Halaman ini diterjemahkan oleh Cloud Translation API.

MSSQL

Dokumen ini memberikan panduan tentang cara mengintegrasikan Microsoft SQL Server dengan Google Security Operations SOAR.

Versi integrasi: 14.0

Sebelum memulai

Bagian ini membantu Anda mengonfigurasi agen jarak jauh Google SecOps (RHEL, CentOS, atau Docker) agar dapat berfungsi dengan SQL Server menggunakan autentikasi Kerberos.

Mengonfigurasi agen jarak jauh Google SecOps (RHEL atau CentOS)

Untuk mengonfigurasi agen jarak jauh Google SecOps (RHEL atau CentOS) agar dapat bekerja dengan SQL Server, selesaikan langkah-langkah berikut di shell Linux agen jarak jauh:

Tambahkan server DNS Anda ke file /etc/resol.conf: #vi /etc/resolv.conf
Instal paket krb5 untuk CentOS 7: #yum install krb5-workstation
Buka file /etc/krb5.conf dan tambahkan domain Anda sebagai default_realm dengan huruf besar: #vi etc/krb5.conf
Uji koneksi dengan Active Directory. Gunakan pengguna yang memiliki akses ke database SQL Server: #kinit sql_user
Masukkan sandi pengguna Anda.
Tampilkan tiket yang diperoleh: #klist
Opsional: Hapus tiket kerberos: #kdestroy -A

Untuk mengetahui informasi selengkapnya tentang cara membuat agen jarak jauh di CentOS menggunakan integrasi Microsoft SQL, lihat Membuat agen dengan penginstal untuk CentOS.

Mengonfigurasi agen jarak jauh Google SecOps (Docker)

Untuk mengonfigurasi agen jarak jauh Google SecOps (Docker) agar berfungsi dengan SQL Server, selesaikan langkah-langkah berikut di shell Linux agen jarak jauh:

Jalankan shell di container Docker: docker exec -it siemplify /bin/bash
Tambahkan server DNS domain Anda ke file /etc/resol.conf: #vi /etc/resolv.conf
Instal paket krb5 untuk CentOS 7: #yum install krb5-workstation
Buka file /etc/krb5.conf dan tambahkan domain Anda sebagai default_realm dengan huruf besar: #vi etc/krb5.conf
Dapatkan tiket kerberos. Gunakan pengguna yang memiliki akses ke database SQL Server: #kinit sql_user
Masukkan sandi pengguna Anda.
Tampilkan tiket yang diperoleh: #klist
Opsional: Hapus tiket kerberos: #kdestroy -A

Untuk mengetahui informasi selengkapnya tentang cara membuat agen jarak jauh di Docker, lihat Membuat agen dengan Docker.

Opsional: Menginstal alat SQL Server untuk proses debug

Untuk menginstal alat SQL Server untuk proses debug, selesaikan langkah-langkah berikut di shell Linux agen jarak jauh:

Tambahkan repositori Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Instal alat SQL Server: # yum install mssql-tools unixODBC-devel

Biner diinstal di direktori berikut: /opt/mssql-tools/bin.
Uji koneksi ke SQL Server: #kinit sql_user
Jalankan perintah berikut: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Mengintegrasikan MSSQL dengan Google SecOps

Integrasi memerlukan parameter berikut:

Parameter	Deskripsi
`Server Address`	Wajib Alamat instance SQL Server. Nilai defaultnya adalah `sqlserver.DOMAIN.com`.
`Username`	Opsional Nama pengguna instance SQL Server.
`Password`	Opsional Sandi pengguna.
`Port`	Opsional Port yang akan digunakan dalam integrasi.
`Windows Authentication`	Opsional Jika dipilih, integrasi akan melakukan autentikasi menggunakan autentikasi Windows. Tidak dipilih secara default.
`Use Kerberos Authentication`	Opsional Jika dipilih, integrasi akan melakukan autentikasi menggunakan autentikasi Kerberos. Tidak dipilih secara default.
`Kerberos Realm`	Opsional Nilai realm Kerberos.
`Kerberos Username`	Opsional Nama pengguna untuk autentikasi Kerberos.
`Kerberos Password`	Opsional Sandi untuk autentikasi Kerberos.
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk koneksi ke SQL Server valid. Dipilih secara default. Parameter ini hanya berlaku untuk driver ODBC Microsoft untuk SQL Server versi 18. Jika host server Google SecOps menjalankan versi driver ODBC yang lebih lama, integrasi akan mengabaikan parameter ini.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika perlu. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Integrasi SQL Server mencakup tindakan berikut:

Ping
Menjalankan Kueri SQL

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke SQL Server.

Tindakan ini dijalankan di semua entity.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tidak tersedia
Hasil skrip	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Menjalankan Kueri SQL

Gunakan tindakan Jalankan Kueri SQL untuk menjalankan kueri SQL.

Tindakan ini dijalankan di semua entity.

Input tindakan

Tindakan Run SQL Query memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Database Name`	Wajib Nama database untuk menjalankan kueri.
	Wajib Kueri yang akan dijalankan. Nilai defaultnya adalah `SELECT * FROM <>`.

Database Name

Wajib

Nama database untuk menjalankan kueri.

Wajib

Kueri yang akan dijalankan.

Nilai defaultnya adalah SELECT * FROM <>.

Output tindakan

Tindakan Run SQL Query memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tidak tersedia
Hasil skrip	Tersedia

Hasil JSON

Berikut ini contoh output hasil JSON yang diterima saat menggunakan tindakan Jalankan Kueri SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri SQL:

Nama hasil skrip	Nilai
`is_blocked`	`True` atau `False`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.