SolarWinds Orion
Versión de integración: 4.0
Casos de uso
Realizar acciones activas: Ejecutar consultas en SQL para obtener más información sobre el extremo
Configura la integración de SolarWinds Orion en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Dirección IP | String | x.x.x.x:17778 | Sí | Dirección IP de la instancia de SolarWinds Orion. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de SolarWinds Orion. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de SolarWinds Orion. |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de SolarWinds Orion sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con SolarWinds Orion con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_succeed:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, haz lo siguiente: Imprime "Successfully connected to the SolarWinds Orion server with the provided connection parameters!". La acción debería fallar y detener la ejecución de la guía: Imprime el mensaje "No se pudo conectar al servidor de SolarWinds Orion". Error is {0}".format(exception.stacktrace) |
General |
Ejecutar consulta
Descripción
Ejecuta la consulta en SolarWinds Orion.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica la consulta que se debe ejecutar. Nota: Las consultas de SolarWind no admiten la notación "*". |
| Cantidad máxima de resultados para devolver | Número entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_succeed | Verdadero/Falso | is_succeed:False |
Resultado de JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no es el código de estado 400 (is_success = true): Imprime "Successfully executed query and retrieved results from SolarWinds Orion". Si el código de estado es 400 (is_success = false): Imprime "La acción no pudo ejecutar la consulta ni recuperar los resultados de SolarWinds Orion de forma correcta. Reason: {0}".format(message) La acción debe fallar y detener la ejecución de un playbook: Imprime "Error executing action "Execute Query". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
Ejecuta la consulta de entidad
Descripción
Ejecuta la consulta en SolarWinds Orion en función de las entidades IP y Hostname.
Cómo trabajar con parámetros de acción
Esta acción permite recuperar fácilmente información sobre los extremos en función de las entidades de IP y nombre de host.
Imagina una situación en la que deseas recuperar el tiempo de actividad de los extremos. El primer extremo tiene la IP "172.30.230.130" y el segundo extremo tiene el nombre de host "DC001". En este caso, nuestra consulta debería verse de la siguiente manera:
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
Para crear la misma consulta con la acción "Ejecutar consulta de entidad", debes completar los parámetros de la acción de la siguiente manera:
| Consulta | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| Clave de entidad de IP | IpAddress |
| Clave de entidad del nombre de host | DisplayName |
La cláusula WHERE se preparará automáticamente.
Documentación del esquema de la tabla
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica la consulta que se debe ejecutar. Nota: Las consultas de SolarWind no admiten la notación "*" y no deben tener una cláusula WHERE en la consulta, ya que la acción la agrega. Consulta la documentación de la acción para obtener más detalles. |
| Clave de entidad de IP | String | IpAddress | No | Especifica qué clave se debe usar con las entidades de IP en la cláusula WHERE de la consulta. Consulta la documentación de la acción para obtener más detalles. Predeterminado: IpAddress |
| Clave de entidad del nombre de host | String | Nombre de host | No | Especifica qué clave se debe usar con las entidades de Hostname en la cláusula WHERE de la consulta. Consulta la documentación de la acción para obtener más detalles. Predeterminado: Nombre de host |
| Cantidad máxima de resultados para devolver | Número entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no es el código de estado 400 (is_success = true): Imprime "Successfully executed query and retrieved results from SolarWinds Orion". Si el código de estado es 400 (is_success = false): Imprime "La acción no pudo ejecutar la consulta ni recuperar los resultados de SolarWinds Orion de forma correcta. Motivo: {0}".format(message) Si no hay entidades en el alcance (is_success = false) Imprime "No se encontraron entidades en el alcance". La acción debe fallar y detener la ejecución de un playbook: Imprime "Error executing action "Execute Entity Query". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
Extremo de enriquecimiento
Descripción
Recupera la información del sistema del extremo por su nombre de host o dirección IP.
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enriquecimiento de entidades
Para el enriquecimiento de entidades, se usará cada campo de la respuesta. El prefijo será SLRWORION.
Por ejemplo, SLRW_ORION_CPULoad se asigna desde CPULoad.
Resultado de JSON
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente y se enriqueció al menos una de las entidades proporcionadas (is_success = true): Imprime "Se enriquecieron correctamente los siguientes extremos de SolarWinds Orion: \n {0}".format(lista de identificadores de la entidad) Si no se pueden enriquecer entidades específicas(is_success = true): Imprime "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier]) Si no se puede enriquecer para todas las entidades (is_success = false): Imprime "No se enriqueció ninguna entidad". La acción debe fallar y detener la ejecución de un playbook: Imprime "Error al ejecutar la acción "Enrich Endpoint". Reason: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.