Esta página se ha traducido con Cloud Translation API.

SolarWinds Orion

Versión de integración: 4.0

Casos prácticos

Realizar acciones activas: ejecuta consultas de SQL para obtener más información sobre el endpoint.

Configurar la integración de SolarWinds Orion en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	N/A	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	N/A	No	Descripción de la instancia.
Dirección IP	Cadena	x.x.x.x:17778	Sí	Dirección IP de la instancia de SolarWinds Orion.
Nombre de usuario	Cadena	N/A	Sí	Nombre de usuario de la cuenta de SolarWinds Orion.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de SolarWinds Orion.
Verificar SSL	Casilla	Desmarcada	No	Si está habilitada, compruebe que el certificado SSL de la conexión al servidor SolarWinds Orion es válido.
Ejecutar de forma remota	Casilla	Desmarcada	No	Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Ping

Descripción

‌Prueba la conectividad con SolarWinds Orion con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_succeed:False

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente: Imprime "Successfully connected to the SolarWinds Orion server with the provided connection parameters!" (Te has conectado correctamente al servidor SolarWinds Orion con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: Imprime "No se ha podido conectar al servidor SolarWinds Orion. Error: {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se completa correctamente:

Imprime "Successfully connected to the SolarWinds Orion server with the provided connection parameters!" (Te has conectado correctamente al servidor SolarWinds Orion con los parámetros de conexión proporcionados).

La acción debería fallar y detener la ejecución de la guía:
Si no se resuelve correctamente:

Imprime "No se ha podido conectar al servidor SolarWinds Orion. Error: {0}".format(exception.stacktrace)

General

Ejecutar consulta

Descripción‌

Ejecuta la consulta en SolarWinds Orion.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	¿Es Mandatory?	Descripción
Consulta	Cadena	N/A	Sí	Especifica la consulta que se debe ejecutar. Nota: Las consultas de SolarWinds no admiten la notación "*".
Número máximo de resultados que se devolverán	Entero	100	No	Especifica cuántos resultados se deben devolver.

Fecha de ejecución

Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.

‌Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_succeed	Verdadero/Falso	is_succeed:False

Resultado de JSON

{
    "results": [
        {
            "DisplayName": "orion"
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si no es el código de estado 400 (is_success = true): Imprime "Consulta ejecutada correctamente y resultados obtenidos de SolarWinds Orion". Si el código de estado es 400 (is_success = false): Imprime "No se ha podido ejecutar correctamente la consulta y obtener los resultados de SolarWinds Orion. Motivo: {0}".format(message) La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Ejecutar consulta". Motivo: {0}''.format(error.Stacktrace)	General
Tabla del panel de casos	Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si no es el código de estado 400 (is_success = true):

Imprime "Consulta ejecutada correctamente y resultados obtenidos de SolarWinds Orion".

Si el código de estado es 400 (is_success = false):

Imprime "No se ha podido ejecutar correctamente la consulta y obtener los resultados de SolarWinds Orion. Motivo: {0}".format(message)

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

Imprime "Error al ejecutar la acción "Ejecutar consulta". Motivo: {0}''.format(error.Stacktrace)

General

Tabla del panel de casos

Nombre de la tabla: "Resultados"

Todas las columnas de la respuesta se usarán como columnas de la tabla.

General

Ejecutar consulta de entidad

Descripción

Ejecuta una consulta en SolarWinds Orion basada en las entidades IP y Nombre de host.

Cómo trabajar con parámetros de acción

Esta acción permite obtener fácilmente información sobre los endpoints en función de las entidades IP y Nombre de host.

Imagina que quieres obtener el tiempo de actividad de los endpoints. El primer endpoint tiene la IP "172.30.230.130" y el segundo tiene el nombre de host "DC001". En este caso, nuestra consulta debería tener este aspecto:

SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE IpAddress='172.30.203.130' OR DisplayName='DC001'

Para crear la misma consulta con la acción "Ejecutar consulta de entidad", debes rellenar los parámetros de la acción de la siguiente manera:

Consulta	SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes
Clave de entidad de IP	IpAddress
Clave de entidad de nombre de host	DisplayName

La cláusula WHERE se preparará automáticamente.

Documentación del esquema de tabla

http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Consulta	Cadena	N/A	Sí	Especifica la consulta que se debe ejecutar. Nota: Las consultas de SolarWinds no admiten la notación "*" y no deben incluir una cláusula WHERE, ya que la acción la añade. Para obtener más información, consulta la documentación de la acción.
Clave de entidad de IP	Cadena	IpAddress	No	Especifica qué clave se debe usar con las entidades de IP en la cláusula WHERE de la consulta. Para obtener más información, consulta la documentación de la acción. Predeterminado: IpAddress
Clave de entidad de nombre de host	Cadena	Nombre de host	No	Especifica qué clave se debe usar con las entidades Hostname en la cláusula WHERE de la consulta. Para obtener más información, consulta la documentación de la acción. Predeterminado: Nombre de host
Número máximo de resultados que se devolverán	Entero	100	No	Especifica cuántos resultados se deben devolver.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Resultado de JSON

{
    "results": [
        {
            "DisplayName": "orion"
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si no es el código de estado 400 (is_success = true): Imprime "Consulta ejecutada correctamente y resultados obtenidos de SolarWinds Orion". Si el código de estado es 400 (is_success = false): Imprime "No se ha podido ejecutar correctamente la consulta y obtener los resultados de SolarWinds Orion. Motivo: {0}".format(message) Si no hay entidades en el ámbito (is_success = false) Imprime "No se han encontrado entidades en el ámbito." La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: {0}''.format(error.Stacktrace)	General
Tabla del panel de casos	Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla.	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si no es el código de estado 400 (is_success = true):

Imprime "Consulta ejecutada correctamente y resultados obtenidos de SolarWinds Orion".

Si el código de estado es 400 (is_success = false):

Imprime "No se ha podido ejecutar correctamente la consulta y obtener los resultados de SolarWinds Orion. Motivo: {0}".format(message)

Si no hay entidades en el ámbito (is_success = false)

Imprime "No se han encontrado entidades en el ámbito."

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

Imprime "Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: {0}''.format(error.Stacktrace)

General

Tabla del panel de casos

Nombre de la tabla: "Resultados"

Todas las columnas de la respuesta se usarán como columnas de la tabla.

General

Endpoint de enriquecimiento

Descripción

Obtiene la información del sistema del endpoint de obtención por su nombre de host o dirección IP.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Host

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero/Falso	is_success:False

Enriquecimiento de entidades

En el caso del enriquecimiento de entidades, se usará cada campo de la respuesta. El prefijo será SLRWORION.

Por ejemplo, SLRW_ORION_CPULoad se asigna desde CPULoad.

Resultado de JSON

{
    "results": [
        {
            "IpAddress": "172.30.203.130",
            "DisplayName": "orion",
            "NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
            "ObjectSubType": "Agent",
            "Description": "Windows 2019 Server",
            "SysName": "ORION",
            "Caption": "orion",
            "DNS": "orion",
            "Contact": "",
            "Status": 1,
            "StatusDescription": "Node status is Up.",
            "IOSImage": "",
            "IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
            "GroupStatus": "Up.gif                                  ",
            "LastBoot": "2020-10-26T11:06:00.0000000",
            "SystemUpTime": 76135.1171875,
            "AvgResponseTime": 4,
            "CPULoad": 0,
            "PercentMemoryUsed": 76,
            "MemoryAvailable": 3.08503347E+09,
            "Severity": 0,
            "Category": 2,
            "EntityType": "Orion.Nodes",
            "IsServer": true,
            "IsOrionServer": false
        }
    ]
}

Panel de casos

Tipo de resultado	Valor o descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Si la operación se ha completado correctamente y se ha enriquecido al menos una de las entidades proporcionadas (is_success = true): Imprime "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Si no se pueden enriquecer entidades específicas(is_success = true): Imprime "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success = false): Imprime "No se ha enriquecido ninguna entidad." La acción debería fallar y detener la ejecución de un cuaderno de estrategias: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor o descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la operación se ha completado correctamente y se ha enriquecido al menos una de las entidades proporcionadas (is_success = true):

Imprime "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list)

Si no se pueden enriquecer entidades específicas(is_success = true):

Imprime "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier])

Si no se puede enriquecer ninguna entidad (is_success = false):

Imprime "No se ha enriquecido ninguna entidad."

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

Imprime "Error al ejecutar la acción "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace)

General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.