REST APIs para integração de terceiros com Security Operations

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • O sistema base Security Operations inclui uma série de REST APIs de script que permitem que clientes e parceiros se integrem facilmente a uma implantação Security Operations existente. As APIs permitem coletar dados de fora do seu sistema (por exemplo, um script Python é usado para receber dados do VirusTotal) e enviá-los de volta para sua instância.

    Scripts escritos em praticamente qualquer linguagem (Python, por exemplo) podem ser usados com as APIs para executar processos específicos do cliente. Os scripts devem ser escritos em um idioma capaz de fazer uma chamada HTTP Post externa. Por exemplo, se você tiver uma aplicação Java, deverá usar uma biblioteca, como o pacote java.net.HttpUrlConnection, para construir uma chamada HTTP e passar uma cadeia de caracteres JSON como corpo da mensagem.

    A API é usada exclusivamente para adicionar dados que foram coletados fora do nosso sistema. Por exemplo, se você inseriu o script python do VT e recebeu dados do VT, poderá enviar esses dados de volta para a instância SN.

    Autenticação

    Todas as operações nas definições de API usam a autenticação de plataforma fornecida pelo Recurso de operação deScripted REST APIs. Para acessar, navegue até Serviços web do sistema > Scripted Web Services > Scripted REST APIs e localize a API de capacidades de integração de SecOps.
    Figura 1. Serviço REST de Script
    Serviço REST de Script

    O usuário e o domínio do usuário estão prontamente disponíveis no contexto da API. Os registros podem ser vinculados a um usuário, um caminho de auditoria a ser estabelecido e a separação de domínio realizada. Além disso, como você está autenticado como um usuário específico, pode usar Usando GlideRecordSecure para impedir qualquer acesso não autorizado aos dados.

    Autorização

    Para proteger o processo de criação de registros de usuários fora da aplicação Security Operations, você deve ter a função sn_sec_cmn.api_write. Somente usuários com esta função podem acessar as APIs.

    Parâmetros de solicitação de configuração

    Os parâmetros de solicitação a seguir estão disponíveis.
    Nome Padrão Descrição
    ignore_mandatory_fields falso Se definido como verdadeiro, o registro persistirá mesmo se os campos obrigatórios não forem preenchidos.
    include_wrap falso Se definido como verdadeiro, a resposta incluirá o wrapper padrão fornecido pela instância para Scripted REST APIs.
    resposta_simples falso Se definido como verdadeiro, a resposta incluirá somente se a operação foi bem-sucedida.

    Respostas de erro

    As seguintes respostas de erro podem ocorrer.
    Mensagem de erro Quando isso ocorre? Solução
    Acesso insuficiente O usuário não tem a função sn_sec_cmn.api_write. Adicione a função ao usuário.
    Corpo de publicação inválido O corpo da solicitação está vazio ou é um objeto vazio. Em conformidade com a definição da API.
    Nenhum campo fornecido Os campos de dados fornecidos para persistir estão vazios. Em conformidade com a definição da API.
    Campos obrigatórios ausentes: x, y, z Os campos obrigatórios estão ausentes. Cumpra a definição da tabela de destino ou defina ignore_mandatory_fields como verdadeiro.
    Não é possível manter o registro Não é possível manter o registro analisado. Falha ao inserir GlideRecord (), análise adicional é necessária.
    Erro desconhecido Ocorre se nenhum caminho de erro conhecido tiver sido seguido. Uma análise mais aprofundada é necessária.

    caso de uso de aprimoramento de IC

    Usando seus scripts de terceiros, você pode gravar na tabela Aprimoramento de item de configuração [sn_sec_cmn_ci_enrichment_result] para aprimoramento de IC. Os registros de aprimoramento são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    Solicitação de amostra e respostas para o caso de uso de aprimoramento de IC são mostradas aqui.

    Figura 2. Criar solicitação para aprimoramento de IC
    Aprimoramento de IC: Criar – Solicitação
    Figura 3. Criar resposta para aprimoramento de IC
    Aprimoramento de IC: criar –Resposta

    Caso de uso de aprimoramento de observável

    Usando seus scripts de terceiros, você pode gravar na tabela Resultado de aprimoramento observável [sn_ti_observable_enrichment_result] para aprimoramento observável. Os registros de aprimoramento são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    Solicitação de amostra e respostas para o caso de uso de aprimoramento observável são mostradas aqui.

    Figura 4. Criar-Solicitação de aprimoramento observável
    Aprimoramento de observável: criar – solicitar
    Figura 5. Criar resposta para aprimoramento de observável
    Aprimoramento de observável: criar resposta
    Nota:
    Além de aprimorar os registros existentes, você também pode usar Security Operations mapeamento de dados de aprimoramento para adicionar novos registros a tabelas passando em um richment_mapping_id para um mapeamento de aprimoramento existente e uma cadeia de caracteres bruta_data correspondente que pode ser analisada pelo processo de mapeamento.

    Caso de uso de pesquisa de ameaças

    Usando seus scripts de terceiros, você pode gravar na tabela Resultado de pesquisa de ameaças [sn_ti_lookup_result] para obter resultados de pesquisa de ameaças. Os registros de pesquisa são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    Solicitação de amostra e respostas para o caso de uso de pesquisa de ameaça são mostradas aqui.

    Figura 6. Criar solicitação para pesquisas de ameaças
    Criar solicitação para pesquisas de ameaças
    Figura 7. Criar resposta para pesquisas de ameaças
    Criar resposta para pesquisas de ameaças