REST APIs für die Integration von Drittanbietern mit Security Operations

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Das Security Operations -Basissystem enthält eine Reihe von geskripteten REST-APIs, die Kunden und Partnern die einfache Integration in eine vorhandene Security Operations -Bereitstellung ermöglichen. Mit den APIs können Sie Daten von außerhalb Ihres Systems sammeln (z. B. wird ein Python-Skript verwendet, um Daten von VirusTotal zu erhalten) und an Ihre Instanz zurücksenden.

Skripts, die in fast jeder Sprache (z. B. Python) geschrieben sind, können mit den APIs verwendet werden, um kundenspezifische Prozesse auszuführen. Die Skripts müssen in einer Sprache geschrieben sein, die einen nach außen gerichteten HTTP-Post-Aufruf durchführen kann. Wenn Sie beispielsweise eine Java-Anwendung haben, müssen Sie eine Bibliothek wie das Paket java.net.HttpUrlConnection verwenden, um einen HTTP-Aufruf zu erstellen und eine JSON-Zeichenfolge als Textkörper für die Nachricht zu übergeben.

Die API wird ausschließlich zum Hinzufügen von Daten verwendet, die außerhalb unseres Systems erfasst wurden. Wenn Sie beispielsweise ein VT-Python-Skript eingegeben und Daten von VT erhalten haben, können Sie diese Daten an die SN-Instanz zurücksenden.

Authentifizierung

Alle Vorgänge innerhalb der API-Definitionen verwenden die von bereitgestellte Plattformauthentifizierung Scripted REST APIs -Vorgangsfunktion. Um darauf zuzugreifen, navigieren Sie zu System-Webservices > Scripted Web Services > Scripted REST APIs und suchen Sie nach der API „SecOps Integration Capabilities“.

Abbildung : 1. Geskripteter REST-Service

Der Benutzer und die Domäne des Benutzers sind im Kontext der API leicht verfügbar. Datensätze können an einen Benutzer gebunden, ein Audit-Pfad eingerichtet und die Domänentrennung durchgeführt werden. Da Sie als bestimmter Benutzer authentifiziert sind, können Sie außerdem verwenden Verwenden von GlideRecordSecure, um einen nicht autorisierten Zugriff auf Daten zu verhindern.

Autorisierung

Um den Datensatzerstellungsprozess für Benutzer außerhalb der Anwendung Security Operations zu schützen, benötigen Sie die Rolle sn_sec_cmn.api_write. Nur Benutzer mit dieser Rolle können auf die APIs zugreifen.

Konfigurationsanforderungsparameter

Die folgenden Anforderungsparameter sind verfügbar.


Name	Standard	Beschreibung
ignore_mandatory_fields	false	Bei „true“ bleibt der Datensatz erhalten, auch wenn Pflichtfelder nicht ausgefüllt werden.
include_wrap	false	Bei „true“ enthält die Antwort den von der Instanz bereitgestellten Standard-Wrapper für Scripted REST APIs.
simple_response	false	Bei „true“ enthält die Antwort nur Informationen, ob der Vorgang erfolgreich war.

Fehlerantworten

Die folgenden Fehlerantworten können auftreten.


Fehlermeldung	Wann tritt es auf?	Lösung
Ungenügender Zugriff	Anwender verfügt nicht über die Rolle sn_sec_cmn.api_write.	Fügen Sie dem Benutzer die Rolle hinzu.
Ungültiger Beitragstext	Anforderungstext ist leer oder ein leeres Objekt.	Entspricht der API-Definition.
Keine Felder angegeben	Zum Beibehalten bereitgestellte Datenfelder sind leer.	Entspricht der API-Definition.
Pflichtfelder fehlen: x, y, z	Pflichtfelder fehlen.	Entsprechen Sie der Tabellendefinition der Zieltabelle, oder legen Sie ignore_mandatory_fields auf „true“ fest.
Datensatz kann nicht beibehalten werden	Analysierter Datensatz kann nicht beibehalten werden.	GlideRecord insert() fehlgeschlagen, weitere Analyse ist erforderlich.
Unbekannter Fehler.	Tritt auf, wenn kein bekannter Fehlerpfad verfolgt wurde.	Weitere Analysen sind erforderlich.

Anwendungsfall CI-Ergänzung

Mit Ihren Drittanbieterskripts können Sie zur CI-Anreicherung in die Tabelle „Configuration Item Enrichment“ [sn_sec_cmn_ci_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

Beispielanforderung und -antworten für den Anwendungsfall der CI-Ergänzung werden hier angezeigt.

CI-Ergänzung: Anforderung erstellen — Abbildung : 2. Anforderung für CI-Ergänzung erstellen

CI-Ergänzung: Erstellen – Antwort — Abbildung : 3. Antwort für CI-Ergänzung erstellen

Anwendungsfall der Ergänzung erkennbarer Elemente

Mit Ihren Drittanbieterskripts können Sie zur Anreicherung erkennbarer Elemente in die Tabelle „Ergebnis der Anreicherung erkennbarer Elemente“ [sn_ti_observable_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

Beispielanforderung und -antworten für den Anwendungsfall der Ergänzung erkennbarer Elemente werden hier angezeigt.

Ergänzung erkennbarer Elemente: Erstellen – Anfordern — Abbildung : 4. Erstellen – Anforderung für Ergänzung erkennbarer Elemente

Ergänzung erkennbarer Elemente: Antwort erstellen — Abbildung : 5. Erstellen – Antwort für Ergänzung erkennbarer Elemente

Hinweis:

Zusätzlich zum Anreichern vorhandener Datensätze können Sie Security Operations -Ergänzungsdatenzuordnung auch verwenden, um neue Datensätze zu Tabellen hinzuzufügen, indem Sie eine „ enrichment_mapping_id “ für eine vorhandene Ergänzungszuordnung und eine entsprechende „raw_data“-Zeichenfolge übergeben, die vom Zuordnungsprozess analysiert werden kann.

Anwendungsfall für die Bedrohungssuche

Mit Ihren Skripts von Drittanbietern können Sie in die Tabelle „Ergebnis der Bedrohungssuche“ [sn_ti_lookup_result] schreiben, um Ergebnisse der Bedrohungssuche zu erhalten. Die Suchdatensätze basieren auf vorhandenen Funktionen, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

Beispielanforderung und -antworten für den Anwendungsfall „Bedrohungssuche“ werden hier angezeigt.

Abbildung : 6. Anforderung für Bedrohungssuchen erstellen

Abbildung : 7. Erstellen: Antwort für Bedrohungssuchen