Requisitos para publicar integrações

Este documento descreve os requisitos para publicar integrações no Google Security Operations SOAR. Ele lista pré-requisitos, padrões de programação, diretrizes de desenvolvimento de ações, regras de formatação JSON, práticas recomendadas de enriquecimento de entidades e o processo para enviar uma integração ao Google Security Operations Marketplace. Seguir esses requisitos ajuda a garantir que as integrações sejam confiáveis, fáceis de manter e detectáveis por outros usuários.

Requisitos de integração

• Python 3.7: desenvolva todas as integrações em Python 3.7.
• Descrição da integração: inclua uma descrição clara do produto com que você está fazendo a integração.
• Icons
  • Ícone SVG: esse ícone é aplicado a todas as instâncias da integração na plataforma.
  • Ícone PNG: essa imagem aparece no Google SecOps Marketplace.
• Categoria de integração: defina uma categoria para permitir que outros usuários filtrem sua integração no Google SecOps Marketplace. Selecione uma categoria na lista predefinida do Google SecOps Marketplace.
• Dependências: se a integração exigir bibliotecas externas, liste-as nas configurações de integração.
• Parâmetros de integração: inclua todos os parâmetros necessários para uma conexão bem-sucedida com o produto, além de descrições claras.
• Gerenciador: para evitar a duplicação de código, crie um gerenciador, um arquivo Python que pode ser referenciado por outros scripts na integração.
• Ação de ping: inclua uma ação de Ping para verificar a conectividade. O resultado vai retornar true se a conexão for estabelecida. Essa ação precisa ser desativada por padrão e não é destinada ao uso em playbooks.
• Linux: a integração precisa ser compatível com o CentOS 7 ou versões mais recentes.

Requisitos de ação

• Descrição da ação: descreva claramente o que a ação faz.
• Estrutura da ação: siga o modelo de ação padrão do ambiente de desenvolvimento integrado (IDE).
• Parâmetros de ação: defina todos os parâmetros relevantes para a ação, incluindo descrições. Corresponda os tipos de parâmetros aos requisitos da ação.
• Executar uma ação no contexto de um alerta: quando aplicável, crie a ação para ser executada no contexto de um alerta. Por exemplo, defina o escopo da lógica para tipos de entidades específicas (por exemplo, URLs) usando siemplify.target_entities. Por exemplo, consulte Criar ações personalizadas.
• Registro: adicione registros para ações complexas e registre todas as exceções ou erros com o nível de gravidade correto (`info`, `warn`, `error` e `exception`).

Requisitos de JSON

• Resultado JSON: para ações que retornam dados, use add_result_json para retornar um resultado JSON.
• Adicionar um exemplo de JSON: adicione um arquivo JSON de exemplo que pode ser importado para o Criador de expressões para criar playbooks. Com essa recomendação, os valores de resultado JSON podem representar marcadores de posição em um playbook.

Enriquecer entidades

Ao enriquecer entidades com dados de um produto integrado, siga estas práticas recomendadas:

• Adicionar uma etapa de enriquecimento: inclua dados relevantes do produto na saída da ação.
• Use um prefixo: adicione um prefixo (geralmente o nome do produto) às chaves de campo de enriquecimento para evitar conflitos.
  • Exemplo: para enriquecer uma entidade com o nome e o sobrenome de um usuário, adicione Zoom como prefixo aos novos campos.

    entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
    entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")

• Atualize a entidade: use entity.additional_properties.update() para adicionar os dados enriquecidos às propriedades da entidade.
• Atualizar o alerta: use siemplify.update_entities(enriched_entities) para adicionar as entidades atualizadas ao alerta. Clique na entidade para conferir todos os detalhes.

Publicar a integração

Para disponibilizar sua integração a todos os usuários do Google SecOps Marketplace, entre em contato com o suporte ao cliente e envie para análise da equipe do Marketplace.