SolarWinds Orion
Version de l'intégration : 4.0
Cas d'utilisation
Effectuez des actions actives : exécutez des requêtes SQL pour obtenir plus d'informations sur le point de terminaison.
Configurer l'intégration de SolarWinds Orion dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Adresse IP | Chaîne | x.x.x.x:17778 | Oui | Adresse IP de l'instance SolarWinds Orion. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte SolarWinds Orion. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte SolarWinds Orion. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Non | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur SolarWinds Orion est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à SolarWinds Orion avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_succeed:False |
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : Imprimez "Successfully connected to the SolarWinds Orion server with the provided connection parameters!" (Connexion au serveur SolarWinds Orion réussie avec les paramètres de connexion fournis). L'action doit échouer et arrêter l'exécution d'un playbook : Imprimez "Échec de la connexion au serveur SolarWinds Orion ! Error is {0}".format(exception.stacktrace) |
Général |
Exécuter la requête
Description
Exécutez la requête dans SolarWinds Orion.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Spécifiez la requête à exécuter. Remarque : Les requêtes SolarWinds ne sont pas compatibles avec la notation "*". |
| Nombre maximal de résultats à renvoyer | Integer | 100 | Non | Spécifiez le nombre de résultats à renvoyer. |
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_succeed | Vrai/Faux | is_succeed:False |
Résultat JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état n'est pas 400 (is_success = true) : Affichez "Requête exécutée et résultats récupérés de SolarWinds Orion". Si le code d'état est 400 (is_success = false) : Imprimez "L'action n'a pas pu exécuter la requête et récupérer les résultats de SolarWinds Orion. Raison : {0}".format(message) L'action doit échouer et arrêter l'exécution d'un playbook : Imprimez "Erreur lors de l'exécution de l'action "Exécuter la requête". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : "Résultats" Toutes les colonnes de la réponse seront utilisées comme colonnes de tableau. |
Général |
Exécuter une requête d'entité
Description
Exécutez une requête dans SolarWinds Orion en fonction des entités "Adresse IP" et "Nom d'hôte".
Utiliser les paramètres d'action
Cette action permet de récupérer facilement des informations sur les points de terminaison en fonction des entités "Adresse IP" et "Nom d'hôte".
Imaginez que vous souhaitiez récupérer le temps d'activité des points de terminaison. Le premier point de terminaison a l'adresse IP "172.30.230.130" et le deuxième point de terminaison a le nom d'hôte "DC001". Dans ce cas, notre requête doit se présenter comme suit :
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
Pour créer la même requête à l'aide de l'action "Exécuter une requête d'entité", vous devez remplir les paramètres de l'action comme suit :
| Requête | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| Clé d'entité IP | IpAddress |
| Clé d'entité du nom d'hôte | DisplayName |
La clause WHERE sera préparée automatiquement.
Documentation sur le schéma de table
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Spécifiez la requête à exécuter. Remarque : Les requêtes SolarWinds ne sont pas compatibles avec la notation "*". De plus, vous ne devez pas inclure de clause WHERE dans la requête, car elle est ajoutée par l'action. Pour en savoir plus, veuillez consulter la documentation de l'action. |
| Clé d'entité IP | Chaîne | IpAddress | Non | Spécifiez la clé à utiliser avec les entités IP dans la clause WHERE de la requête. Pour en savoir plus, veuillez consulter la documentation de l'action. Par défaut : IpAddress |
| Clé d'entité du nom d'hôte | Chaîne | Nom d'hôte | Non | Spécifiez la clé à utiliser avec les entités "Nom d'hôte" dans la clause WHERE de la requête. Pour en savoir plus, veuillez consulter la documentation de l'action. Par défaut : Nom d'hôte |
| Nombre maximal de résultats à renvoyer | Integer | 100 | Non | Spécifiez le nombre de résultats à renvoyer. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état n'est pas 400 (is_success = true) : Affichez "Requête exécutée et résultats récupérés de SolarWinds Orion". Si le code d'état est 400 (is_success = false) : Imprimez "L'action n'a pas pu exécuter la requête et récupérer les résultats de SolarWinds Orion. Reason: {0}".format(message) If no entities in the scope (is_success = false) Imprime "Aucune entité n'a été trouvée dans le champ d'application." L'action doit échouer et arrêter l'exécution d'un playbook : Imprimez "Erreur lors de l'exécution de l'action "Exécuter une requête d'entité". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : "Résultats" Toutes les colonnes de la réponse seront utilisées comme colonnes de tableau. |
Général |
Point de terminaison Enrich
Description
Récupérez les informations système du point de terminaison par son nom d'hôte ou son adresse IP.
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Enrichissement d'entités
Pour l'enrichissement d'entités, tous les champs de la réponse seront utilisés. Le préfixe sera SLRWORION.
Par exemple, SLRW_ORION_CPULoad est mappé à CPULoad.
Résultat JSON
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit et qu'au moins l'une des entités fournies a été enrichie (is_success = true) : Imprimez "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Si l'enrichissement de certaines entités échoue(is_success = true) : Imprimer "L'action n'a pas pu enrichir les points de terminaison suivants à partir de SolarWinds Orion : {0}".format([entity.identifier]) Si l'enrichissement échoue pour toutes les entités (is_success = false) : Imprimez "Aucune entité n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Imprimez "Erreur lors de l'exécution de l'action "Enrich Endpoint". Raison : {0}''.format(error.Stacktrace) |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.