커스텀 작업 만들기

다음에서 지원:

맞춤 통합 빌드에서 Armis 통합을 위한 Ping 작업을 만들었습니다. 이 문서에서는 엔티티를 보강하는 Armis 통합을 위한 맞춤 작업을 만드는 방법을 설명합니다. Python 및 객체 지향 프로그래밍에 대한 실무 지식이 있다고 가정합니다. 필수사항은 SDK 문서와 맞춤 통합 절차를 참고하고 SDK 모듈을 살펴보세요.

커스텀 작업 만들기

맞춤 작업을 만들려면 다음 단계를 따르세요.

  1. 응답 > IDE로 이동하면 IDE 페이지가 표시됩니다.
  2. 새 항목 만들기를 클릭하고 작업을 선택합니다. 이름을 입력하고 통합을 선택합니다.
  3. 만들기를 클릭합니다. IDE에서 코드 주석과 설명이 포함된 새 템플릿을 만듭니다.

Siemplify 작업 객체

Siemplify 작업에는 다음 단계가 필요합니다.

  • 객체는 SiemplifyAction 클래스에서 인스턴스화해야 합니다.
  • 객체는 클래스의 end 메서드를 사용하여 출력 메시지와 결과 값을 반환해야 합니다.

결과 값

모든 작업에는 SiemplifyAction의 end 메서드에서 반환된 결과 값을 나타내는 출력 이름이 있습니다. 기본적으로 이 값은 is_success이지만 통합 개발 환경 (IDE)에서 변경할 수 있습니다. 작업이 실패할 때의 기본 반환 값을 설정할 수도 있습니다. 예를 들어 작업이 5분 후에 시간 초과되거나 다른 이유로 실패하면 ScriptResultTimeout로 설정됩니다.

JSON 결과 값

JSON 결과를 추가할 수도 있습니다. 이는 플레이북에서 데이터를 피벗하거나 수동 분석에 유용합니다. 이렇게 하려면 SiemplifyAction 결과 속성에서 add_result_json 메서드를 사용하거나 add_entity_json 메서드를 사용하여 JSON 결과를 항목에 직접 연결합니다.

가져오기 및 상수

`SiemplifyAction` 모듈의 `SiemplifyAction` 클래스는 항상 가져옵니다. 기타 일반적인 가져오기는 다음과 같습니다.

  • 디버깅을 위해 SiemplifyUtils에서 output_handler을 가져옵니다.
  • 데이터 변환을 위한 add_prefix_to_dict_keysconvert_dict_to_json_result_dict
  • EntityTypes를 사용하여 작업이 실행될 항목 유형을 확인합니다.

이 작업은 맞춤 통합 절차에서 생성된 `ArmisManager` 를 재사용하고 표준 `json` 라이브러리를 가져옵니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.