REST APIs für die Integration von Drittparteien in Security Operations

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

3 Minuten Lesedauer

Das Security Operations Basissystem enthält eine Reihe von REST APIs mit Skript, mit denen Kunden und Partner problemlos eine Integration in eine vorhandene Security Operations -Bereitstellung durchführen können. Die APIs ermöglichen es Ihnen, Daten von außerhalb Ihres Systems zu sammeln (z. B. wird ein Python-Skript verwendet, um Daten von VirusTotal zu empfangen) und an Ihre -Instanz zurückzusenden.

Skripts, die in fast jeder Sprache (z. B. Python) geschrieben sind, können mit den APIs verwendet werden, um kundenspezifische Prozesse auszuführen. Die Skripts müssen in einer Sprache geschrieben sein, die einen externen HTTP-Post-Aufruf durchführen kann. Wenn Sie beispielsweise eine Java-Anwendung haben, müssen Sie eine Bibliothek wie das Paket java.net.HttpUrlConnection verwenden, um einen HTTP-Aufruf zu erstellen und eine JSON-Zeichenfolge als Textkörper für die Nachricht zu übergeben.

Die API wird ausschließlich zum Hinzufügen von Daten verwendet, die außerhalb unseres Systems erfasst wurden. Wenn Sie beispielsweise ein VT-Python-Skript eingegeben und Daten von VT erhalten haben, können Sie diese Daten zurück an die SN-Instanz senden.

Authentifizierung

Alle Vorgänge innerhalb der API-Definitionen verwenden die von bereitgestellte Plattformauthentifizierung Funktion für den Betriebvon geskripteten REST APIs. Um darauf zuzugreifen, navigieren Sie zu System-Webservices > Scripted Web Services > Scripted REST APIs und suchen Sie die SecOps Integration Capabilities API.

Abbildung : 1. Geskripteter REST-Service

Der Benutzer und die Domäne des Benutzers sind im Kontext der API sofort verfügbar. Datensätze können an einen Benutzer gebunden, ein Audit-Pfad eingerichtet und Domänentrennung erreicht werden. Da Sie als bestimmter Benutzer authentifiziert sind, können Sie außerdem verwenden GlideRecordSecure verwenden, um jeden nicht autorisierten Zugriff auf Daten zu verhindern.

Autorisierung

Um den Datensatzerstellungsprozess für Benutzer außerhalb der Anwendung Security Operations zu schützen, benötigen Sie die Rolle sn_sec_cmn.api_write. Nur Benutzer mit dieser Rolle können auf die APIs zugreifen.

Konfigurationsanforderungsparameter

Die folgenden Anforderungsparameter sind verfügbar.


Name	Standard	Beschreibung
ignorieren_obligatorische_Felder	falsch	Bei Festlegung auf „wahr“ wird der Datensatz beibehalten, auch wenn Pflichtfelder nicht ausgefüllt sind.
„include_wrap“	falsch	Bei Festlegung auf „wahr“ enthält die Antwort den von der Instanz bereitgestellten Standard-Wrapper für geskriptete REST APIs.
simple_response	falsch	Bei Festlegung auf wahr gibt die Antwort nur an, ob der Vorgang erfolgreich war.

Fehlerantworten

Die folgenden Fehlerantworten können auftreten.


Fehlermeldung	Wann tritt es auf?	Lösung
Ungenügender Zugriff	Anwender verfügt nicht über die Rolle sn_sec_cmn.api_write.	Fügen Sie dem Anwender die Rolle hinzu.
Ungültiger Beitragstext	Anforderungstext ist leer oder ein leeres Objekt.	Entsprechen der API-Definition.
Keine Felder angegeben	Zum Beibehalten bereitgestellte Datenfelder sind leer.	Entsprechen der API-Definition.
Pflichtfelder fehlen: x, y, z	Pflichtfelder fehlen.	Passen Sie sich an die Tabellendefinition der Zieltabelle an, oder setzen Sie „ignore_mandtory_fields“ auf „wahr“.
Datensatz kann nicht beibehalten werden	Analysierter Datensatz kann nicht beibehalten werden.	GlideRecord-Einfügung () fehlgeschlagen, weitere Analyse ist erforderlich.
Unbekannter Fehler	Tritt auf, wenn kein bekannter Fehlerpfad verfolgt wurde.	Weitere Analysen sind erforderlich.

Anwendungsfall für CI-Ergänzung

Mit Ihren Drittanbieterskripts können Sie zur CI-Ergänzung in die Tabelle „Configuration Item Enrichment“ [sn_sec_cmn_ci_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Funktionen, die detaillierte Informationen zu einem Datensatz aus einer Drittparteiquelle bereitstellen.

Hier werden Beispiele für Anforderungen und Antworten für den Anwendungsfall „CI-Ergänzung“ angezeigt.

CI-Ergänzung: –Anforderung erstellen — Abbildung : 2. Erstellungsanforderung für CI-Ergänzung

CI-Ergänzung: –Antwort erstellen — Abbildung : 3. Erstellungsantwort für CI-Ergänzung

Anwendungsfall für Ergänzung erkennbarer Elemente

Mit Ihren Drittanbieterskripts können Sie zur Anreicherung erkennbarer Elemente in die Tabelle „Ergebnis für Ergänzung erkennbarer Elemente“ [sn_ti_observable_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Funktionen, die detaillierte Informationen zu einem Datensatz aus einer Drittparteiquelle bereitstellen.

Beispielanforderungen und -antworten für den Anwendungsfall Ergänzung erkennbarer Elemente werden hier angezeigt.

Ergänzung erkennbarer Elemente: Erstellen – Anforderung — Abbildung : 4. Erstellungsanforderung zur Ergänzung erkennbarer Elemente

Ergänzung erkennbarer Elemente: Antwort erstellen — Abbildung : 5. Erstellen-Antwort für Anreicherung erkennbarer Elemente

Hinweis:

Zusätzlich zur Anreicherung vorhandener Datensätze können Sie auch Security Operations Zuordnung von Ergänzungsdaten verwenden, um Tabellen neue Datensätze hinzuzufügen, indem Sie eine „ richment_mapping_id “ für eine vorhandene Ergänzungszuordnung und eine entsprechende „raw_data“-Zeichenfolge übergeben, die vom Zuordnungsprozess analysiert werden kann.

Anwendungsfall für die Bedrohungssuche

Mithilfe von Drittanbieterskripts können Sie in die Tabelle „Ergebnis der Bedrohungssuche“ [sn_ti_lookup_result] schreiben, um Ergebnisse der Bedrohungssuche zu erhalten. Die Suchdatensätze basieren auf vorhandenen Funktionen, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

Beispielanforderungen und -antworten für den Anwendungsfall „Bedrohungssuche“ werden hier angezeigt.

Abbildung : 6. Erstellungsanforderung für Bedrohungssuchen

Abbildung : 7. Erstellungsantwort für Bedrohungssuchen