Benutzerdefinierte Aktion erstellen

Unterstützt in:

Im Abschnitt Benutzerdefinierte Integration erstellen haben Sie eine Ping-Aktion für die Armis-Integration erstellt. In diesem Dokument wird beschrieben, wie Sie eine benutzerdefinierte Aktion für die Armis-Integration erstellen, mit der Entitäten angereichert werden. Dabei wird davon ausgegangen, dass Sie mit Python und der objektorientierten Programmierung vertraut sind. Informationen zu den Voraussetzungen finden Sie in der SDK-Dokumentation und im Verfahren zur benutzerdefinierten Integration. Sehen Sie sich auch die SDK-Module an.

Benutzerdefinierte Aktion erstellen

So erstellen Sie eine benutzerdefinierte Aktion:

  1. Rufen Sie Antwort > IDE auf. Die Seite IDE wird angezeigt.
  2. Klicken Sie auf Neues Element erstellen und wählen Sie Aktion aus. Geben Sie einen Namen ein und wählen Sie die Integration aus.
  3. Klicken Sie auf Erstellen. Die IDE erstellt eine neue Vorlage mit Codekommentaren und Erläuterungen.

Das Siemplify-Aktionsobjekt

Für eine Siemplify-Aktion sind folgende Schritte erforderlich:

  • Ein Objekt muss aus der Klasse SiemplifyAction instanziiert werden.
  • Das Objekt muss die end-Methode der Klasse verwenden, um eine Ausgabenachricht und einen Ergebniswert zurückzugeben.

Ergebniswerte

Jede Aktion hat einen Ausgabenamen, der den Ergebniswert darstellt, der von der end-Methode der SiemplifyAction zurückgegeben wird. Standardmäßig ist das is_success, Sie können es aber in der integrierten Entwicklungsumgebung (IDE) ändern. Sie können auch einen Standard-Rückgabewert für den Fall festlegen, dass eine Aktion fehlschlägt. Wenn das Zeitlimit für die Aktion beispielsweise nach fünf Minuten überschritten wird oder die Aktion aus einem anderen Grund fehlschlägt, wird ScriptResult auf Timeout gesetzt.

JSON-Ergebniswert

Sie können auch ein JSON-Ergebnis hinzufügen, was nützlich ist, um Daten in Playbooks zu pivotieren oder eine manuelle Analyse durchzuführen. Verwenden Sie dazu die Methode add_result_json für das Attribut SiemplifyAction des Ergebnisses oder die Methode add_entity_json, um ein JSON-Ergebnis direkt an eine Entität anzuhängen.

Importe und Konstanten

Die Klasse `SiemplifyAction` aus dem Modul `SiemplifyAction` wird immer importiert. Weitere häufige Importe:

  • output_handler von SiemplifyUtils zum Debuggen.
  • add_prefix_to_dict_keys und convert_dict_to_json_result_dict für die Datentransformation.
  • EntityTypes, um den Entitätstyp zu bestimmen, für den eine Aktion ausgeführt wird.

Bei dieser Aktion wird auch der in der benutzerdefinierten Integration erstellte `ArmisManager` wiederverwendet und die Standardbibliothek `json` importiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten