カスタム アクションを作成する
カスタム インテグレーションを構築するでは、Armis インテグレーションの Ping アクションを作成しました。このドキュメントでは、エンティティを拡充する Armis 統合のカスタム アクションを作成する方法について説明します。Python とオブジェクト指向プログラミングに関する実践的な知識があることを前提としています。前提条件については、SDK のドキュメントとカスタム統合の手順を参照し、SDK モジュールを確認してください。
カスタム アクションを作成する
カスタム アクションを作成する手順は次のとおりです。
- [レスポンス > IDE] に移動します。IDE ページが表示されます。
- [Create New Item] をクリックして、[Action] を選択します。名前を入力して、統合を選択します。
- [作成] をクリックします。IDE によって、コードのコメントと説明を含む新しいテンプレートが作成されます。
Siemplify アクション オブジェクト
Siemplify アクションには次の手順が必要です。
- オブジェクトは
SiemplifyActionクラスからインスタンス化する必要があります。 - オブジェクトは、クラスの
endメソッドを使用して、出力メッセージと結果値を返す必要があります。
結果値
すべてのアクションには、SiemplifyAction の end メソッドから返される結果値を表す出力名があります。デフォルトでは is_success ですが、統合開発環境(IDE)で変更できます。アクションが失敗した場合のデフォルトの戻り値を設定することもできます。たとえば、アクションが 5 分後にタイムアウトした場合(または他の理由で失敗した場合)、ScriptResult は Timeout に設定されます。
JSON の結果値
JSON 結果を追加することもできます。これは、プレイブックのデータでピボットする場合や、手動分析を行う場合に便利です。これを行うには、SiemplifyAction 結果プロパティの add_result_json メソッドを使用するか、add_entity_json メソッドを使用して JSON 結果をエンティティに直接関連付けます。
インポートと定数
`SiemplifyAction` モジュールの `SiemplifyAction` クラスは常にインポートされます。その他の一般的なインポートは次のとおりです。
- デバッグ用の
SiemplifyUtilsからのoutput_handler。 - データ変換用の
add_prefix_to_dict_keysとconvert_dict_to_json_result_dict。 EntityTypesを使用して、アクションが実行されるエンティティのタイプを決定します。
このアクションでは、カスタム統合の手順で作成した `ArmisManager` も再利用し、標準の `json` ライブラリをインポートします。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。