Creare un'azione personalizzata

Supportato in:

In Crea un'integrazione personalizzata, hai creato un'azione Ping per l'integrazione Armis. Questo documento descrive come creare un'azione personalizzata per l'integrazione di Armis che arricchisce le entità. Si presume che tu abbia una conoscenza pratica di Python e della programmazione orientata agli oggetti. Per un prerequisito, consulta la documentazione dell'SDK e la procedura di integrazione personalizzata ed esplora i moduli dell'SDK.

Creare un'azione personalizzata

Per creare un'azione personalizzata:

  1. Vai a Response > IDE; viene visualizzata la pagina IDE.
  2. Fai clic su Crea nuovo elemento e seleziona Azione. Inserisci un nome e seleziona l'integrazione.
  3. Fai clic su Crea. L'IDE crea un nuovo modello con commenti ed spiegazioni del codice.

L'oggetto azione Siemplify

Un'azione Siemplify richiede questi passaggi:

  • Un oggetto deve essere istanziato dalla classe SiemplifyAction.
  • L'oggetto deve utilizzare il metodo end della classe per restituire un messaggio di output e un valore di risultato.

Valori dei risultati

Ogni azione ha un Nome output che rappresenta il valore del risultato restituito dal metodo end di SiemplifyAction. Per impostazione predefinita, questo valore è is_success, ma puoi modificarlo nell'ambiente di sviluppo integrato (IDE). Puoi anche impostare un valore restituito predefinito per quando un'azione non va a buon fine. Ad esempio, se l'azione va in timeout dopo cinque minuti (o non riesce per qualsiasi altro motivo), ScriptResult viene impostato su Timeout.

Valore del risultato JSON

Puoi anche aggiungere un risultato JSON, utile per pivotare i dati nei playbook o per l'analisi manuale. Per farlo, utilizza il metodo add_result_json sulla proprietà dei risultati SiemplifyAction o il metodo add_entity_json per allegare un risultato JSON direttamente a un'entità.

Importazioni e costanti

La classe `SiemplifyAction` del modulo `SiemplifyAction` viene sempre importata. Altri importazioni comuni includono:

  • output_handler da SiemplifyUtils per il debug.
  • add_prefix_to_dict_keys e convert_dict_to_json_result_dict per la trasformazione dei dati.
  • EntityTypes per determinare il tipo di entità su cui verrà eseguita un'azione.

Questa azione riutilizza anche `ArmisManager` creato nella procedura di integrazione personalizzata e importa la libreria `json` standard.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.