REST APIs para integração de terceiros com Operações de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • O sistema base Operações de segurança inclui uma série de REST APIs com script que permitem que clientes e parceiros se integrem facilmente a uma implantação Operações de segurança existente. As APIs permitem coletar dados de fora do seu sistema (por exemplo, um script Python é usado para receber dados do VirusTotal) e enviá-los de volta para sua instância.

    Scripts escritos em praticamente qualquer linguagem (Python, por exemplo) podem ser usados com as APIs para executar processos específicos do cliente. Os scripts devem ser escritos em uma linguagem capaz de fazer uma pós-chamada HTTP externa. Por exemplo, se você tiver uma aplicação Java, deverá usar uma biblioteca, como o pacote java.net.HttpUrlConnection, para construir uma chamada HTTP e passar uma cadeia de caracteres JSON como corpo da mensagem.

    A API é usada exclusivamente para adicionar dados que foram coletados fora do nosso sistema. Por exemplo, se você inseriu o script python do VT e recebeu dados do VT, poderá enviar esses dados de volta para a instância do SN.

    Autenticação

    Todas as operações nas definições de API usam a autenticação de plataforma fornecida pelo Recurso de operaçãode Scripted REST APIs. Para acessar, navegue até Serviços web do sistema > Serviços web com script > Scripted REST APIs e localize a API de capacidades de integração de SecOps.
    Figura 1. Serviço REST de Script
    Serviço REST de Script

    O usuário e o domínio do usuário estão prontamente disponíveis no contexto da API. Os registros podem ser vinculados a um usuário, um caminho de auditoria a ser estabelecido e a separação de domínio realizada. Além disso, como você foi autenticado como um usuário específico, pode usar Usando GlideRecordSecure para impedir o acesso não autorizado aos dados.

    Autorização

    Para proteger o processo de criação de registros de usuários fora da aplicação Operações de segurança, você deve ter a função sn_sec_cmn.api_write. Somente usuários com esta função podem acessar as APIs.

    Parâmetros de solicitação de configuração

    Os seguintes parâmetros de solicitação estão disponíveis.
    Nome Padrão Descrição
    ignore_mandatory_fields falso Se definido como verdadeiro, o registro persistirá mesmo se os campos obrigatórios não forem preenchidos.
    include_wrap falso Se definido como verdadeiro, a resposta incluirá o wrapper padrão fornecido pela instância para Scripted REST APIs.
    resposta_simples falso Se definido como verdadeiro, a resposta incluirá somente se a operação foi bem-sucedida.

    Respostas de erro

    As seguintes respostas de erro podem ocorrer.
    Mensagem de erro Quando isso ocorre? Solução
    Acesso insuficiente O usuário não tem a função sn_sec_cmn.api_write. Adicione a função ao usuário.
    Corpo de publicação inválido O corpo da solicitação está vazio ou é um objeto vazio. Em conformidade com a definição da API.
    Nenhum campo fornecido Os campos de dados fornecidos para persistir estão vazios. Em conformidade com a definição da API.
    Campos obrigatórios ausentes: x, y,z Os campos obrigatórios estão ausentes. Em conformidade com a definição da tabela de destino ou defina ignore_mandatory_fields como verdadeiro.
    Não é possível manter o registro Não é possível manter o registro analisado. Falha ao inserir GlideRecord(). É necessária uma análise mais aprofundada.
    Erro desconhecido Ocorre se nenhum caminho de erro conhecido tiver sido seguido. É necessária uma análise mais aprofundada.

    Caso de uso de aprimoramento de IC

    Usando seus scripts de terceiros, você pode gravar na tabela Aprimoramento de item de configuração [sn_sec_cmn_ci_enrichment_result] para aprimoramento de IC. Os registros de aprimoramento são baseados em capacidades existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    Solicitação de amostra e respostas para o caso de uso de aprimoramento de IC são mostradas aqui.

    Figura 2. Criar-solicitação para aprimoramento de IC
    Aprimoramento de IC: Criar – Solicitar
    Figura 3. Criar resposta para enriquecimento de IC
    Aprimoramento de IC: criar –Resposta

    Caso de uso de aprimoramento de observável

    Usando seus scripts de terceiros, você pode gravar na tabela Resultado de aprimoramento de observável [sn_ti_observable_enrichment_result] para aprimoramento de observável. Os registros de aprimoramento são baseados em capacidades existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    A amostra de solicitação e respostas para o caso de uso de aprimoramento do observável é mostrada aqui.

    Figura 4. Criar-solicitação para enriquecimento de observável
    Aprimoramento de observável: criar–solicitar
    Figura 5. Criar resposta para enriquecimento de observável
    Aprimoramento de observável: criar resposta
    Nota:
    Além de aprimorar os registros existentes, você também pode usar Operações de segurança mapeamento de dados de aprimoramento para adicionar novos registros às tabelas, passando em um richment_mapping_id para um mapeamento de aprimoramento existente e uma cadeia de caracteres bruta_data correspondente que pode ser analisada pelo processo de mapeamento.

    Caso de uso de pesquisa de ameaças

    Usando seus scripts de terceiros, você pode gravar na tabela Resultado da pesquisa de ameaças [sn_ti_lookup_result] para obter os resultados da pesquisa de ameaças. Os registros de pesquisa são baseados em capacidades existentes que fornecem informações detalhadas sobre um registro de uma fonte de terceiros.

    A amostra de solicitação e respostas para o caso de uso de pesquisa de ameaças é mostrada aqui.

    Figura 6. Criar-solicitação para pesquisas de ameaças
    Criar-solicitação para pesquisas de ameaças
    Figura 7. Criar resposta para pesquisas de ameaças
    Criar resposta para pesquisas de ameaças