SolarWinds Orion
Versione integrazione: 4.0
Casi d'uso
Esegui azioni attive: esegui query SQL per ottenere maggiori informazioni sull'endpoint.
Configurare l'integrazione di SolarWinds Orion in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo IP | Stringa | x.x.x.x:17778 | Sì | L'indirizzo IP dell'istanza SolarWinds Orion. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account SolarWinds Orion. |
| Password | Password | N/D | Sì | Password dell'account SolarWinds Orion. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitato, verifica che il certificato SSL per la connessione al server SolarWinds Orion sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Verifica la connettività a SolarWinds Orion con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_succeed:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: Stampa "Connessione al server SolarWinds Orion riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Stampa "Impossibile connettersi al server SolarWinds Orion. Error is {0}".format(exception.stacktrace) |
Generale |
Esegui query
Descrizione
Esegui la query in SolarWinds Orion.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica la query da eseguire. Nota: le query SolarWind non supportano la notazione "*". |
| Numero massimo di risultati da restituire | Numero intero | 100 | No | Specifica il numero di risultati da restituire. |
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il codice di stato non è 400 (is_success = true): Stampa "Successfully executed query and retrieved results from SolarWinds Orion". Se il codice di stato è 400 (is_success = false): Stampa "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. Motivo: {0}".format(message) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Stampa "Error executing action "Execute Query". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: "Risultati" Tutte le colonne della risposta verranno utilizzate come colonne della tabella. |
Generale |
Esegui query entità
Descrizione
Esegui la query in SolarWinds Orion in base alle entità IP e nome host.
Come utilizzare i parametri di azione
Questa azione consente di recuperare facilmente informazioni sugli endpoint in base alle entità IP e Nome host.
Immagina una situazione in cui vuoi recuperare l'uptime degli endpoint. Il primo endpoint ha l'IP "172.30.230.130" e il secondo ha il nome host "DC001". In questo caso, la query dovrebbe avere il seguente aspetto:
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
Per creare la stessa query utilizzando l'azione "Esegui query entità", devi compilare i parametri dell'azione nel seguente modo:
| Query | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| Chiave entità IP | IpAddress |
| Chiave entità nome host | DisplayName |
La clausola WHERE verrà preparata automaticamente.
Documentazione dello schema della tabella
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica la query da eseguire. Nota: le query SolarWind non supportano la notazione "*" e non devi includere una clausola WHERE nella query, perché viene aggiunta dall'azione. Per informazioni dettagliate, consulta la documentazione dell'azione. |
| Chiave entità IP | Stringa | IpAddress | No | Specifica quale chiave deve essere utilizzata con le entità IP nella clausola WHERE della query. Per informazioni dettagliate, consulta la documentazione dell'azione. Valore predefinito: IpAddress |
| Chiave entità nome host | Stringa | Nome host | No | Specifica la chiave da utilizzare con le entità Hostname nella clausola WHERE della query. Per informazioni dettagliate, consulta la documentazione dell'azione. Valore predefinito: Nome host |
| Numero massimo di risultati da restituire | Numero intero | 100 | No | Specifica il numero di risultati da restituire. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il codice di stato non è 400 (is_success = true): Stampa "Successfully executed query and retrieved results from SolarWinds Orion". Se il codice di stato è 400 (is_success = false): Stampa "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. Motivo: {0}".format(message) If no entities in the scope (is_success = false) Stampa "Nessuna entità trovata nell'ambito". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Stampa "Errore durante l'esecuzione dell'azione "Esegui query entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: "Risultati" Tutte le colonne della risposta verranno utilizzate come colonne della tabella. |
Generale |
Endpoint Enrich
Descrizione
Recupera le informazioni di sistema dell'endpoint in base al nome host o all'indirizzo IP.
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Arricchimento delle entità
Per l'arricchimento delle entità, verranno utilizzati tutti i campi della risposta. Il prefisso sarà SLRWORION
Ad esempio, SLRW_ORION_CPULoad viene mappato da CPULoad
Risultato JSON
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine e almeno una delle entità fornite è stata arricchita (is_success = true): Stampa "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Se non riesci ad arricchire entità specifiche(is_success = true): Stampa "L'azione non è riuscita ad arricchire i seguenti endpoint di SolarWinds Orion \n: {0}".format([entity.identifier]) Se l'arricchimento non va a buon fine per tutte le entità (is_success = false): Stampa "Nessuna entità è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Stampa "Errore durante l'esecuzione dell'azione "Arricchisci endpoint". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.