REST APIs für die Integration von Drittanbietern mit Security Operations

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Das Security Operations -Basissystem enthält eine Reihe von geskripteten REST-APIs, die Kunden und Partnern die einfache Integration in eine vorhandene Security Operations -Bereitstellung ermöglichen. Mit den APIs können Sie Daten von außerhalb Ihres Systems sammeln (z. B. wird ein Python-Skript verwendet, um Daten von VirusTotal zu erhalten) und an Ihre Instanz zurücksenden.

    Skripts, die in fast jeder Sprache (z. B. Python) geschrieben sind, können mit den APIs verwendet werden, um kundenspezifische Prozesse auszuführen. Die Skripts müssen in einer Sprache geschrieben sein, die einen nach außen gerichteten HTTP-Post-Aufruf durchführen kann. Wenn Sie beispielsweise eine Java-Anwendung haben, müssen Sie eine Bibliothek wie das Paket java.net.HttpUrlConnection verwenden, um einen HTTP-Aufruf zu erstellen und eine JSON-Zeichenfolge als Textkörper für die Nachricht zu übergeben.

    Die API wird ausschließlich zum Hinzufügen von Daten verwendet, die außerhalb unseres Systems erfasst wurden. Wenn Sie beispielsweise ein VT-Python-Skript eingegeben und Daten von VT erhalten haben, können Sie diese Daten an die SN-Instanz zurücksenden.

    Authentifizierung

    Alle Vorgänge innerhalb der API-Definitionen verwenden die von bereitgestellte Plattformauthentifizierung Scripted REST APIs -Vorgangsfunktion. Um darauf zuzugreifen, navigieren Sie zu System-Webservices > Scripted Web Services > Scripted REST APIs und suchen Sie nach der API „SecOps Integration Capabilities“.
    Abbildung : 1. Geskripteter REST-Service
    Geskripteter REST-Service

    Der Benutzer und die Domäne des Benutzers sind im Kontext der API leicht verfügbar. Datensätze können an einen Benutzer gebunden, ein Audit-Pfad eingerichtet und die Domänentrennung durchgeführt werden. Da Sie als bestimmter Benutzer authentifiziert sind, können Sie außerdem verwenden Verwenden von GlideRecordSecure, um einen nicht autorisierten Zugriff auf Daten zu verhindern.

    Autorisierung

    Um den Datensatzerstellungsprozess für Benutzer außerhalb der Anwendung Security Operations zu schützen, benötigen Sie die Rolle sn_sec_cmn.api_write. Nur Benutzer mit dieser Rolle können auf die APIs zugreifen.

    Konfigurationsanforderungsparameter

    Die folgenden Anforderungsparameter sind verfügbar.
    Name Standard Beschreibung
    ignore_mandatory_fields false Bei „true“ bleibt der Datensatz erhalten, auch wenn Pflichtfelder nicht ausgefüllt werden.
    include_wrap false Bei „true“ enthält die Antwort den von der Instanz bereitgestellten Standard-Wrapper für Scripted REST APIs.
    simple_response false Bei „true“ enthält die Antwort nur Informationen, ob der Vorgang erfolgreich war.

    Fehlerantworten

    Die folgenden Fehlerantworten können auftreten.
    Fehlermeldung Wann tritt es auf? Lösung
    Ungenügender Zugriff Anwender verfügt nicht über die Rolle sn_sec_cmn.api_write. Fügen Sie dem Benutzer die Rolle hinzu.
    Ungültiger Beitragstext Anforderungstext ist leer oder ein leeres Objekt. Entspricht der API-Definition.
    Keine Felder angegeben Zum Beibehalten bereitgestellte Datenfelder sind leer. Entspricht der API-Definition.
    Pflichtfelder fehlen: x, y, z Pflichtfelder fehlen. Entsprechen Sie der Tabellendefinition der Zieltabelle, oder legen Sie ignore_mandatory_fields auf „true“ fest.
    Datensatz kann nicht beibehalten werden Analysierter Datensatz kann nicht beibehalten werden. GlideRecord insert() fehlgeschlagen, weitere Analyse ist erforderlich.
    Unbekannter Fehler. Tritt auf, wenn kein bekannter Fehlerpfad verfolgt wurde. Weitere Analysen sind erforderlich.

    Anwendungsfall CI-Ergänzung

    Mit Ihren Drittanbieterskripts können Sie zur CI-Anreicherung in die Tabelle „Configuration Item Enrichment“ [sn_sec_cmn_ci_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

    Beispielanforderung und -antworten für den Anwendungsfall der CI-Ergänzung werden hier angezeigt.

    Abbildung : 2. Anforderung für CI-Ergänzung erstellen
    CI-Ergänzung: Anforderung erstellen
    Abbildung : 3. Antwort für CI-Ergänzung erstellen
    CI-Ergänzung: Erstellen – Antwort

    Anwendungsfall der Ergänzung erkennbarer Elemente

    Mit Ihren Drittanbieterskripts können Sie zur Anreicherung erkennbarer Elemente in die Tabelle „Ergebnis der Anreicherung erkennbarer Elemente“ [sn_ti_observable_enrichment_result] schreiben. Die Ergänzungsdatensätze basieren auf vorhandenen Fähigkeiten, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

    Beispielanforderung und -antworten für den Anwendungsfall der Ergänzung erkennbarer Elemente werden hier angezeigt.

    Abbildung : 4. Erstellen – Anforderung für Ergänzung erkennbarer Elemente
    Ergänzung erkennbarer Elemente: Erstellen – Anfordern
    Abbildung : 5. Erstellen – Antwort für Ergänzung erkennbarer Elemente
    Ergänzung erkennbarer Elemente: Antwort erstellen
    Hinweis:
    Zusätzlich zum Anreichern vorhandener Datensätze können Sie Security Operations -Ergänzungsdatenzuordnung auch verwenden, um neue Datensätze zu Tabellen hinzuzufügen, indem Sie eine „ enrichment_mapping_id “ für eine vorhandene Ergänzungszuordnung und eine entsprechende „raw_data“-Zeichenfolge übergeben, die vom Zuordnungsprozess analysiert werden kann.

    Anwendungsfall für die Bedrohungssuche

    Mit Ihren Skripts von Drittanbietern können Sie in die Tabelle „Ergebnis der Bedrohungssuche“ [sn_ti_lookup_result] schreiben, um Ergebnisse der Bedrohungssuche zu erhalten. Die Suchdatensätze basieren auf vorhandenen Funktionen, die detaillierte Informationen zu einem Datensatz aus einer Drittanbieterquelle bereitstellen.

    Beispielanforderung und -antworten für den Anwendungsfall „Bedrohungssuche“ werden hier angezeigt.

    Abbildung : 6. Anforderung für Bedrohungssuchen erstellen
    Anforderung für Bedrohungssuchen erstellen
    Abbildung : 7. Erstellen: Antwort für Bedrohungssuchen
    Erstellen: Antwort für Bedrohungssuchen