發布整合項目的規定

本文概述在 Google Security Operations SOAR 中發布整合功能的規定。這份指南列出先決條件、程式碼標準、動作開發指南、JSON 格式規則、實體擴充最佳做法，以及將整合功能提交至 Google Security Operations Marketplace 的程序。遵守這些規定有助於確保整合項目可靠、可維護，且可供其他使用者探索。

整合規定

• Python 3.7：以 Python 3.7 開發所有整合功能。
• 整合說明：清楚說明要整合的產品。
• Icons
  • SVG 圖示：這個圖示會套用至平台中整合的所有執行個體。
  • PNG 圖示：這張圖片會顯示在 Google SecOps Marketplace 中。
• 整合類別：定義類別，讓其他使用者在 Google SecOps Marketplace 中篩選您的整合項目。從 Google SecOps Marketplace 的預先定義清單中選取類別。
• 依附元件：如果整合需要外部程式庫，請在整合設定中列出這些程式庫。
• 整合參數：納入成功連結產品所需的所有參數，並提供清楚的說明。
• 管理員：為避免程式碼重複，請建立管理員 (Python 檔案)，供整合中的其他指令碼參照。
• Ping 動作：加入 Ping 動作來驗證連線。如果連線成功，結果應會傳回 true。這項動作預設應為停用，不適用於劇本。
• Linux：整合功能應支援 CentOS 7 以上版本。

動作規定

• 動作說明：清楚說明動作的用途。
• 動作結構：請使用預設的整合開發環境 (IDE) 動作範本。
• 動作參數：定義與動作相關的所有參數，包括說明。請根據動作需求調整參數類型。
• 在警示的背景資訊中執行動作：在適用的情況下，設計在警示的背景資訊中執行的動作。舉例來說，您可以使用 siemplify.target_entities，將邏輯範圍限定在特定實體類型 (例如網址)。如需範例，請參閱「建立自訂動作」。
• 記錄：為複雜動作新增記錄，並以正確的嚴重程度層級記錄所有例外狀況或錯誤 (`info`、`warn`、`error` 和 `exception`)。

JSON 規定

• JSON 結果：對於會傳回資料的動作，請使用 add_result_json 傳回 JSON 結果。
• 新增 JSON 範例：新增可匯入 運算式產生器 的 JSON 範例檔案，用於建立劇本。這項建議可讓 JSON 結果值代表劇本中的預留位置。

充實實體

使用整合產品的資料擴充實體時，請遵循下列最佳做法：

• 新增擴充步驟：在動作輸出內容中加入產品的相關資料。
• 使用前置字元：在擴充功能欄位鍵中加入前置字元 (通常是產品名稱)，避免發生衝突。
  • 範例：如要使用使用者的姓名來擴充實體，請在新欄位中加入 Zoom 前置字元。

    entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
    entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")

• 更新實體：使用 entity.additional_properties.update() 將擴充資料新增至實體的屬性。
• 更新快訊：使用 siemplify.update_entities(enriched_entities) 將更新後的實體新增至快訊。按一下實體即可查看完整詳細資料。

發布整合項目

如要讓所有 Google SecOps Marketplace 使用者都能使用您的整合服務，請與客戶支援團隊聯絡，將整合服務送交 Marketplace 團隊審查。