Crea una acción personalizada

Compatible con:

En Crea una integración personalizada, creaste una acción de Ping para la integración de Armis. En este documento, se describe cómo crear una acción personalizada para la integración de Armis que enriquece entidades. Se supone que tienes conocimientos prácticos de Python y programación orientada a objetos. Como requisito previo, consulta la documentación del SDK y el procedimiento de integración personalizado, y explora los módulos del SDK.

Crea una acción personalizada

Para crear una acción personalizada, sigue estos pasos:

  1. Ve a Response > IDE. Aparecerá la página IDE.
  2. Haz clic en Crear elemento nuevo y selecciona Acción. Ingresa un nombre y selecciona la integración.
  3. Haz clic en Crear. El IDE crea una plantilla nueva con comentarios y explicaciones del código.

El objeto de acción de Siemplify

Una acción de Siemplify requiere los siguientes pasos:

  • Se debe crear una instancia de un objeto a partir de la clase SiemplifyAction.
  • El objeto debe usar el método end de la clase para devolver un mensaje de salida y un valor de resultado.

Valores de resultado

Cada acción tiene un Nombre de salida que representa el valor del resultado que devuelve el método end de SiemplifyAction. De forma predeterminada, es is_success, pero puedes cambiarlo en el entorno de desarrollo integrado (IDE). También puedes establecer un valor de devolución predeterminado para cuando falla una acción. Por ejemplo, si la acción agota el tiempo de espera después de cinco minutos (o falla por cualquier otro motivo), ScriptResult se establece en Timeout.

Valor del resultado de JSON

También puedes agregar un resultado JSON, que es útil para crear tablas dinámicas a partir de los datos en los cuadernos de estrategias o para el análisis manual. Para ello, usa el método add_result_json en la propiedad de resultado SiemplifyAction o el método add_entity_json para adjuntar un resultado JSON directamente a una entidad.

Importaciones y constantes

Siempre se importa la clase `SiemplifyAction` del módulo `SiemplifyAction`. Otras importaciones comunes incluyen las siguientes:

  • output_handler de SiemplifyUtils para la depuración.
  • add_prefix_to_dict_keys y convert_dict_to_json_result_dict para la transformación de datos
  • EntityTypes para determinar el tipo de entidad en el que se ejecutará una acción.

Esta acción también reutiliza el `ArmisManager` creado en el procedimiento de integración personalizado y, además, importa la biblioteca `json` estándar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.