Memigrasikan endpoint SOAR ke Chronicle API

Didukung di:

Dokumen ini berlaku untuk Anda jika Anda memanggil SOAR API secara terprogram menggunakan integrasi, skrip kustom, atau tindakan kustom. Dokumen ini menguraikan langkah-langkah dan pertimbangan untuk membantu Anda memperbarui referensi API terprogram ke endpoint SOAR API baru sebagai bagian dari Chronicle API.

Platform Chronicle API memperkenalkan beberapa peningkatan yang dirancang untuk menyederhanakan proses pengembangan Anda. Selain itu, API ini mengatasi batasan dan kompleksitas yang ada di API lama.

SOAR API dan kunci API lama akan tersedia hingga 30 September 2026, setelah itu tidak akan berfungsi lagi.

Prasyarat

Sebelum melakukan migrasi SOAR API, Anda harus melakukan hal berikut:

Perubahan dan peningkatan utama

Tabel berikut menyoroti perbedaan utama antara platform API lama dan baru:

Area fitur API Lama API Baru Detail
Autentikasi Token API OAuth 2.0 Metode autentikasi baru ini memberikan keamanan yang lebih baik dan menstandardisasi prosesnya.
Model data Struktur datar Desain berorientasi resource Desain baru ini meningkatkan konsistensi data dan menyederhanakan manipulasi objek.
Penamaan endpoint Tidak konsisten RESTful dan standar Penamaan yang konsisten membuat API lebih intuitif dan lebih mudah diintegrasikan.

Jadwal penghentian penggunaan

Platform API lama untuk SOAR dijadwalkan untuk dihentikan sepenuhnya pada 30 September 2026. Sebaiknya selesaikan migrasi Anda sebelum tanggal ini untuk menghindari gangguan layanan.

Langkah-langkah migrasi

Bagian ini menguraikan langkah-langkah untuk berhasil memigrasikan aplikasi Anda ke Chronicle API:

Tinjau dokumentasi

Pahami dokumentasi komprehensif untuk API baru, termasuk panduan referensi Chronicle API.

Memetakan endpoint ke platform API baru

Identifikasi endpoint baru yang sesuai untuk setiap panggilan API lama yang dilakukan aplikasi Anda. Demikian pula, petakan model data lama ke model data baru, dengan mempertimbangkan perubahan struktural atau kolom baru. Untuk mengetahui detailnya, lihat Tabel pemetaan endpoint API.

Opsional: Membuat integrasi penyiapan

Jika Anda mengedit integrasi kustom atau komponen integrasi komersial, sebaiknya kirim perubahan ke integrasi staging terlebih dahulu. Proses ini memungkinkan Anda melakukan pengujian tanpa memengaruhi alur otomatisasi produksi. Jika Anda memigrasikan aplikasi buatan kustom yang menggunakan SOAR API, Anda dapat langsung melanjutkan ke langkah berikutnya. Untuk mengetahui detail tentang penyiapan integrasi, lihat Menguji integrasi dalam mode penyiapan.

Memperbarui endpoint dan URL layanan

Endpoint layanan adalah URL dasar yang menentukan alamat jaringan layanan API. Satu layanan dapat memiliki beberapa endpoint layanan. Chronicle adalah layanan regional dan hanya mendukung endpoint regional.

Semua endpoint baru menggunakan awalan yang konsisten, sehingga alamat endpoint akhir dapat diprediksi. Contoh berikut menunjukkan struktur URL endpoint baru:

[api_version]/projects/[project_id]/locations/[location]/instances[instance_id]/...

Struktur ini membuat alamat akhir ke endpoint sebagai berikut:

https://[service_endpoint]/[api_version]/projects/[project_id]/locations/[location]/instances/[instance_id]/...

Dengan:

  • service_endpoint: Alamat layanan regional
  • api_version: Versi API yang akan dikueri. Dapat berupa v1alpha, v1beta, atau v1.
  • project_id: Project ID Anda (project yang sama dengan yang Anda tetapkan untuk izin IAM)
  • location: Lokasi project Anda (region); sama dengan endpoint regional
  • instance_id: ID pelanggan Google Security Operations SIEM Anda.

Alamat regional:

  • africa-south1: https://chronicle.africa-south1.rep.googleapis.com

  • asia-northeast1: https://chronicle.asia-northeast1.rep.googleapis.com

  • asia-south1: https://chronicle.asia-south1.rep.googleapis.com

  • asia-southeast1: https://chronicle.asia-southeast1.rep.googleapis.com

  • asia-southeast2: https://chronicle.asia-southeast2.rep.googleapis.com

  • australia-southeast1: https://chronicle.australia-southeast1.rep.googleapis.com

  • europe-west12: https://chronicle.europe-west12.rep.googleapis.com

  • europe-west2: https://chronicle.europe-west2.rep.googleapis.com

  • europe-west3: https://chronicle.europe-west3.rep.googleapis.com

  • europe-west6: https://chronicle.europe-west6.rep.googleapis.com

  • europe-west9: https://chronicle.europe-west9.rep.googleapis.com

  • me-central1: https://chronicle.me-central1.rep.googleapis.com

  • me-central2: https://chronicle.me-central2.rep.googleapis.com

  • me-west1: https://chronicle.me-west1.rep.googleapis.com

  • northamerica-northeast2: https://chronicle.northamerica-northeast2.rep.googleapis.com

  • southamerica-east1: https://chronicle.southamerica-east1.rep.googleapis.com

  • kami: https://chronicle.us.rep.googleapis.com

  • eropa: https://chronicle.eu.rep.googleapis.com

Misalnya, untuk mendapatkan daftar semua kasus pada project di Amerika Serikat:

GET 
  https://chronicle.us.rep.googleapis.com/v1alpha/projects/my-project-name-or-id/locations/us/instances/408bfb7b-5746-4a50-885a-50a323023529/cases

Memperbarui metode autentikasi

API baru menggunakan Google Cloud IAM untuk autentikasi. Anda harus memperbarui integrasi aplikasi atau respons untuk menerapkan alur autentikasi baru ini. Pastikan pengguna yang menjalankan skrip memiliki izin yang benar untuk endpoint yang coba diaksesnya. Untuk menerapkan alur baru ini, Anda harus mengupdate integrasi atau aplikasi respons Anda. Pastikan pengguna yang menjalankan skrip memiliki izin yang diperlukan untuk endpoint yang ditargetkan. Untuk mendapatkan petunjuk mendetail, lihat halaman Melakukan autentikasi ke Chronicle API.

Memetakan akun layanan atau identitas workload ke parameter SOAR

Jika Anda menggunakan federasi identitas workload atau akun layanan untuk melakukan autentikasi ke Chronicle API, Anda harus memberikan otorisasi di dalam platform untuk memastikan akun layanan atau federasi identitas workload tersebut dapat berkomunikasi dengan Google SecOps. Pemetaan ini diperlukan untuk memberikan akses yang diperlukan ke Peran dan Lingkungan SOC kepada akun layanan atau identitas beban kerja.

Untuk memetakan akun layanan Anda:

  1. Buka Setelan SOAR > Lanjutan > Pemetaan Grup.

  2. Klik tambahkan Tambahkan.

  3. Pada dialog Add Role, masukkan alamat email lengkap akun layanan Anda atau string utama Workload Identity di kolom IAM Role / IdP group.

  4. Pilih Peran SOC dan Lingkungan yang sesuai.

  5. Klik Tambahkan.

Untuk mengetahui informasi selengkapnya tentang pemetaan pengguna dan akun layanan, lihat Memetakan pengguna di platform menggunakan identitas pihak ketiga atau Memetakan pengguna di platform menggunakan Cloud Identity.

Memperbarui logika API

Analisis model data dan struktur endpoint baru yang disediakan dalam referensi API. Tidak semua metode telah berubah secara signifikan, dan beberapa kode yang ada dapat digunakan kembali. Tujuan utamanya adalah meninjau dokumentasi referensi baru dan, untuk setiap kasus penggunaan tertentu, mengidentifikasi dan menerapkan perubahan yang diperlukan pada nama kolom dan struktur data dalam logika aplikasi Anda.

Menguji integrasi Anda

Uji aplikasi yang telah diupdate dalam integrasi penyiapan sebelum men-deploy ke produksi:

  1. Buat rencana pengujian: Tentukan kasus pengujian yang mencakup semua fungsi yang dimigrasikan.
  2. Jalankan pengujian: Jalankan pengujian otomatis dan manual untuk mengonfirmasi akurasi dan validitas.
  3. Pantau performa: Menilai performa aplikasi Anda dengan API baru.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.