REST APIs para integração de terceiros com Operações de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • . Operações de segurança O sistema de base inclui uma série de REST APIs com script que permitem que clientes e parceiros se integrem facilmente a um existente Operações de segurança implantação. As APIs permitem coletar dados de fora do seu sistema (por exemplo, um script Python é usado para receber dados do VirusTotal) e enviá-los de volta para sua instância.

    Scripts escritos em quase qualquer linguagem (Python, por exemplo) podem ser usados com as APIs para executar processos específicos do cliente. Os scripts devem ser escritos em um idioma capaz de fazer uma chamada HTTP POST externa. Por exemplo, se você tiver uma aplicação Java, deverá usar uma biblioteca, como java.net.HttpUrlConnection Pacote, para construir uma chamada HTTP e passar uma cadeia de caracteres JSON como corpo para a mensagem.

    A API é usada exclusivamente para adicionar dados que foram coletados fora do nosso sistema. Por exemplo, se você inseriu o script Python de VT e recebeu dados de VT, poderá enviar esses dados de volta para a instância de SN.

    Autenticação

    Todas as operações nas definições de API usam autenticação de plataforma fornecida pelo REST APIs com script recurso de operação. Para acessar, navegue até Serviços web do sistema > Serviços web com script > Scripted REST APIs e localize Capacidades de integração SecOps API.
    Figura 1. Serviço REST de Script
    Serviço REST de Script

    O usuário e o domínio do usuário estão prontamente disponíveis no contexto da API. Os registros podem ser vinculados a um usuário, um caminho de auditoria a ser estabelecido e a separação de domínio realizada. Como você está autenticado como um usuário específico, você pode usar Usando GlideRecordSecure impedir qualquer acesso não autorizado aos dados.

    Autorização

    Proteger o processo de criação de registro de usuários fora do Operações de segurança, você deve ter sn_sec_cmn.api_write função. Somente usuários com esta função podem acessar as APIs.

    Parâmetros de solicitação de configuração

    Os seguintes parâmetros de solicitação estão disponíveis.
    Nome Padrão Descrição
    ignore_mandatory_fields falso Se definido como verdadeiro, o registro persiste mesmo se os campos obrigatórios não estiverem preenchidos.
    include_wrap falso Se definido como verdadeiro, a resposta incluirá o wrapper padrão fornecido pela instância para REST APIs com script.
    simple_response falso Se definido como verdadeiro, a resposta incluirá somente se a operação foi bem-sucedida.

    Respostas de erro

    As seguintes respostas de erro podem ocorrer.
    Mensagem de erro Quando isso ocorre? Solução
    Acesso insuficiente O usuário não tem a função sn_sec_cmn.api_write. Adicione a função ao usuário.
    Corpo de publicação inválido O corpo da solicitação está vazio ou é um objeto vazio. Em conformidade com a definição da API.
    Nenhum campo fornecido Os campos de dados fornecidos para persistir estão vazios. Em conformidade com a definição da API.
    Campos obrigatórios ausentes: X,y,z Os campos obrigatórios estão ausentes. Em conformidade com a definição da tabela ou conjunto de destino ignore_mandatory_fields para verdadeiro.
    Não é possível manter o registro Não é possível persistir o registro analisado. GlideRecord insert() falhou, análise adicional é necessária.
    Erro desconhecido Ocorre se nenhum caminho de erro conhecido tiver sido seguido. Uma análise mais detalhada é necessária.

    Caso de uso de aprimoramento de IC

    Usando scripts de terceiros, você pode gravar na tabela Aprimoramento do item de configuração [sn_sec_cmn_ci_enrichriment_result] para aprimoramento de IC. Os registros de aprimoramento são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma origem de terceiros.

    Solicitações e respostas de amostra para o caso de uso de aprimoramento de IC são mostradas aqui.

    Figura 2. Create-request para aprimoramento de IC
    Aprimoramento de IC: Criar solicitação
    Figura 3. Create-Response para aprimoramento de IC
    Aprimoramento de IC: Criar - Resposta

    Caso de uso de aprimoramento de observável

    Usando scripts de terceiros, você pode gravar no resultado de aprimoramento do observável [sn_ti_observable_enrichment_result] tabela para aprimoramento de observável. Os registros de aprimoramento são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma origem de terceiros.

    Solicitações e respostas de amostra para o caso de uso de aprimoramento de observável são mostradas aqui.

    Figura 4. Create-request para aprimoramento de observável
    Aprimoramento de observável: Criar–solicitação
    Figura 5. Create-Response para aprimoramento do observável
    Aprimoramento de observável: Criar resposta
    Nota:
    Além de enriquecer os registros existentes, você também pode usar Operações de segurança mapeamento de dados de aprimoramento para adicionar novos registros a tabelas aprovando um enrichment_mapping_id para um mapeamento de aprimoramento existente e um correspondente raw_data cadeia de caracteres que pode ser analisada pelo processo de mapeamento.

    Caso de uso da pesquisa de ameaças

    Usando scripts de terceiros, você pode gravar na tabela Resultado da pesquisa de ameaças [sn_ti_lookup_result] para obter resultados da pesquisa de ameaças. Os registros de pesquisa são baseados em recursos existentes que fornecem informações detalhadas sobre um registro de uma origem de terceiros.

    Solicitações e respostas de amostra para o caso de uso de pesquisa de ameaças são mostradas aqui.

    Figura 6. Create-request para pesquisas de ameaças
    Create-request para pesquisas de ameaças
    Figura 7. Create-Response para pesquisas de ameaças
    Create-Response para pesquisas de ameaças