SolarWinds Orion
整合版本:4.0
應用實例
執行主動動作:執行 SQL 查詢,取得端點的詳細資訊。
在 Google Security Operations 中設定 SolarWinds Orion 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| IP 位址 | 字串 | x.x.x.x:17778 | 是 | SolarWinds Orion 執行個體的 IP 位址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | SolarWinds Orion 帳戶的使用者名稱。 |
| 密碼 | 密碼 | 不適用 | 是 | SolarWinds Orion 帳戶的密碼。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果啟用這項設定,請確認連線至 SolarWinds Orion 伺服器的 SSL 憑證有效。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 SolarWinds Orion 的連線。
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_succeed:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 列印「Successfully connected to the SolarWinds Orion server with the provided connection parameters!」(已使用提供的連線參數成功連線至 SolarWinds Orion 伺服器!) 動作應會失敗並停止執行應對手冊: Print "Failed to connect to the SolarWinds Orion server! Error is {0}".format(exception.stacktrace) |
一般 |
執行查詢
說明
在 SolarWinds Orion 中執行查詢。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要執行的查詢。注意:SolarWind 查詢不支援「*」標記。 |
| 要傳回的結果數量上限 | 整數 | 100 | 否 | 指定應傳回的結果數量。 |
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 結果
{
"results": [
{
"DisplayName": "orion"
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果不是狀態碼 400 (is_success = true): 列印「Successfully executed query and retrieved results from SolarWinds Orion」。 如果狀態碼為 400 (is_success = false): Print "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. 原因:{0}".format(message) 動作應會失敗並停止執行劇本: Print "Error executing action "Execute Query". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:「Results」 回應中的所有資料欄都會做為表格資料欄。 |
一般 |
執行實體查詢
說明
根據 IP 和主機名稱實體,在 SolarWinds Orion 中執行查詢。
如何使用動作參數
這項動作可讓您根據 IP 和主機名稱實體,輕鬆擷取端點的相關資訊。
假設您想擷取端點的正常運作時間。第一個端點的 IP 為「172.30.230.130」,第二個端點的主機名稱為「DC001」。在本例中,查詢應如下所示:
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
如要使用「執行實體查詢」動作建立相同查詢,請依下列方式填寫動作參數:
| 查詢 | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| IP 實體金鑰 | IpAddress |
| 主機名稱實體鍵 | DisplayName |
系統會自動準備 WHERE 子句。
資料表結構定義說明文件
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要執行的查詢。注意:SolarWind 查詢不支援「*」標記,且查詢中不應有 WHERE 子句,因為動作會新增該子句。詳情請參閱動作說明文件。 |
| IP 實體金鑰 | 字串 | IpAddress | 否 | 在查詢的 WHERE 子句中,指定要與 IP 實體搭配使用的鍵。詳情請參閱動作說明文件。預設值: IpAddress |
| 主機名稱實體鍵 | 字串 | 主機名稱 | 否 | 在查詢的 WHERE 子句中,指定應搭配主機名稱實體使用的鍵。詳情請參閱動作說明文件。預設值: 主機名稱 |
| 要傳回的結果數量上限 | 整數 | 100 | 否 | 指定應傳回的結果數量。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"results": [
{
"DisplayName": "orion"
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果不是狀態碼 400 (is_success = true): 列印「Successfully executed query and retrieved results from SolarWinds Orion」。 如果狀態碼為 400 (is_success = false): Print "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. 原因:{0}".format(message) 如果範圍內沒有任何實體 (is_success = false) 列印「No entities were found in the scope.」(範圍內找不到任何實體)。 動作應會失敗並停止執行劇本: Print "Error executing action "Execute Entity Query". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:「Results」 回應中的所有資料欄都會做為表格資料欄。 |
一般 |
充實端點
說明
依主機名稱或 IP 位址擷取端點的系統資訊。
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
實體擴充
如果是實體擴充功能,系統會使用回應中的每個欄位。前置字元為 SLRWORION
舉例來說,SLRW_ORION_CPULoad 是從 CPULoad 對應而來
JSON 結果
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功,且至少有一個提供的實體經過擴充 (is_success = true): Print "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) 如果無法擴充特定實體(is_success = true): Print "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier]) 如果無法為所有實體擴充資料 (is_success = false): Print "No entities were enriched." 動作應會失敗並停止執行劇本: Print "Error executing action "Enrich Endpoint". 原因:{0}''.format(error.Stacktrace) |
一般 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。