Questa pagina è stata tradotta dall'API Cloud Translation.

Requisiti per la pubblicazione delle integrazioni

Supportato in:

Google secops SOAR

Questo documento descrive i requisiti per la pubblicazione delle integrazioni in Google Security Operations SOAR. Elenca i prerequisiti, gli standard di codifica, le linee guida per lo sviluppo di azioni, le regole di formattazione JSON, le best practice per l'arricchimento delle entità e la procedura per inviare un'integrazione al Google Security Operations Marketplace. Il rispetto di questi requisiti contribuisce a garantire che le integrazioni siano affidabili, manutenibili e rilevabili da altri utenti.

Requisiti di integrazione

Python 3.7: sviluppa tutte le integrazioni in Python 3.7.
Descrizione dell'integrazione: includi una descrizione chiara del prodotto con cui esegui l'integrazione.
Icons
- Icona SVG: questa icona viene applicata a tutte le istanze dell'integrazione nella piattaforma.
- Icona PNG: questa immagine viene visualizzata in Google SecOps Marketplace.
Categoria di integrazione: definisci una categoria per consentire ad altri utenti di filtrare la tua integrazione nel Google SecOps Marketplace. Seleziona una categoria dall'elenco predefinito nel Google SecOps Marketplace.
Dipendenze: se l'integrazione richiede librerie esterne, elencale nelle impostazioni di integrazione.
Parametri di integrazione: includi tutti i parametri necessari per una connessione riuscita al prodotto, insieme a descrizioni chiare.
Gestore: per evitare la duplicazione del codice, crea un gestore, ovvero un file Python a cui possono fare riferimento altri script nell'integrazione.
Azione Ping: includi un'azione Ping per verificare la connettività. Se la connessione è riuscita, il risultato dovrebbe restituire true. Questa azione deve essere disattivata per impostazione predefinita e non è destinata all'utilizzo del playbook.
Linux: l'integrazione deve supportare CentOS 7 o versioni successive.

Requisiti di azione

Descrizione dell'azione: descrivi chiaramente cosa fa l'azione.
Struttura dell'azione: segui il modello di azione dell'ambiente di sviluppo integrato (IDE) predefinito.
Parametri azione: definisci tutti i parametri pertinenti all'azione, incluse le descrizioni. Abbina i tipi di parametri ai requisiti dell'azione.
Esecuzione dell'azione nel contesto di un avviso: se applicabile, progetta l'azione in modo che venga eseguita nel contesto di un avviso. Ad esempio, limita la logica a tipi di entità specifici (ad esempio, URL) utilizzando siemplify.target_entities. Per un esempio, vedi Creare azioni personalizzate.
Logging: aggiungi log per azioni complesse e registra tutte le eccezioni o gli errori con il livello di gravità corretto (`info`, `warn`, `error`, e `exception`).

Requisiti JSON

Risultato JSON: per le azioni che restituiscono dati, utilizza add_result_json per restituire un risultato JSON.
Aggiungi un esempio JSON: aggiungi un file JSON di esempio che puoi importare nel generatore di espressioni per la creazione di playbook. Questo suggerimento consente ai valori dei risultati JSON di rappresentare i segnaposto in un playbook.

Arricchire le entità

Quando arricchisci le entità con i dati di un prodotto integrato, segui queste best practice:

Aggiungi un passaggio di arricchimento: includi dati pertinenti del prodotto nell'output dell'azione.
Utilizza un prefisso: aggiungi un prefisso (di solito il nome del prodotto) alle chiavi dei campi di arricchimento per evitare conflitti.
- Esempio: per arricchire un'entità con il nome e il cognome di un utente, aggiungi Zoom come prefisso ai nuovi campi.
```
entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")
```
Aggiorna l'entità: utilizza entity.additional_properties.update() per aggiungere i dati arricchiti alle proprietà dell'entità.
Aggiorna l'avviso: utilizza siemplify.update_entities(enriched_entities) per aggiungere le entità aggiornate all'avviso. Fai clic sull'entità per visualizzare i dettagli completi.

Pubblicare l'integrazione

Per rendere la tua integrazione disponibile a tutti gli utenti di Google SecOps Marketplace, contatta l'assistenza clienti per inviarla al team di Marketplace per la revisione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.