Se usó la API de Cloud Translation para traducir esta página.

Requisitos para publicar integraciones

Compatible con:

Google SecOps SOAR

En este documento, se describen los requisitos para publicar integraciones en Google Security Operations SOAR. En él, se enumeran los requisitos previos, los estándares de codificación, los lineamientos para el desarrollo de acciones, las reglas de formato JSON, las prácticas recomendadas para el enriquecimiento de entidades y el proceso para enviar una integración a Google Security Operations Marketplace. Cumplir con estos requisitos ayuda a garantizar que las integraciones sean confiables, fáciles de mantener y que otros usuarios puedan encontrarlas.

Requisitos de integración

Python 3.7: Desarrolla todas las integraciones en Python 3.7.
Descripción de la integración: Incluye una descripción clara del producto con el que realizas la integración.
Icons
- Ícono SVG: Este ícono se aplica a todas las instancias de la integración en la plataforma.
- Ícono PNG: Esta imagen aparece en Google SecOps Marketplace.
Categoría de integración: Define una categoría para permitir que otros usuarios filtren tu integración en Google SecOps Marketplace. Selecciona una categoría de la lista predefinida en Google SecOps Marketplace.
Dependencias: Si tu integración requiere bibliotecas externas, inclúyelas en la configuración de la integración.
Parámetros de integración: Incluye todos los parámetros necesarios para una conexión exitosa al producto, junto con descripciones claras.
Administrador: Para evitar la duplicación de código, crea un administrador, un archivo de Python al que puedan hacer referencia otros archivos de la integración.
Acción de ping: Incluye una acción de Ping para verificar la conectividad. El resultado debería devolver true si la conexión se realiza correctamente. Esta acción debe estar inhabilitada de forma predeterminada y no está diseñada para usarse en el manual.
Linux: La integración debe admitir CentOS 7 o versiones posteriores.

Requisitos de acción

Descripción de la acción: Describe claramente lo que hace la acción.
Estructura de la acción: Sigue la plantilla de acción predeterminada del entorno de desarrollo integrado (IDE).
Parámetros de acción: Define todos los parámetros que son relevantes para la acción, incluidas las descripciones. Haz coincidir los tipos de parámetros con los requisitos de la acción.
Ejecuta la acción en el contexto de una alerta: Cuando corresponda, diseña la acción para que se ejecute en el contexto de una alerta. Por ejemplo, puedes definir el alcance de la lógica para tipos de entidades específicos (por ejemplo, URLs) con siemplify.target_entities. Para ver un ejemplo, consulta Cómo crear acciones personalizadas.
Registro: Agrega registros para acciones complejas y registra todas las excepciones o errores con el nivel de gravedad correcto (`info`, `warn`, `error` y `exception`).

Requisitos de JSON

JSON Result: Para las acciones que devuelven datos, usa add_result_json para devolver un resultado en JSON.
Add a JSON Example: Agrega un archivo JSON de ejemplo que puedes importar en el Expression Builder para crear un playbook. Esta recomendación permite que los valores de los resultados JSON representen marcadores de posición en un manual.

Enriquece entidades

Cuando enriquezcas entidades con datos de un producto integrado, sigue estas prácticas recomendadas:

Agrega un paso de enriquecimiento: Incluye datos relevantes del producto en el resultado de la acción.
Usa un prefijo: Agrega un prefijo (por lo general, el nombre del producto) a las claves de los campos de enriquecimiento para evitar conflictos.
- Ejemplo: Para enriquecer una entidad con el nombre y apellido de un usuario, agrega Zoom como prefijo a los campos nuevos.
```
entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")
```
Actualiza la entidad: Usa entity.additional_properties.update() para agregar los datos enriquecidos a las propiedades de la entidad.
Actualiza la alerta: Usa siemplify.update_entities(enriched_entities) para agregar las entidades actualizadas a la alerta. Haz clic en la entidad para ver todos los detalles.

Publica la integración

Para que tu integración esté disponible para todos los usuarios de Google SecOps Marketplace, comunícate con Asistencia al Cliente y envíala para que el equipo de Marketplace la revise.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.