Anforderungen für die Veröffentlichung von Integrationen
Unterstützt in:
Google SecOps
SOAR
In diesem Dokument werden die Anforderungen für die Veröffentlichung von Integrationen in Google Security Operations SOAR beschrieben. Darin werden Voraussetzungen, Codierungsstandards, Richtlinien für die Aktionsentwicklung, Regeln für die JSON-Formatierung, Best Practices für die Anreicherung von Entitäten und der Prozess für die Einreichung einer Integration im Google Security Operations Marketplace aufgeführt. Wenn Sie diese Anforderungen einhalten, sind Integrationen zuverlässig, wartungsfreundlich und für andere Nutzer auffindbar.
Integrationsanforderungen
- Python 3.7: Entwickeln Sie alle Integrationen in Python 3.7.
- Integration description (Beschreibung der Integration): Geben Sie eine klare Beschreibung des Produkts an, mit dem Sie die Integration durchführen.
-
Icons
- SVG-Symbol: Dieses Symbol wird auf alle Instanzen der Integration auf der Plattform angewendet.
- PNG-Symbol: Dieses Bild wird im Google SecOps Marketplace angezeigt.
- Integrationskategorie: Definieren Sie eine Kategorie, damit andere Nutzer Ihre Integration im Google SecOps Marketplace filtern können. Wählen Sie eine Kategorie aus der vordefinierten Liste im Google SecOps Marketplace aus.
- Abhängigkeiten: Wenn für Ihre Integration externe Bibliotheken erforderlich sind, listen Sie sie in den Integrationseinstellungen auf.
- Integrationsparameter: Geben Sie alle Parameter an, die für eine erfolgreiche Verbindung zum Produkt erforderlich sind, und fügen Sie klare Beschreibungen hinzu.
- Manager: Um Codeduplikate zu vermeiden, erstellen Sie einen Manager – eine Python-Datei, auf die von anderen Skripts in der Integration verwiesen werden kann.
-
Ping-Aktion: Fügen Sie eine Ping-Aktion ein, um die Verbindung zu prüfen. Wenn die Verbindung erfolgreich ist, sollte das Ergebnis
truezurückgeben. Diese Aktion sollte standardmäßig deaktiviert sein und ist nicht für die Verwendung in Playbooks vorgesehen. - Linux: Die Integration sollte CentOS 7 oder höher unterstützen.
Anforderungen an Aktionen
- Aktionsbeschreibung: Beschreiben Sie deutlich, was die Aktion bewirkt.
- Aktionsstruktur: Verwenden Sie die Standardvorlage für Aktionen in der integrierten Entwicklungsumgebung (IDE).
- Aktionsparameter: Hier werden alle Parameter definiert, die für die Aktion relevant sind, einschließlich Beschreibungen. Parametertypen müssen den Anforderungen der Aktion entsprechen.
-
Aktion im Kontext einer Benachrichtigung ausführen: Wenn möglich, sollte die Aktion im Kontext einer Benachrichtigung ausgeführt werden. Sie können die Logik beispielsweise mit
siemplify.target_entitiesauf bestimmte Entitätstypen (z. B. URLs) beschränken. Ein Beispiel finden Sie unter Benutzerdefinierte Aktionen erstellen. - Protokollierung: Fügen Sie Protokolle für komplexe Aktionen hinzu und protokollieren Sie alle Ausnahmen oder Fehler mit dem richtigen Schweregrad (`info`, `warn`, `error` und `exception`).
JSON-Anforderungen
- JSON-Ergebnis: Verwenden Sie für Aktionen, die Daten zurückgeben,
add_result_json, um ein JSON-Ergebnis zurückzugeben. - JSON-Beispiel hinzufügen: Fügen Sie eine JSON-Beispieldatei hinzu, die Sie zum Erstellen von Playbooks in den Ausdrucksgenerator importieren können. Mit dieser Empfehlung können JSON-Ergebniswerte Platzhalter in einem Playbook darstellen.
Entitäten anreichern
Wenn Sie Entitäten mit Daten aus einem integrierten Produkt anreichern, sollten Sie die folgenden Best Practices beachten:
- Anreicherungsschritt hinzufügen: Fügen Sie relevante Daten aus dem Produkt in die Aktionsausgabe ein.
- Präfix verwenden: Fügen Sie den Schlüsseln von Anreicherungsfeldern ein Präfix (in der Regel den Produktnamen) hinzu, um Konflikte zu vermeiden.
- Beispiel: Wenn Sie einer Einheit den Vor- und Nachnamen eines Nutzers hinzufügen möchten, fügen Sie den neuen Feldern das Präfix
Zoomhinzu.entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"} entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")
- Beispiel: Wenn Sie einer Einheit den Vor- und Nachnamen eines Nutzers hinzufügen möchten, fügen Sie den neuen Feldern das Präfix
- Entität aktualisieren: Verwenden Sie
entity.additional_properties.update(), um die angereicherten Daten den Attributen der Entität hinzuzufügen. - Benachrichtigung aktualisieren: Verwenden Sie
siemplify.update_entities(enriched_entities), um die aktualisierten Entitäten der Benachrichtigung hinzuzufügen. Klicken Sie auf das Element, um alle Details aufzurufen.
Integration veröffentlichen
Wenn Sie Ihre Integration allen Google SecOps Marketplace-Nutzern zur Verfügung stellen möchten, wenden Sie sich an den Kundensupport, um sie zur Überprüfung durch das Marketplace-Team einzureichen.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten