Security Operations와의 외부 공급업체 통합을 위한 REST API

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 기본 시스템에는 Security Operations 고객과 파트너가 기존 Security Operations 배포와 쉽게 통합할 수 있도록 하는 일련의 스크립팅된 REST API가 포함되어 있습니다. API를 사용하면 시스템 외부에서 데이터를 수집하고(예: Python 스크립트를 사용하여 VirusTotal에서 데이터를 수신함) 인스턴스로 다시 전송할 수 있습니다.

    거의 모든 언어(예: Python)로 작성된 스크립트를 API와 함께 사용하여 고객별 프로세스를 수행할 수 있습니다. 스크립트는 외부 연결 HTTP Post 호출을 수행할 수 있는 언어로 작성되어야 합니다. 예를 들어, Java 애플리케이션이 있는 경우 java.net.HttpUrlConnection 패키지와 같은 라이브러리를 사용하여 HTTP 호출을 구성하고 JSON 문자열을 메시지에 대한 본문으로 전달해야 합니다.

    API는 시스템 외부에서 수집된 데이터를 추가하는 데만 사용됩니다. 예를 들어, VT Python 스크립트를 입력하고 VT에서 데이터를 수신한 경우 해당 데이터를 다시 SN 인스턴스로 보낼 수 있습니다.

    인증

    API 정의 내의 모든 작업은 에서 제공하는 플랫폼 인증을 사용합니다. 스크립팅된 REST API 작업 기능입니다. 액세스하려면 다음으로 이동합니다. 시스템 웹 서비스 > 스크립트 기반 웹 서비스 > 스크립트 기반 REST API 을 클릭하고 SecOps 통합 기능 API를 찾습니다.
    그림 1. 스크립팅된 REST 서비스
    스크립팅된 REST 서비스

    사용자와 사용자의 도메인은 API의 컨텍스트 내에서 쉽게 사용할 수 있습니다. 기록을 사용자와 연결하고, 감사 경로를 설정하고, 도메인 분리를 수행할 수 있습니다. 또한 특정 사용자로 인증되었으므로 GlideRecordSecure를 사용하여 데이터에 대한 무단 접근 방지.

    권한 부여

    애플리케이션 외부 Security Operations 의 사용자로부터 기록 생성 프로세스를 보호하려면 sn_sec_cmn.api_write 역할이 있어야 합니다. 이 역할을 가진 사용자만 API에 액세스할 수 있습니다.

    구성 요청 매개변수

    다음 요청 매개 변수를 사용할 수 있습니다.
    이름 기본값 설명
    ignore_mandatory_fields false true로 설정하면 필수 필드가 채워지지 않아도 기록이 유지됩니다.
    include_wrap false true로 설정하면 응답에 스크립팅된 REST API에 대한 인스턴스 제공 표준 래퍼가 포함됩니다.
    simple_response false true로 설정하면 응답에는 작업이 성공했는지 여부만 포함됩니다.

    오류 응답

    다음과 같은 오류 응답이 발생할 수 있습니다.
    오류 메시지 언제 발생합니까? 솔루션
    접근 권한이 부족함 사용자에게 sn_sec_cmn.api_write 역할이 없습니다. 사용자에게 역할을 추가합니다.
    잘못된 게시 본문 요청 본문이 비어 있거나 객체가 비어 있습니다. API 정의를 준수합니다.
    제공된 필드 없음 지속하기 위해 제공된 데이터 필드가 비어 있습니다. API 정의를 준수합니다.
    필수 필드 누락: x,y,z 필수 필드가 누락되었습니다. 대상 테이블의 테이블 정의를 준수하거나 ignore_mandatory_fields 예로 설정하십시오.
    기록을 지속할 수 없음 구문 분석된 기록을 지속할 수 없습니다. GlideRecord insert()에 실패했습니다. 추가 분석이 필요합니다.
    알 수 없는 오류 알려진 오류 경로를 따르지 않은 경우 발생합니다. 추가 분석이 필요합니다.

    CI 보강 사용 사례

    외부 공급업체 스크립트를 사용하여 CI 보강을 위해 구성 항목 보강 [sn_sec_cmn_ci_enrichment_result] 테이블에 쓸 수 있습니다. 보강 기록은 외부 공급업체 원본의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    CI 보강 사용 사례에 대한 샘플 요청 및 응답이 여기에 표시됩니다.

    그림 2. 생성-CI 보강 요청
    CI 보강: 생성 – 요청
    그림 3. CI 보강을 위한 응답 생성
    CI 보강: 생성 – 응답

    옵저버블 보강 사용 사례

    외부 공급업체 스크립트를 사용하여 옵저버블 보강을 위해 옵저버블 보강 결과 [sn_ti_observable_enrichment_result] 테이블에 쓸 수 있습니다. 보강 기록은 외부 공급업체 원본의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    관찰 대상 보강 사용 사례에 대한 샘플 요청 및 응답이 여기에 표시됩니다.

    그림 4. Create-옵저버블 보강 요청
    관찰 대상 보강: 생성–요청
    그림 5. 옵저버블 보강을 위한 생성-응답
    옵저버블 보강: 응답 생성
    주:
    기존 기록을 보강하는 것 외에도 기존 보강 매핑에 대한 enrichment_mapping_id 및 매핑 프로세스에서 구문 분석할 수 있는 해당 raw_data 문자열을 전달하여 테이블에 새 기록을 추가하는 데 사용할 Security Operations 보강 데이터 매핑 수도 있습니다.

    위협 조회 사용 사례

    타사 스크립트를 사용하여 위협 조회 결과에 대한 위협 조회 결과[sn_ti_lookup_result] 테이블에 쓸 수 있습니다. 조회 기록은 외부 공급업체 원본의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    위협 조회 사용 사례에 대한 샘플 요청 및 응답이 여기에 표시됩니다.

    그림 6. 생성-위협 조회 요청
    생성-위협 조회 요청
    그림 7. 위협 조회를 위한 생성-응답
    위협 조회를 위한 생성-응답