Requisitos para a publicação de integrações

Este documento descreve os requisitos para publicar integrações no SOAR do Google Security Operations. Indica os pré-requisitos, as normas de programação, as diretrizes de desenvolvimento de ações, as regras de formatação JSON, as práticas recomendadas de enriquecimento de entidades e o processo de envio de uma integração para o Google Security Operations Marketplace. O cumprimento destes requisitos ajuda a garantir que as integrações são fiáveis, de fácil manutenção e detetáveis por outros utilizadores.

Requisitos de integração

• Python 3.7: desenvolva todas as integrações no Python 3.7.
• Descrição da integração: inclua uma descrição clara do produto com o qual está a fazer a integração.
• Icons
  • Ícone SVG: este ícone é aplicado a todas as instâncias da integração na plataforma.
  • Ícone PNG: esta imagem aparece no Google SecOps Marketplace.
• Categoria de integração: defina uma categoria para permitir que outros utilizadores filtrem a sua integração no Google SecOps Marketplace. Selecione uma categoria na lista predefinida no Google SecOps Marketplace.
• Dependências: se a sua integração exigir bibliotecas externas, liste-as nas definições de integração.
• Parâmetros de integração: inclua todos os parâmetros necessários para uma ligação bem-sucedida ao produto, juntamente com descrições claras.
• Gestor: para evitar a duplicação de código, crie um gestor, um ficheiro Python que pode ser referenciado por outros scripts na integração.
• Ação Ping: inclua uma ação Ping para verificar a conetividade. O resultado deve devolver true se a ligação for bem-sucedida. Esta ação deve estar desativada por predefinição e não se destina a ser usada em guias interativos.
• Linux: a integração deve suportar o CentOS 7 ou posterior.

Requisitos de ação

• Descrição da ação: descreva claramente o que a ação faz.
• Estrutura da ação: siga o modelo de ação do ambiente de programação integrado (IDE) predefinido.
• Parâmetros de ação: defina todos os parâmetros relevantes para a ação, incluindo descrições. Faça corresponder os tipos de parâmetros aos requisitos da ação.
• Executar uma ação no contexto de um alerta: quando aplicável, crie a ação para ser executada no contexto de um alerta. Por exemplo, limite o âmbito da lógica a tipos de entidades específicos (por exemplo, URLs) através de siemplify.target_entities. Para ver um exemplo, consulte o artigo Crie ações personalizadas.
• Registo: adicione registos para ações complexas e registe todas as exceções ou erros com o nível de gravidade correto (`info`, `warn`, `error` e `exception`).

Requisitos de JSON

• Resultado JSON: para ações que devolvem dados, use add_result_json para devolver um resultado JSON.
• Adicione um exemplo JSON: adicione um ficheiro JSON de exemplo que pode importar para o criador de expressões para a criação de manuais de procedimentos. Esta recomendação permite que os valores dos resultados JSON representem marcadores de posição num manual de soluções.

Enriqueça entidades

Quando enriquecer entidades com dados de um produto integrado, siga estas práticas recomendadas:

• Adicione um passo de enriquecimento: inclua dados relevantes do produto no resultado da ação.
• Use um prefixo: adicione um prefixo (normalmente, o nome do produto) às chaves dos campos de enriquecimento para evitar conflitos.
  • Exemplo: para enriquecer uma entidade com o nome próprio e o apelido de um utilizador, adicione Zoom como prefixo aos novos campos.

    entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
    entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")

• Atualize a entidade: use entity.additional_properties.update() para adicionar os dados enriquecidos às propriedades da entidade.
• Atualize o alerta: use siemplify.update_entities(enriched_entities) para adicionar as entidades atualizadas ao alerta. Clique na entidade para ver os detalhes completos.

Publique a integração

Para disponibilizar a sua integração a todos os utilizadores do Google SecOps Marketplace, contacte o apoio técnico ao cliente para a enviar para revisão pela equipa do Marketplace.