发布集成要求

本文档概述了在 Google Security Operations SOAR 中发布集成的要求。其中列出了前提条件、编码标准、操作开发指南、JSON 格式设置规则、实体丰富最佳实践，以及向 Google Security Operations Marketplace 提交集成方案的流程。遵循这些要求有助于确保集成可靠、可维护，并且可供其他用户发现。

集成要求

• Python 3.7：使用 Python 3.7 开发所有集成。
• 集成说明：请清晰说明您要集成的产品。
• Icons
  • SVG 图标：此图标会应用于平台中集成服务的全部实例。
  • PNG 图标：此图片会显示在 Google SecOps Marketplace 中。
• 集成类别：定义一个类别，以便其他用户在 Google SecOps Marketplace 中过滤您的集成。从 Google SecOps Marketplace 的预定义列表中选择一个类别。
• 依赖项：如果您的集成需要外部库，请在集成设置中列出这些库。
• 集成参数：包含成功连接到产品所需的所有参数，并附有清晰的说明。
• 管理器：为避免代码重复，请创建一个管理器（一个可供集成中的其他脚本引用的 Python 文件）。
• Ping 操作：添加 Ping 操作以验证连接。如果连接成功，结果应返回 true。此操作应默认处于停用状态；它不适用于 playbook。
• Linux：集成应支持 CentOS 7 或更高版本。

行动要求

• 操作说明：清楚说明操作的用途。
• 操作结构：遵循默认的集成开发环境 (IDE) 操作模板。
• 操作参数：定义与操作相关的所有参数，包括说明。使参数类型与操作的要求相匹配。
• 在提醒的上下文中运行操作：在适用的情况下，将操作设计为在提醒的上下文中运行。例如，使用 siemplify.target_entities 将逻辑限定到特定实体类型（例如网址）。如需查看示例，请参阅创建自定义操作。
• 日志记录：为复杂操作添加日志，并使用正确的严重级别（`info`、`warn`、`error` 和 `exception`）记录所有异常或错误。

JSON 要求

• JSON 结果：对于返回数据的操作，请使用 add_result_json 返回 JSON 结果。
• 添加 JSON 示例：添加可导入到表达式构建器中的 JSON 示例文件，以创建 playbook。此建议可让 JSON 结果值表示剧本中的占位符。

丰富实体

使用集成产品中的数据丰富实体时，请遵循以下最佳实践：

• 添加丰富化步骤：在操作输出中包含来自产品的相关数据。
• 使用前缀：在丰富字段键中添加前缀（通常是产品名称），以防止冲突。
  • 示例：如需使用用户的名字和姓氏来丰富实体，请在新字段中添加 Zoom 作为前缀。

    entity_enrichment = {"first_name":"First Name", "last_name":"Last Name"}
    entity_enrichment = add_prefix_to_dict(entity_enrichment, "Zoom")

• 更新实体：使用 entity.additional_properties.update() 将丰富的数据添加到实体的属性中。
• 更新提醒：使用 siemplify.update_entities(enriched_entities) 将更新后的实体添加到提醒中。点击实体可查看完整详情。

发布集成

如需让所有 Google SecOps Marketplace 用户都能使用您的集成，请与客户支持团队联系，以便将该集成提交给 Marketplace 团队进行审核。