Esta página foi traduzida pela API Cloud Translation.

MSSQL

Este documento fornece orientações sobre como integrar o Microsoft SQL Server com o SOAR do Google Security Operations.

Versão da integração: 14.0

Antes de começar

Esta secção ajuda a configurar um agente remoto do Google SecOps (RHEL, CentOS ou Docker) para funcionar com o SQL Server através da autenticação Kerberos.

Configure um agente remoto do Google SecOps (RHEL ou CentOS)

Para configurar um agente remoto do Google SecOps (RHEL ou CentOS) para funcionar com o SQL Server, conclua os seguintes passos na shell Linux do agente remoto:

Adicione os seus servidores DNS ao ficheiro /etc/resol.conf: #vi /etc/resolv.conf
Instale o pacote krb5 para o CentOS 7: #yum install krb5-workstation
Abra o ficheiro /etc/krb5.conf e adicione o seu domínio como default_realm com letras maiúsculas: #vi etc/krb5.conf
Teste a ligação com o Active Directory. Use um utilizador que tenha acesso à base de dados do SQL Server: #kinit sql_user
Introduza a palavra-passe do utilizador.
Mostrar o bilhete obtido: #klist
Opcional: remova a permissão Kerberos: #kdestroy -A

Para mais informações sobre como criar um agente remoto no CentOS usando a integração do Microsoft SQL, consulte o artigo Crie um agente com o instalador para o CentOS.

Configure um agente remoto do Google SecOps (Docker)

Para configurar um agente remoto do Google SecOps (Docker) para funcionar com o SQL Server, conclua os seguintes passos na shell do Linux do agente remoto:

Executar uma shell num contentor Docker: docker exec -it siemplify /bin/bash
Adicione os servidores DNS do seu domínio ao ficheiro /etc/resol.conf: #vi /etc/resolv.conf
Instale o pacote krb5 para o CentOS 7: #yum install krb5-workstation
Abra o ficheiro /etc/krb5.conf e adicione o seu domínio como default_realm com letras maiúsculas: #vi etc/krb5.conf
Obtenha uma permissão Kerberos. Use um utilizador que tenha acesso à base de dados do SQL Server: #kinit sql_user
Introduza a palavra-passe do utilizador.
Mostrar o bilhete obtido: #klist
Opcional: remova a permissão Kerberos: #kdestroy -A

Para mais informações sobre como criar um agente remoto no Docker, consulte o artigo Crie um agente com o Docker.

Opcional: instale ferramentas do SQL Server para depuração

Para instalar as ferramentas do SQL Server para depuração, conclua os seguintes passos na shell do Linux do agente remoto:

Adicione o repositório da Microsoft: # curl https://packages.microsoft.com/config/rhel/7/prod.repo > /etc/yum.repos.d/msprod.repo
Instale as ferramentas do SQL Server: # yum install mssql-tools unixODBC-devel

Os binários são instalados no seguinte diretório: /opt/mssql-tools/bin.
Teste a ligação ao SQL Server: #kinit sql_user
Execute o seguinte comando: /opt/mssql-tools/bin/sqlcmd -S sqlserver.yourdomain.com -E

Integre o MSSQL com o Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros	Descrição
`Server Address`	Obrigatório Um endereço da instância do SQL Server. O valor predefinido é `sqlserver.DOMAIN.com`.
`Username`	Opcional O nome de utilizador da instância do SQL Server.
`Password`	Opcional A palavra-passe do utilizador.
`Port`	Opcional A porta a usar na integração.
`Windows Authentication`	Opcional Se estiver selecionada, a integração é autenticada através da autenticação do Windows. Não selecionado por predefinição.
`Use Kerberos Authentication`	Opcional Se selecionada, a integração é autenticada através da autenticação Kerberos. Não selecionado por predefinição.
`Kerberos Realm`	Opcional O valor do domínio Kerberos.
`Kerberos Username`	Opcional O nome de utilizador para a autenticação Kerberos.
`Kerberos Password`	Opcional A palavra-passe para a autenticação Kerberos.
`Verify SSL`	Opcional Se estiver selecionada, a integração verifica se o certificado SSL para a ligação ao SQL Server é válido. Selecionado por predefinição. Este parâmetro aplica-se apenas ao controlador ODBC da Microsoft para o SQL Server versão 18. Se o anfitrião do servidor do Google SecOps executar versões anteriores do controlador ODBC, a integração ignora este parâmetro.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

A integração do SQL Server inclui as seguintes ações:

Ping
Executar consulta SQL

Tchim-tchim

Use a ação Ping para testar a conetividade ao SQL Server.

Esta ação é executada em todas as entidades.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Não disponível
Resultado do script	Disponível

Resultado do script

A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Executar consulta SQL

Use a ação Executar consulta SQL para executar consultas SQL.

Esta ação é executada em todas as entidades.

Dados de ações

A ação Executar consulta SQL requer os seguintes parâmetros:

Parâmetros Descrição

Parâmetros	Descrição
`Database Name`	Obrigatório O nome da base de dados na qual executar a consulta.
	Obrigatório A consulta a executar. O valor predefinido é `SELECT * FROM <>`.

Database Name

Obrigatório

O nome da base de dados na qual executar a consulta.

Obrigatório

A consulta a executar.

O valor predefinido é SELECT * FROM <>.

Resultados da ação

A ação Executar consulta SQL fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Não disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra um resultado JSON recebido quando usa a ação Executar consulta SQL:

[
    {
        "Name": "Actions Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the actions, that have individually failed at least 3 times, in the last 3 hours"
    },{
        "Name": "Jobs Monitor System",
        "Creator": "System",
        "Integration": "Example",
        "VersionId": "VERSION_ID",
        "ModificationTimenixTimeInMs": 1558278307098,
        "Description": "Notifies of all the jobs, that have individually failed at least 3 times, in the last 3 hours"
    }
]

Resultado do script

A tabela seguinte descreve os valores da saída do resultado do script quando usa a ação Executar consulta SQL:

Nome do resultado do script	Valor
`is_blocked`	`True` ou `False`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.