Crear una acción personalizada

Disponible en:

En Crear una integración personalizada, has creado una acción de Ping para la integración de Armis. En este documento se explica cómo crear una acción personalizada para la integración de Armis que enriquezca las entidades. Se da por hecho que tienes conocimientos prácticos de Python y de programación orientada a objetos. Para conocer los requisitos previos, consulta la documentación del SDK y el procedimiento de integración personalizada, y explora los módulos del SDK.

Crear una acción personalizada

Para crear una acción personalizada, sigue estos pasos:

  1. Ve a Respuesta > IDE. Aparecerá la página IDE.
  2. Haz clic en Crear nuevo elemento y selecciona Acción. Escribe un nombre y selecciona la integración.
  3. Haz clic en Crear. El IDE crea una plantilla con comentarios y explicaciones del código.

Objeto de acción de Siemplify

Para llevar a cabo una acción de Siemplify, debes seguir estos pasos:

  • Se debe crear una instancia de un objeto a partir de la clase SiemplifyAction.
  • El objeto debe usar el método end de la clase para devolver un mensaje de salida y un valor de resultado.

Valores de resultados

Cada acción tiene un nombre de salida que representa el valor de resultado devuelto por el método end de SiemplifyAction. De forma predeterminada, es is_success, pero puedes cambiarlo en el entorno de desarrollo integrado (IDE). También puedes definir un Valor de retorno predeterminado para cuando falle una acción. Por ejemplo, si la acción agota el tiempo de espera después de cinco minutos (o falla por cualquier otro motivo), ScriptResult se define como Timeout.

Valor del resultado de JSON

También puede añadir un resultado JSON, que es útil para cambiar la orientación de los datos en los manuales o para hacer análisis manuales. Para ello, usa el método add_result_json en la propiedad de resultado SiemplifyAction o el método add_entity_json para adjuntar un resultado JSON directamente a una entidad.

Importaciones y constantes

La clase `SiemplifyAction` del módulo `SiemplifyAction` siempre se importa. Otras importaciones habituales son las siguientes:

  • output_handler de SiemplifyUtils para la depuración.
  • add_prefix_to_dict_keys y convert_dict_to_json_result_dict para la transformación de datos.
  • EntityTypes para determinar el tipo de entidad en el que se ejecutará una acción.

Esta acción también reutiliza el `ArmisManager` creado en el procedimiento de integración personalizada e importa la biblioteca `json` estándar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.