Sie eine Abfrage in SolarWinds Orion basierend auf den IP- und Hostname-Entitäten aus.

Mit Aktionsparametern arbeiten

So lassen sich Informationen zu den Endpunkten anhand der IP- und Hostname-Entitäten ganz einfach abrufen.

Stellen Sie sich vor, Sie möchten die Betriebszeit der Endpunkte abrufen. Der erste Endpunkt hat die IP-Adresse „172.30.230.130“ und der zweite den Hostnamen „DC001“. In diesem Fall müsste unsere Abfrage so aussehen:

SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE IpAddress='172.30.203.130' OR DisplayName='DC001'

Wenn Sie dieselbe Abfrage mit der Aktion „Entitätsabfrage ausführen“ erstellen möchten, müssen Sie die Aktionsparameter so ausfüllen:

Abfrage	SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes
IP-Entitätsschlüssel	IpAddress
Entitätsschlüssel für Hostname	DisplayName

Die WHERE-Klausel wird automatisch vorbereitet.

Dokumentation zum Tabellenschema

http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Abfrage	String	–	Ja	Geben Sie die Abfrage an, die ausgeführt werden muss. Hinweis: SolarWind-Abfragen unterstützen die „*“-Notation nicht und die Abfrage sollte keine WHERE-Klausel enthalten, da diese von der Aktion hinzugefügt wird. Weitere Informationen finden Sie in der Dokumentation zur Aktion.
IP-Entitätsschlüssel	String	IpAddress	Nein	Geben Sie an, welcher Schlüssel mit IP-Entitäten in der WHERE-Klausel der Abfrage verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. Standard: IpAddress
Entitätsschlüssel für Hostname	String	Hostname	Nein	Geben Sie an, welcher Schlüssel mit Hostname-Entitäten in der WHERE-Klausel der Abfrage verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. Standard: Hostname
Maximale Anzahl zurückzugebender Ergebnisse	Ganzzahl	100	Nein	Geben Sie an, wie viele Ergebnisse zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "results": [
        {
            "DisplayName": "orion"
        }
    ]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn nicht Statuscode 400 (is_success = true): Geben Sie „Successfully executed query and retrieved results from SolarWinds Orion“ aus. Wenn der Statuscode 400 (is_success = false) lautet: Gib Folgendes aus: „Die Aktion konnte die Abfrage nicht erfolgreich ausführen und keine Ergebnisse von SolarWinds Orion abrufen. Grund: {0}.format(message) Wenn keine Entitäten im Bereich (is_success = false) Gib „No entities were found in the scope.“ aus. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen: Gibt „Error executing action ‚Execute Entity Query‘“ (Fehler beim Ausführen der Aktion „Entitätsabfrage ausführen“) aus. Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Tabellenname: „Results“ Alle Spalten aus der Antwort werden als Tabellenspalten verwendet.	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn nicht Statuscode 400 (is_success = true):

Geben Sie „Successfully executed query and retrieved results from SolarWinds Orion“ aus.

Wenn der Statuscode 400 (is_success = false) lautet:

Gib Folgendes aus: „Die Aktion konnte die Abfrage nicht erfolgreich ausführen und keine Ergebnisse von SolarWinds Orion abrufen. Grund: {0}.format(message)

Wenn keine Entitäten im Bereich (is_success = false)

Gib „No entities were found in the scope.“ aus.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen:

Gibt „Error executing action ‚Execute Entity Query‘“ (Fehler beim Ausführen der Aktion „Entitätsabfrage ausführen“) aus. Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Tabellenname: „Results“

Alle Spalten aus der Antwort werden als Tabellenspalten verwendet.

Allgemein

Endpunkt für die Anreicherung

Beschreibung

Systeminformationen des Abrufendpunkts anhand des Hostnamens oder der IP-Adresse abrufen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Host

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Entitätsanreicherung

Für die Entitätenanreicherung wird jedes Feld aus der Antwort verwendet. Das Präfix ist SLRWORION.

Beispiel: SLRW_ORION_CPULoad wird aus CPULoad abgeleitet.

JSON-Ergebnis

{
    "results": [
        {
            "IpAddress": "172.30.203.130",
            "DisplayName": "orion",
            "NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
            "ObjectSubType": "Agent",
            "Description": "Windows 2019 Server",
            "SysName": "ORION",
            "Caption": "orion",
            "DNS": "orion",
            "Contact": "",
            "Status": 1,
            "StatusDescription": "Node status is Up.",
            "IOSImage": "",
            "IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
            "GroupStatus": "Up.gif                                  ",
            "LastBoot": "2020-10-26T11:06:00.0000000",
            "SystemUpTime": 76135.1171875,
            "AvgResponseTime": 4,
            "CPULoad": 0,
            "PercentMemoryUsed": 76,
            "MemoryAvailable": 3.08503347E+09,
            "Severity": 0,
            "Category": 2,
            "EntityType": "Orion.Nodes",
            "IsServer": true,
            "IsOrionServer": false
        }
    ]
}

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true): Print "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Wenn bestimmte Einheiten nicht angereichert werden können(is_success = true): Print "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier]) Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false): Gib „No entities were enriched.“ aus. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen: Gibt „Error executing action ‚Enrich Endpoint‘“ (Fehler beim Ausführen der Aktion „Enrich Endpoint“) aus. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg und wenn mindestens eine der bereitgestellten Entitäten angereichert wurde (is_success = true):

Print "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list)

Wenn bestimmte Einheiten nicht angereichert werden können(is_success = true):

Print "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier])

Wenn die Anreicherung für alle Rechtspersönlichkeiten fehlschlägt (is_success = false):

Gib „No entities were enriched.“ aus.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
Bei schwerwiegenden Fehlern wie falschen Anmeldedaten, keiner Verbindung zum Server oder anderen:

Gibt „Error executing action ‚Enrich Endpoint‘“ (Fehler beim Ausführen der Aktion „Enrich Endpoint“) aus. Grund: {0}''.format(error.Stacktrace)

Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten