보안 운영과 외부 공급업체 통합을 위한 REST API

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 기본 시스템에는 보안 운영 고객과 파트너가 기존 보안 운영 배포와 쉽게 통합할 수 있도록 하는 일련의 스크립팅된 REST API가 포함되어 있습니다. API를 사용하면 시스템 외부에서 데이터를 수집하고(예: Python 스크립트를 사용하여 VirusTotal에서 데이터를 수신함) 인스턴스로 다시 보낼 수 있습니다.

    거의 모든 언어(예: Python)로 작성된 스크립트를 API와 함께 사용하여 고객별 프로세스를 수행할 수 있습니다. 스크립트는 외부 연결 HTTP Post 호출을 수행할 수 있는 언어로 작성되어야 합니다. 예를 들어 Java 애플리케이션이 있는 경우 java.net.HttpUrlConnection 패키지와 같은 라이브러리를 사용하여 HTTP 호출을 구성하고 JSON 문자열을 메시지의 본문으로 전달해야 합니다.

    API는 시스템 외부에서 수집된 데이터를 추가하는 데만 사용됩니다. 예를 들어, VT python 스크립트를 입력하고 VT에서 데이터를 받은 경우 해당 데이터를 SN 인스턴스로 다시 보낼 수 있습니다.

    인증

    API 정의 내의 모든 작업은 에서 제공하는 플랫폼 인증을 사용합니다. 스크립팅된 REST API 작업 기능. 액세스하려면 다음으로 이동하십시오. 시스템 웹 서비스 > 스크립트 기반 웹 서비스 > 스크립트 기반 REST API 를 클릭하고 SecOps 통합 기능 API를 찾습니다.
    그림 1. 스크립팅된 REST 서비스
    스크립팅된 REST 서비스

    사용자와 사용자의 도메인은 API의 컨텍스트 내에서 쉽게 사용할 수 있습니다. 기록을 사용자와 연결하고, 감사 경로를 설정하고, 도메인 분리를 수행할 수 있습니다. 또한 특정 사용자로 인증되었으므로 GlideRecordSecure를 사용하여 데이터에 대한 무단 액세스를 방지합니다.

    권한 부여

    애플리케이션 외부의 보안 운영 사용자로부터 레코드 생성 프로세스를 보호하려면 sn_sec_cmn.api_write 역할이 있어야 합니다. 이 역할을 가진 사용자만 API에 액세스할 수 있습니다.

    구성 요청 매개변수

    다음과 같은 요청 매개변수를 사용할 수 있습니다.
    이름 기본값 설명
    ignore_mandatory_fields 아니오 true로 설정하면 필수 필드가 채워지지 않아도 기록이 유지됩니다.
    include_wrap 아니오 true로 설정된 경우 응답에는 스크립팅된 REST API에 대한 인스턴스 제공 표준 래퍼가 포함됩니다.
    simple_response 아니오 true로 설정하면 응답에 작업의 성공 여부만 포함됩니다.

    오류 응답

    다음과 같은 오류 응답이 발생할 수 있습니다.
    오류 메시지 언제 발생합니까? 솔루션
    접근 권한이 부족함 사용자에게 sn_sec_cmn.api_write 역할이 없습니다. 사용자에게 역할을 추가합니다.
    잘못된 게시 본문 요청 본문이 비어 있거나 빈 객체입니다. API 정의를 따릅니다.
    제공된 필드 없음 유지하기 위해 제공된 데이터 필드가 비어 있습니다. API 정의를 따릅니다.
    필수 필드 누락됨: x,y,z 필수 필드가 누락되었습니다. 대상 테이블의 테이블 정의를 따르거나 ignore_mandatory_fields true로 설정합니다.
    기록을 지속할 수 없음 구문 분석된 기록을 유지할 수 없습니다. GlideRecord insert()가 실패했습니다. 추가 분석이 필요합니다.
    알 수 없는 오류 알려진 오류 경로를 따르지 않은 경우 발생합니다. 추가 분석이 필요합니다.

    CI 보강 사용 사례

    타사 스크립트를 사용하여 CI 보강을 위해 구성 항목 보강[sn_sec_cmn_ci_enrichment_result] 테이블에 쓸 수 있습니다. 보강 기록은 외부 공급업체 소스의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    CI 보강 사용 사례에 대한 샘플 요청 및 응답이 여기에 표시됩니다.

    그림 2. 생성-CI 보강 요청
    CI 보강: 생성 – 요청
    그림 3. 생성-CI 보강을 위한 응답
    CI 보강: 생성 – 응답

    옵저버블 보강 사용 케이스

    외부 공급업체 스크립트를 사용하여 옵저버블 보강을 위해 옵저버블 보강 결과 [sn_ti_observable_enrichment_result] 테이블에 쓸 수 있습니다. 보강 기록은 외부 공급업체 소스의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    옵저버블 보강 사용 사례에 대한 샘플 요청 및 응답이 여기에 표시됩니다.

    그림 4. 생성-옵저버블 보강 요청
    옵저버블 보강: 생성–요청
    그림 5. 옵저버블 보강을 위한 Create-Response
    옵저버블 보강: 응답 생성
    주:
    기존 기록을 보강하는 것 외에도 기존 보강 매핑에 대한 enrichment_mapping_id와 매핑 프로세스로 구문 분석할 수 있는 해당 raw_data 문자열을 전달하여 테이블에 새 기록을 추가하는 데 사용할 보안 운영 보강 데이터 매핑 수도 있습니다.

    위협 조회 사용 케이스

    타사 스크립트를 사용하여 위협 조회 결과에 대한 위협 조회 결과 [sn_ti_lookup_result] 테이블에 쓸 수 있습니다. 조회 기록은 외부 공급업체 소스의 기록에 대한 자세한 정보를 제공하는 기존 기능을 기반으로 합니다.

    위협 조회 사용 사례에 대한 샘플 요청 및 응답은 다음과 같습니다.

    그림 6. 생성-위협 조회 요청
    생성-위협 조회 요청
    그림 7. 위협 조회를 위한 Create-Response
    위협 조회를 위한 Create-Response