Persyaratan untuk memublikasikan integrasi

Dokumen ini menguraikan persyaratan untuk memublikasikan integrasi di Google Security Operations SOAR. Dokumen ini mencantumkan prasyarat, standar coding, panduan pengembangan tindakan, aturan pemformatan JSON, praktik terbaik pengayaan entitas, dan proses untuk mengirimkan integrasi ke Google Security Operations Marketplace. Mengikuti persyaratan ini membantu memastikan integrasi dapat diandalkan, mudah dikelola, dan dapat ditemukan oleh pengguna lain.

Persyaratan integrasi

• Python 3.7: Kembangkan semua integrasi di Python 3.7.
• Deskripsi integrasi: Sertakan deskripsi yang jelas tentang produk yang Anda integrasikan.
• Icons
  • Ikon SVG: Ikon ini diterapkan ke semua instance integrasi di platform.
  • Ikon PNG: Gambar ini muncul di Google SecOps Marketplace.
• Kategori integrasi: Tentukan kategori agar pengguna lain dapat memfilter integrasi Anda di Google SecOps Marketplace. Pilih kategori dari daftar standar di Google SecOps Marketplace.
• Dependensi: Jika integrasi Anda memerlukan library eksternal, cantumkan library tersebut dalam setelan integrasi.
• Parameter Integrasi: Sertakan semua parameter yang diperlukan agar koneksi ke produk berhasil, beserta deskripsi yang jelas.
• Pengelola: Untuk menghindari duplikasi kode, buat pengelola—file Python yang dapat dirujuk oleh skrip lain dalam integrasi.
• Tindakan ping: Sertakan tindakan Ping untuk memverifikasi konektivitas. Hasilnya akan menampilkan true jika koneksi berhasil. Tindakan ini harus dinonaktifkan secara default; tindakan ini tidak ditujukan untuk penggunaan playbook.
• Linux: Integrasi harus mendukung CentOS 7 atau yang lebih baru.

Persyaratan tindakan

• Deskripsi tindakan: Jelaskan dengan jelas fungsi tindakan.
• Struktur tindakan: Ikuti template tindakan Integrated Development Environment (IDE) default.
• Parameter tindakan: Tentukan semua parameter yang relevan dengan tindakan, termasuk deskripsi. Cocokkan jenis parameter dengan persyaratan tindakan.
• Menjalankan tindakan pada konteks pemberitahuan: Jika berlaku, rancang tindakan untuk dijalankan dalam konteks pemberitahuan. Misalnya, cakup logika ke jenis entity tertentu (misalnya, URL) menggunakan siemplify.target_entities. Untuk contoh, lihat Membuat tindakan kustom.
• Pencatatan log: Tambahkan log untuk tindakan yang kompleks, dan catat semua pengecualian atau error dengan tingkat keparahan yang benar (`info`, `warn`, `error`, dan `exception`).

Persyaratan JSON

• Hasil JSON: Untuk tindakan yang menampilkan data, gunakan add_result_json untuk menampilkan hasil JSON.
• Menambahkan Contoh JSON: Tambahkan contoh file JSON yang dapat Anda impor ke Pembuat Ekspresi untuk pembuatan playbook. Rekomendasi ini memungkinkan nilai hasil JSON merepresentasikan placeholder dalam playbook.

Memperkaya entitas

Saat memperkaya entitas dengan data dari produk terintegrasi, ikuti praktik terbaik berikut:

• Menambahkan langkah pengayaan: Sertakan data yang relevan dari produk dalam output tindakan.
• Gunakan awalan: Tambahkan awalan (biasanya nama produk) ke kunci kolom pengayaan untuk mencegah konflik.
  • Contoh: Untuk memperkaya entitas dengan nama depan dan nama belakang pengguna, tambahkan Zoom sebagai awalan ke kolom baru.

    entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
    entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")

• Perbarui entity: Gunakan entity.additional_properties.update() untuk menambahkan data yang telah di-enrich ke properti entity.
• Perbarui pemberitahuan: Gunakan siemplify.update_entities(enriched_entities) untuk menambahkan entity yang diperbarui ke pemberitahuan. Klik entitas untuk melihat detail lengkap.

Memublikasikan integrasi

Agar integrasi Anda tersedia untuk semua pengguna Google SecOps Marketplace, hubungi Dukungan Pelanggan untuk mengirimkannya agar ditinjau oleh tim Marketplace.