REST APIs für die Integration von Drittparteien mit Security Operations

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die Security Operations Das Basissystem enthält eine Reihe von geskripteten REST-APIs, mit denen Kunden und Partner die einfache Integration in eine vorhandene ermöglichen Security Operations Bereitstellung. Mit den APIs können Sie Daten von außerhalb Ihres Systems erfassen (z. B. wird ein Python-Skript verwendet, um Daten von VirusTotal zu empfangen) und an Ihre Instanz zurücksenden.

    Skripts, die in fast jeder Sprache geschrieben wurden (z. B. Python), können mit den APIs verwendet werden, um kundenspezifische Prozesse auszuführen. Die Skripts müssen in einer Sprache geschrieben werden, die einen HTTP Post-Aufruf nach außen durchführen kann. Wenn Sie beispielsweise eine Java-Anwendung haben, müssen Sie eine Bibliothek wie verwenden java.net.HttpUrlConnection Paket, um einen HTTP-Aufruf zu erstellen und eine JSON-Zeichenfolge als Text für die Nachricht zu übergeben.

    Die API wird ausschließlich verwendet, um Daten hinzuzufügen, die außerhalb unseres Systems erfasst wurden. Wenn Sie beispielsweise das VT-Python-Skript eingegeben und Daten von VT erhalten haben, können Sie diese Daten an die SN-Instanz zurücksenden.

    Authentifizierung

    Alle Vorgänge innerhalb der API-Definitionen verwenden die Plattformauthentifizierung, die von bereitgestellt wird Geskriptete REST-APIs Vorgangsfunktion. Um auf zuzugreifen, navigieren Sie zu System-Webservices > Scripted Web Services > Scripted REST APIs Und suchen Sie SecOps-Integrationsfähigkeiten API.
    Abbildung : 1. Geskripteter REST-Service
    Geskripteter REST-Service

    Der Anwender und die Domäne des Anwenders sind im Kontext der API leicht verfügbar. Datensätze können an einen Anwender gebunden, ein Audit-Pfad eingerichtet und Domänentrennung durchgeführt werden. Da Sie als bestimmter Anwender authentifiziert sind, können Sie auch verwenden Mit GlideRecordSecure Um nicht autorisierten Zugriff auf Daten zu verhindern.

    Autorisierung

    Dient zum Schutz des Datensatzerstellungsprozesses vor Anwendern außerhalb des Security Operations-Anwendung benötigen Sie sn_sec_cmn.api_write Rolle. Nur Anwender mit dieser Rolle können auf die APIs zugreifen.

    Parameter der Konfigurationsanforderung

    Die folgenden Anforderungsparameter sind verfügbar.
    Name Standard Beschreibung
    Ignorieren_obligatorisch_fields falsch Bei „wahr“ wird der Datensatz beibehalten, auch wenn keine Pflichtfelder ausgefüllt sind.
    Include_wrap falsch Bei „wahr“ enthält die Antwort den von der Instanz bereitgestellten Standard-Wrapper für geskriptete REST-APIs.
    Simple_response falsch Bei „wahr“ enthält die Antwort nur, ob der Vorgang erfolgreich war.

    Fehlerantworten

    Die folgenden Fehlerantworten können auftreten.
    Fehlermeldung Wann tritt es auf? Lösung
    Ungenügender Zugriff Anwender hat nicht die Rolle sn_sec_cmn.api_write. Fügen Sie dem Anwender die Rolle hinzu.
    Ungültiger Beitragstext Anforderungstext ist leer oder ein leeres Objekt. Entsprechen Sie der API-Definition.
    Keine Felder angegeben Datenfelder, die beibehalten werden sollen, sind leer. Entsprechen Sie der API-Definition.
    Pflichtfelder fehlen: X,y,z Pflichtfelder fehlen. Entsprechen Sie der Tabellendefinition der Zieltabelle oder des Zielsatzes Ignorieren_obligatorisch_fields Auf „wahr“.
    Datensatz kann nicht beibehalten werden Der analysierte Datensatz kann nicht beibehalten werden. GlideRecord – Einfügen() fehlgeschlagen, weitere Analyse ist erforderlich.
    Unbekannter Fehler. Tritt auf, wenn kein Known Error-Pfad befolgt wurde. Weitere Analysen sind erforderlich.

    Anwendungsfall „CI-Ergänzung“

    Mit Ihren Drittanbieterskripts können Sie in die Tabelle „Konfigurationselementanreicherung“ [sn_sec_cmn_ci_Enrichment_result] für die CI-Anreicherung schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittparteiquelle bereitstellen.

    Beispielanforderung und -Antworten für den Anwendungsfall „CI-Ergänzung“ werden hier angezeigt.

    Abbildung : 2. Erstellen – Anforderung für CI-Ergänzung
    CI-Ergänzung: Erstellen – Anforderung
    Abbildung : 3. Create-Response für CI-Ergänzung
    CI-Ergänzung: Erstellen – Antwort

    Anwendungsfall zur Ergänzung erkennbarer Elemente

    Mit Ihren Drittanbieterskripts können Sie in das Ergebnis der Anreicherung erkennbarer Elemente schreiben [sn_ti_observable_Enrichment_result] Tabelle für Ergänzung erkennbarer Elemente. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittparteiquelle bereitstellen.

    Beispielanforderung und -Antworten für den Anwendungsfall zur Ergänzung erkennbarer Elemente werden hier angezeigt.

    Abbildung : 4. Erstellen – Anforderung für Ergänzung erkennbarer Elemente
    Ergänzung Erkennbarer Elemente: Erstellen – Anforderung
    Abbildung : 5. Create-Response für Ergänzung erkennbarer Elemente
    Ergänzung Erkennbarer Elemente: Antwort Erstellen
    Hinweis:
    Sie können nicht nur vorhandene Datensätze anreichern, sondern auch verwenden Security Operations Ergänzungsdatenzuordnung Dient zum Hinzufügen neuer Datensätze zu Tabellen durch Übergabe von Anreicherung_Mapping_ID Für eine vorhandene Ergänzungszuordnung und eine entsprechende Rohdaten Zeichenfolge, die vom Zuordnungsprozess analysiert werden kann.

    Anwendungsfall für Bedrohungssuche

    Mit Ihren Drittanbieterskripts können Sie in die Tabelle „Bedrohungssuchergebnis“ [sn_ti_LOOKUP_result] für Ergebnisse der Bedrohungssuche schreiben. Die Suchdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittparteiquelle bereitstellen.

    Beispielanforderung und -Antworten für den Anwendungsfall „Bedrohungssuche“ werden hier angezeigt.

    Abbildung : 6. Erstellen – Anforderung für Bedrohungssuchen
    Erstellen – Anforderung für Bedrohungssuchen
    Abbildung : 7. Create-Response für Bedrohungssuchen
    Create-Response für Bedrohungssuchen