Questa pagina è stata tradotta dall'API Cloud Translation.

MSSQL

Questo documento fornisce indicazioni su come integrare Microsoft SQL Server con Google Security Operations SOAR.

Versione integrazione: 14.0

Prima di iniziare

Questa sezione ti aiuta a configurare un agente remoto Google SecOps (RHEL, CentOS o Docker) per funzionare con SQL Server utilizzando l'autenticazione Kerberos.

Configura un agente remoto Google SecOps (RHEL o CentOS)

Per configurare un agente remoto Google SecOps (RHEL o CentOS) per funzionare con SQL Server, completa i seguenti passaggi nella shell Linux dell'agente remoto:

Aggiungi i tuoi server DNS al file /etc/resol.conf: #vi /etc/resolv.conf
Installa il pacchetto krb5 per CentOS 7: #yum install krb5-workstation
Apri il file /etc/krb5.conf e aggiungi il tuo dominio come default_realm con le lettere maiuscole: #vi etc/krb5.conf
Testa la connessione con Active Directory. Utilizza un utente che abbia accesso al database SQL Server: #kinit sql_user
Inserisci la password utente.
Mostra il biglietto ottenuto: #klist
(Facoltativo) Rimuovi il ticket Kerberos: #kdestroy -A

Per saperne di più sulla creazione di un agente remoto su CentOS utilizzando l'integrazione di Microsoft SQL, consulta Crea un agente con il programma di installazione per CentOS.

Configura un agente remoto Google SecOps (Docker)

Per configurare un agente remoto Google SecOps (Docker) per funzionare con SQL Server, completa i seguenti passaggi nella shell Linux dell'agente remoto:

Esegui una shell in un container Docker: docker exec -it siemplify /bin/bash
Aggiungi i server DNS del tuo dominio al file /etc/resol.conf: #vi /etc/resolv.conf
Installa il pacchetto krb5 per CentOS 7: #yum install krb5-workstation
Apri il file /etc/krb5.conf e aggiungi il tuo dominio come default_realm con le lettere maiuscole: #vi etc/krb5.conf
Ottieni una richiesta di Kerberos. Utilizza un utente che abbia accesso al database SQL Server: #kinit sql_user
Inserisci la password utente.
Mostra il biglietto ottenuto: #klist
(Facoltativo) Rimuovi il ticket Kerberos: #kdestroy -A

Per saperne di più sulla creazione di un agente remoto su Docker, vedi Crea agente con Docker.

(Facoltativo) Installa gli strumenti SQL Server per il debug

Per installare gli strumenti SQL Server per il debug, completa i seguenti passaggi nella shell Linux dell'agente remoto:

Aggiungi il repository Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Installa gli strumenti di SQL Server: # yum install mssql-tools unixODBC-devel

I file binari vengono installati nella seguente directory: /opt/mssql-tools/bin.
Testa la connessione a SQL Server: #kinit sql_user
Esegui questo comando: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Integrare MSSQL con Google SecOps

L'integrazione richiede i seguenti parametri:

Parametri	Descrizione
`Server Address`	Obbligatorio Un indirizzo dell'istanza SQL Server. Il valore predefinito è `sqlserver.DOMAIN.com`.
`Username`	Optional Il nome utente dell'istanza SQL Server.
`Password`	Optional La password dell'utente.
`Port`	Optional La porta da utilizzare nell'integrazione.
`Windows Authentication`	Optional Se selezionata, l'integrazione esegue l'autenticazione utilizzando l'autenticazione Windows. Non selezionato per impostazione predefinita.
`Use Kerberos Authentication`	Optional Se selezionata, l'integrazione esegue l'autenticazione utilizzando l'autenticazione Kerberos. Non selezionato per impostazione predefinita.
`Kerberos Realm`	Optional Il valore del realm Kerberos.
`Kerberos Username`	Optional Il nome utente per l'autenticazione Kerberos.
`Kerberos Password`	Optional La password per l'autenticazione Kerberos.
`Verify SSL`	Optional Se selezionata, l'integrazione verifica che il certificato SSL per la connessione a SQL Server sia valido. Questa opzione è selezionata per impostazione predefinita. Questo parametro si applica solo al driver ODBC Microsoft per SQL Server versione 18. Se l'host del server Google SecOps esegue versioni precedenti del driver ODBC, l'integrazione ignora questo parametro.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

L'integrazione di SQL Server include le seguenti azioni:

Ping
Esegui query SQL

Dindin

Utilizza l'azione Ping per verificare la connettività a SQL Server.

Questa azione viene eseguita su tutte le entità.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Non disponibile
Risultato dello script	Disponibile

Risultato dello script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Esegui query SQL

Utilizza l'azione Esegui query SQL per eseguire query SQL.

Questa azione viene eseguita su tutte le entità.

Input azione

L'azione Esegui query SQL richiede i seguenti parametri:

Parametri Descrizione

Parametri	Descrizione
`Database Name`	Obbligatorio Il nome del database su cui eseguire la query.
	Obbligatorio La query da eseguire. Il valore predefinito è `SELECT * FROM <>`.

Database Name

Obbligatorio

Il nome del database su cui eseguire la query.

Obbligatorio

La query da eseguire.

Il valore predefinito è SELECT * FROM <>.

Output dell'azione

L'azione Esegui query SQL fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca richieste	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Non disponibile
Risultato dello script	Disponibile

Risultato JSON

Di seguito è riportato un esempio dell'output del risultato JSON ricevuto quando si utilizza l'azione Esegui query SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Esegui query SQL:

Nome del risultato dello script	Valore
`is_blocked`	`True` o `False`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.