Esta página se ha traducido con Cloud Translation API.

Requisitos para publicar integraciones

Disponible en:

SecOps de Google SOAR

En este documento se describen los requisitos para publicar integraciones en Google Security Operations SOAR. En él se enumeran los requisitos previos, los estándares de codificación, las directrices de desarrollo de acciones, las reglas de formato JSON, las prácticas recomendadas para enriquecer entidades y el proceso para enviar una integración a Google Security Operations Marketplace. Si cumples estos requisitos, las integraciones serán fiables, fáciles de mantener y otros usuarios podrán descubrirlas.

Requisitos de integración

Python 3.7: desarrolla todas las integraciones en Python 3.7.
Descripción de la integración: incluya una descripción clara del producto con el que va a integrar su servicio.
Icons
- Icono SVG: este icono se aplica a todas las instancias de la integración en la plataforma.
- Icono PNG: esta imagen aparece en Google SecOps Marketplace.
Categoría de integración: define una categoría para que otros usuarios puedan filtrar tu integración en Google SecOps Marketplace. Selecciona una categoría de la lista predefinida en Google SecOps Marketplace.
Dependencias: si tu integración requiere bibliotecas externas, inclúyelas en la configuración de la integración.
Parámetros de integración: incluya todos los parámetros necesarios para que la conexión con el producto se realice correctamente, junto con descripciones claras.
Gestor: para evitar la duplicación de código, crea un gestor, que es un archivo de Python al que pueden hacer referencia otras secuencias de comandos de la integración.
Acción Ping: incluye una acción Ping para verificar la conectividad. El resultado debe ser true si la conexión se establece correctamente. Esta acción debe estar inhabilitada de forma predeterminada, ya que no está pensada para usarse en guiones.
Linux la integración debe ser compatible con CentOS 7 o versiones posteriores.

Requisitos de las acciones

Descripción de la acción: describe claramente lo que hace la acción.
Estructura de la acción: sigue la plantilla de acción predeterminada del entorno de desarrollo integrado (IDE).
Parámetros de acción: define todos los parámetros que sean relevantes para la acción, incluidas las descripciones. Los tipos de parámetros deben coincidir con los requisitos de la acción.
Ejecutar una acción en el contexto de una alerta: cuando proceda, diseña la acción para que se ejecute en el contexto de una alerta. Por ejemplo, puedes acotar la lógica a tipos de entidad específicos (por ejemplo, URLs) mediante siemplify.target_entities. Para ver un ejemplo, consulta Crear acciones personalizadas.
Registro: añade registros para acciones complejas y registra todas las excepciones o errores con el nivel de gravedad correcto (`info`, `warn`, `error` y `exception`).

Requisitos de JSON

Resultado en JSON: en las acciones que devuelven datos, usa add_result_json para devolver un resultado en JSON.
Añadir un ejemplo de JSON: añade un archivo JSON de ejemplo que puedes importar en el Generador de expresiones para crear un cuaderno de estrategias. Con esta recomendación, los valores de los resultados JSON pueden representar marcadores de posición en un cuaderno de estrategias.

Enriquecer entidades

Cuando enriquezca entidades con datos de un producto integrado, siga estas prácticas recomendadas:

Añadir un paso de enriquecimiento: incluye datos relevantes del producto en el resultado de la acción.
Usar un prefijo: añade un prefijo (normalmente, el nombre del producto) a las claves de los campos de enriquecimiento para evitar conflictos.
- Ejemplo: Para enriquecer una entidad con el nombre y los apellidos de un usuario, añada Zoom como prefijo a los nuevos campos.
```
entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")
```
Actualizar la entidad: usa entity.additional_properties.update() para añadir los datos enriquecidos a las propiedades de la entidad.
Actualizar la alerta: usa siemplify.update_entities(enriched_entities) para añadir las entidades actualizadas a la alerta. Haz clic en la entidad para ver todos los detalles.

Publicar la integración

Para que tu integración esté disponible para todos los usuarios de Google SecOps Marketplace, ponte en contacto con el equipo de Asistencia para enviarla a revisión al equipo de Marketplace.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.