Crie uma ação personalizada

Compatível com:

Em Crie uma integração personalizada, criou uma ação Ping para a integração da Armis. Este documento descreve como criar uma ação personalizada para a integração da Armis que enriquece as entidades. Pressupõe que tem conhecimentos práticos de Python e programação orientada para objetos. Como pré-requisito, consulte a documentação do SDK e o procedimento de integração personalizada, e explore os módulos do SDK.

Crie uma ação personalizada

Para criar uma ação personalizada, siga estes passos:

  1. Aceda a Resposta > IDE; é apresentada a página IDE.
  2. Clique em Criar novo item e selecione Ação. Introduza um nome e selecione a integração.
  3. Clique em Criar. O IDE cria um novo modelo com comentários e explicações de código.

O objeto de ação do Siemplify

Uma ação do Siemplify requer estes passos:

  • Tem de ser criada uma instância de um objeto a partir da classe SiemplifyAction.
  • O objeto tem de usar o método end da classe para devolver uma mensagem de saída e um valor de resultado.

Valores dos resultados

Cada ação tem um Nome de saída que representa o valor do resultado devolvido pelo método end de SiemplifyAction. Por predefinição, esta opção está is_success, mas pode alterá-la no ambiente de programação integrado (IDE). Também pode predefinir um Valor de retorno para quando uma ação falha. Por exemplo, se a ação exceder o tempo limite após cinco minutos (ou falhar por qualquer outro motivo), o valor de ScriptResult é definido como Timeout.

Valor do resultado JSON

Também pode adicionar um resultado JSON, o que é útil para fazer a rotação dos dados em manuais de procedimentos ou para análise manual. Para o fazer, use o método add_result_json na propriedade de resultado SiemplifyAction ou o método add_entity_json para anexar um resultado JSON diretamente a uma entidade.

Importações e constantes

A classe `SiemplifyAction` do módulo `SiemplifyAction` é sempre importada. Outras importações comuns incluem:

  • output_handler de SiemplifyUtils para depuração.
  • add_prefix_to_dict_keys e convert_dict_to_json_result_dict para a transformação de dados.
  • EntityTypes para determinar o tipo de entidade no qual uma ação vai ser executada.

Esta ação também reutiliza o `ArmisManager` criado no procedimento de integração personalizada e importa a biblioteca `json` padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.