SolarWinds Orion
Versão da integração: 4.0
Exemplos de utilização
Executar ações ativas: executar consultas SQL para receber mais informações sobre o ponto final.
Configure a integração do SolarWinds Orion no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço IP | String | x.x.x.x:17778 | Sim | Endereço IP da instância do SolarWinds Orion. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do SolarWinds Orion. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do SolarWinds Orion. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor SolarWinds Orion é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao SolarWinds Orion com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_succeed:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: Imprima "Successfully connected to the SolarWinds Orion server with the provided connection parameters!" A ação deve falhar e parar a execução de um guia interativo: Imprima "Failed to connect to the SolarWinds Orion server! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar consulta
Descrição
Execute a consulta no SolarWinds Orion.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que tem de ser executada. Nota: as consultas do SolarWind não suportam a notação "*". |
| Máximo de resultados a devolver | Número inteiro | 100 | Não | Especifique quantos resultados devem ser devolvidos. |
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se não for o código de estado 400 (is_success = true): Imprimir "Successfully executed query and retrieved results from SolarWinds Orion" (Consulta executada com êxito e resultados obtidos do SolarWinds Orion). Se o código de estado for 400 (is_success = false): Imprimir "Não foi possível executar a consulta com êxito e obter resultados do SolarWinds Orion. Motivo: {0}".format(message) A ação deve falhar e parar a execução de um playbook: Imprima "Erro ao executar a ação "Execute Query". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: "Resultados" Todas as colunas da resposta são usadas como colunas da tabela. |
Geral |
Execute uma consulta de entidade
Descrição
Execute a consulta no SolarWinds Orion com base nas entidades de IP e nome de anfitrião.
Como trabalhar com parâmetros de ações
Esta ação permite obter facilmente informações sobre os pontos finais com base nas entidades de endereço IP e nome de anfitrião.
Imagine uma situação em que quer obter o tempo de atividade dos pontos finais. O primeiro ponto final tem o IP "172.30.230.130" e o segundo ponto final tem o nome de anfitrião "DC001". Neste caso, a nossa consulta teria de ter o seguinte aspeto:
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
Para criar a mesma consulta através da ação "Executar consulta de entidade", tem de preencher os parâmetros da ação da seguinte forma:
| Consulta | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| Chave da entidade de IP | IpAddress |
| Chave da entidade de nome do anfitrião | DisplayName |
A cláusula WHERE é preparada automaticamente.
Documentação do esquema da tabela
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que tem de ser executada. Nota: as consultas do SolarWind não suportam a notação "*" e não deve ter uma cláusula WHERE na consulta, porque é adicionada pela ação. Consulte a documentação da ação para ver detalhes. |
| Chave da entidade de IP | String | IpAddress | Não | Especifique a chave que deve ser usada com entidades IP na cláusula WHERE da consulta. Consulte a documentação da ação para ver detalhes. Predefinição: IpAddress |
| Chave da entidade de nome do anfitrião | String | Nome do anfitrião | Não | Especifique a chave que deve ser usada com as entidades Hostname na cláusula WHERE da consulta. Consulte a documentação da ação para ver detalhes. Predefinição: Nome do anfitrião |
| Máximo de resultados a devolver | Número inteiro | 100 | Não | Especifique quantos resultados devem ser devolvidos. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"results": [
{
"DisplayName": "orion"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se não for o código de estado 400 (is_success = true): Imprimir "Successfully executed query and retrieved results from SolarWinds Orion" (Consulta executada com êxito e resultados obtidos do SolarWinds Orion). Se o código de estado for 400 (is_success = false): Imprimir "Não foi possível executar a consulta com êxito e obter resultados do SolarWinds Orion. Motivo: {0}".format(message) If no entities in the scope (is_success = false) Imprima "Não foram encontradas entidades no âmbito." A ação deve falhar e parar a execução de um playbook: Imprimir "Erro ao executar a ação "Execute Entity Query". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: "Resultados" Todas as colunas da resposta são usadas como colunas da tabela. |
Geral |
Ponto final de enriquecimento
Descrição
Obter as informações do sistema do ponto final pelo respetivo nome do anfitrião ou endereço IP.
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Enriquecimento de entidades
Para o enriquecimento de entidades, todos os campos da resposta são usados. O prefixo vai ser SLRWORION
Por exemplo, SLRW_ORION_CPULoad é mapeado a partir de CPULoad
Resultado JSON
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas tiver sido enriquecida (is_success = true): Print "Successfully enriched the following endpoints from SolarWinds Orion: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Print "Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}".format([entity.identifier]) If fail to enrich for all entities (is_success = false): Imprima "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um playbook: Imprimir "Erro ao executar a ação "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.