Criar uma ação personalizada

Compatível com:

Em Criar uma integração personalizada, você criou uma ação de ping para a integração do Armis. Neste documento, descrevemos como criar uma ação personalizada para a integração do Armis que enriquece entidades. Ele pressupõe que você tenha conhecimento prático de Python e programação orientada a objetos. Como pré-requisito, consulte a documentação do SDK e o procedimento de integração personalizada e explore os módulos do SDK.

Criar uma ação personalizada

Para criar uma ação personalizada, siga estas etapas:

  1. Acesse Resposta > IDE. A página IDE vai aparecer.
  2. Clique em Criar novo item e selecione Ação. Insira um nome e selecione a integração.
  3. Clique em Criar. O ambiente de desenvolvimento integrado cria um modelo com comentários e explicações de código.

O objeto de ação do Siemplify

Uma ação do Siemplify exige estas etapas:

  • Um objeto precisa ser instanciado da classe SiemplifyAction.
  • O objeto precisa usar o método end da classe para retornar uma mensagem de saída e um valor de resultado.

Valores de resultado

Cada ação tem um Nome da saída que representa o valor do resultado retornado pelo método end do SiemplifyAction. Por padrão, é is_success, mas você pode mudar isso no ambiente de desenvolvimento integrado (IDE). Também é possível definir um Valor de retorno padrão para quando uma ação falha. Por exemplo, se a ação atingir o tempo limite após cinco minutos (ou falhar por qualquer outro motivo), o ScriptResult será definido como Timeout.

Valor do resultado JSON

Também é possível adicionar um resultado JSON, o que é útil para fazer pivô em dados de playbooks ou para análise manual. Para fazer isso, use o método add_result_json na propriedade de resultado SiemplifyAction ou o método add_entity_json para anexar um resultado JSON diretamente a uma entidade.

Importações e constantes

A classe `SiemplifyAction` do módulo `SiemplifyAction` é sempre importada. Outras importações comuns incluem:

  • output_handler de SiemplifyUtils para depuração.
  • add_prefix_to_dict_keys e convert_dict_to_json_result_dict para transformação de dados.
  • EntityTypes para determinar o tipo de entidade em que uma ação será executada.

Essa ação também reutiliza o `ArmisManager` criado no procedimento de integração personalizada e importa a biblioteca `json` padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.