통합 게시 요구사항

다음에서 지원:
이 문서에서는 Google Security Operations SOAR에서 통합을 게시하기 위한 요구사항을 설명합니다. 여기에는 필수 요건, 코딩 표준, 작업 개발 가이드라인, JSON 형식 지정 규칙, 엔티티 보강 권장사항, Google Security Operations Marketplace에 통합을 제출하는 프로세스가 나열되어 있습니다. 이러한 요구사항을 따르면 통합이 안정적이고 유지관리 가능하며 다른 사용자가 검색할 수 있습니다.

통합 요구사항

  • Python 3.7: Python 3.7로 모든 통합을 개발합니다.
  • 통합 설명: 통합할 제품에 대한 명확한 설명을 포함합니다.
  • Icons
    • SVG 아이콘: 이 아이콘은 플랫폼의 통합 인스턴스에 모두 적용됩니다.
    • PNG 아이콘: 이 이미지는 Google SecOps Marketplace에 표시됩니다.
  • 통합 카테고리: 다른 사용자가 Google SecOps Marketplace에서 통합을 필터링할 수 있도록 카테고리를 정의합니다. Google SecOps Marketplace의 사전 정의된 목록에서 카테고리를 선택합니다.
  • 종속 항목: 통합에 외부 라이브러리가 필요한 경우 통합 설정에 나열합니다.
  • 통합 매개변수: 제품에 성공적으로 연결하는 데 필요한 모든 매개변수와 명확한 설명을 포함합니다.
  • 관리자: 코드 중복을 방지하려면 통합의 다른 스크립트에서 참조할 수 있는 Python 파일인 관리자를 만드세요.
  • 핑 작업: 연결을 확인하기 위해 Ping 작업을 포함합니다. 연결에 성공하면 결과가 true를 반환해야 합니다. 이 작업은 기본적으로 사용 중지되어야 합니다. 플레이북용이 아닙니다.
  • Linux: 통합은 CentOS 7 이상을 지원해야 합니다.

조치 요구사항

  • 작업 설명: 작업의 기능을 명확하게 설명합니다.
  • 작업 구조: 기본 통합 개발 환경 (IDE) 작업 템플릿을 따릅니다.
  • 작업 매개변수: 설명 등 작업과 관련된 모든 매개변수를 정의합니다. 매개변수 유형을 작업의 요구사항과 일치시킵니다.
  • 알림 컨텍스트에서 작업 실행: 해당하는 경우 알림 컨텍스트에서 실행되도록 작업을 설계합니다. 예를 들어 siemplify.target_entities를 사용하여 특정 항목 유형 (예: URL)에 로직의 범위를 지정합니다. 예는 맞춤 작업 만들기를 참고하세요.
  • 로깅: 복잡한 작업의 로그를 추가하고 모든 예외 또는 오류를 올바른 심각도 수준 (`info`, `warn`, `error`, `exception`)으로 로깅합니다.

JSON 요구사항

  • JSON 결과: 데이터를 반환하는 작업의 경우 add_result_json를 사용하여 JSON 결과를 반환합니다.
  • JSON 예시 추가: 플레이북 생성을 위해 표현식 빌더로 가져올 수 있는 JSON 예시 파일을 추가합니다. 이 권장사항을 사용하면 JSON 결과 값이 플레이북의 자리표시자를 나타낼 수 있습니다.

항목 보강

통합된 제품의 데이터로 엔티티를 보강할 때는 다음 권장사항을 따르세요.

  • 강화 단계 추가: 작업 출력에 제품의 관련 데이터를 포함합니다.
  • 접두사 사용: 충돌을 방지하기 위해 보강 필드 키에 접두사 (일반적으로 제품 이름)를 추가합니다.
    • : 사용자의 이름과 성으로 엔티티를 보강하려면 새 필드에 Zoom를 접두사로 추가합니다. 
      entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")
  • 항목 업데이트: entity.additional_properties.update()를 사용하여 항목의 속성에 풍부한 데이터를 추가합니다.
  • 알림 업데이트: siemplify.update_entities(enriched_entities)를 사용하여 업데이트된 항목을 알림에 추가합니다. 항목을 클릭하여 전체 세부정보를 확인합니다.

통합 게시

모든 Google SecOps Marketplace 사용자가 통합을 사용할 수 있도록 하려면 고객 지원팀에 문의하여 Marketplace팀의 검토를 위해 제출하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.