创建自定义操作

支持的平台:

构建自定义集成中,您为 Armis 集成创建了 Ping 操作。本文档简要介绍了如何为 Armis 集成创建可丰富实体的自定义操作。本教程假定您具备 Python 和面向对象编程方面的工作知识。如需了解前提条件,请参阅 SDK 文档和自定义集成程序,并探索 SDK 模块。

创建自定义操作

如需创建自定义操作,请按照下列步骤操作:

  1. 前往回答 > IDE;系统会显示 IDE 页面。
  2. 点击 Create New Item,然后选择 Action。输入名称,然后选择集成。
  3. 点击创建。IDE 会创建一个包含代码注释和说明的新模板。

Siemplify 操作对象

Siemplify 操作需要执行以下步骤:

  • 必须从 SiemplifyAction 类实例化对象。
  • 对象必须使用类的 end 方法来返回输出消息和结果值。

结果值

每个操作都有一个输出名称,表示 SiemplifyAction 的 end 方法返回的结果值。默认值为 is_success,但您可以在集成开发环境 (IDE) 中更改此值。您还可以设置操作失败时的默认返回值。 例如,如果操作在 5 分钟后超时(或因任何其他原因而失败),则 ScriptResult 会设置为 Timeout

JSON 结果值

您还可以添加 JSON 结果,这对于在 playbook 中透视数据或进行人工分析非常有用。为此,请对 SiemplifyAction 结果属性使用 add_result_json 方法,或使用 add_entity_json 方法将 JSON 结果直接附加到实体。

导入和常量

始终会导入 `SiemplifyAction` 模块中的 `SiemplifyAction` 类。其他常见导入包括:

  • output_handler(来自 SiemplifyUtils)以进行调试。
  • add_prefix_to_dict_keysconvert_dict_to_json_result_dict 用于数据转换。
  • EntityTypes 来确定操作将针对哪种类型的实体运行。

此操作还会重用在自定义集成过程中创建的 `ArmisManager`,并导入标准 `json` 库。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。