Migrer les points de terminaison SOAR vers l'API Chronicle
Ce document décrit les étapes et les points à prendre en compte pour migrer de la surface de l'API SOAR obsolète vers l'API Chronicle unifiée. Ce guide est destiné à vous aider à effectuer la transition de manière fluide et efficace, en limitant les perturbations et en tirant parti des nouvelles fonctionnalités.
La surface de l'API Chronicle présente plusieurs améliorations conçues pour simplifier votre processus de développement. Il répond également aux limites et aux complexités de l'ancienne API.
Prérequis
Avant d'effectuer la migration de l'API SOAR, vous devez procéder comme suit :
Principales modifications et améliorations
Le tableau suivant met en évidence les principales différences entre les anciennes et les nouvelles surfaces d'API :
| Zone de la fonctionnalité | Ancienne API | Nouvelle API | Détails |
|---|---|---|---|
| Authentification | Jeton d'API | OAuth 2.0 | Cette nouvelle méthode d'authentification offre une sécurité renforcée et standardise le processus. |
| Modèles de données | Structures plates | Conception orientée ressources | Ce nouveau design améliore la cohérence des données et simplifie la manipulation des objets. |
| Nommer les points de terminaison | Flux de travail | RESTful et normalisé | Une dénomination cohérente rend l'API plus intuitive et plus facile à intégrer. |
Planning d'abandon
L'ancienne surface d'API pour SOAR devrait être entièrement obsolète le 30 juin 2026. Nous vous recommandons d'effectuer la migration avant cette date pour éviter toute interruption de service.
Procédure de migration
Cette section décrit la procédure à suivre pour migrer vos applications vers l'API Chronicle :
Consulter la documentation
Familiarisez-vous avec la documentation complète de la nouvelle API, y compris le guide de référence de l'API Chronicle.
Mapper les points de terminaison à la nouvelle surface d'API
Identifiez les nouveaux points de terminaison correspondants pour chacun des anciens appels d'API effectués par votre application. De même, mappez les anciens modèles de données avec les nouveaux, en tenant compte des éventuelles modifications structurelles ou des nouveaux champs. Pour en savoir plus, consultez le tableau de mappage des points de terminaison de l'API.
Facultatif : Créer une intégration intermédiaire
Si vous modifiez une intégration personnalisée ou un composant d'une intégration commerciale, nous vous recommandons de transférer d'abord les modifications vers une intégration de préproduction. Ce processus vous permet d'effectuer des tests sans affecter vos flux d'automatisation de production. Si vous migrez une application personnalisée qui utilise l'API SOAR, vous pouvez passer à l'étape suivante. Pour en savoir plus sur la mise en scène de l'intégration, consultez Tester les intégrations en mode "staging".
Mettre à jour le point de terminaison et les URL du service
Un point de terminaison de service est l'URL de base qui spécifie l'adresse réseau d'un service d'API. Un service unique peut avoir plusieurs points de terminaison de service. Chronicle est un service régional et n'accepte que les points de terminaison régionaux.
Tous les nouveaux points de terminaison utilisent un préfixe cohérent, ce qui rend l'adresse du point de terminaison final prévisible. L'exemple suivant montre la nouvelle structure d'URL de point de terminaison :
[api_version]/projects/[project_id]/locations/[location]/instances[instance_id]/...
La structure finale de l'adresse du point de terminaison est la suivante :
https://[service_endpoint]/[api_version]/projects/[project_id]/locations/[location]/instances/[instance_id]/...
Où :
service_endpoint: adresse de service régionaleapi_version: version de l'API à interroger. Il peut s'agir dev1alpha,v1betaouv1.project_id: ID de votre projet (le même que celui que vous avez défini pour vos autorisations IAM)location: emplacement de votre projet (région), identique aux points de terminaison régionauxinstance_id: votre numéro client Google Security Operations SIEM.
Adresses régionales :
africa-south1 :
https://chronicle.africa-south1.rep.googleapis.comasia-northeast1 :
https://chronicle.asia-northeast1.rep.googleapis.comasia-south1 :
https://chronicle.asia-south1.rep.googleapis.comasia-southeast1 :
https://chronicle.asia-southeast1.rep.googleapis.comasia-southeast2 :
https://chronicle.asia-southeast2.rep.googleapis.comaustralia-southeast1 :
https://chronicle.australia-southeast1.rep.googleapis.comeurope-west12 :
https://chronicle.europe-west12.rep.googleapis.comeurope-west2 :
https://chronicle.europe-west2.rep.googleapis.comeurope-west3 :
https://chronicle.europe-west3.rep.googleapis.comeurope-west6 :
https://chronicle.europe-west6.rep.googleapis.comeurope-west9 :
https://chronicle.europe-west9.rep.googleapis.comme-central1 :
https://chronicle.me-central1.rep.googleapis.comme-central2 :
https://chronicle.me-central2.rep.googleapis.comme-west1 :
https://chronicle.me-west1.rep.googleapis.comnorthamerica-northeast2 :
https://chronicle.northamerica-northeast2.rep.googleapis.comsouthamerica-east1 :
https://chronicle.southamerica-east1.rep.googleapis.comus:
https://chronicle.us.rep.googleapis.comeu :
https://chronicle.eu.rep.googleapis.com
Par exemple, pour obtenir la liste de toutes les demandes d'un projet aux États-Unis :
GET
https://chronicle.us.rep.googleapis.com/v1alpha/projects/my-project-name-or-id/locations/us/instances/408bfb7b-5746-4a50-885a-50a323023529/cases
Mettre à jour la méthode d'authentification
La nouvelle API utilise IAM pour l'authentification. Google Cloud Vous devrez mettre à jour votre application ou votre intégration de réponse pour implémenter ce nouveau flux d'authentification. Assurez-vous que l'utilisateur qui exécute le script dispose des autorisations appropriées pour les points de terminaison auxquels il tente d'accéder.
Mettre à jour la logique de l'API
Analysez les nouveaux modèles de données et les structures de points de terminaison fournis dans la documentation de référence de l'API. Toutes les méthodes n'ont pas changé de manière significative, et certains codes existants peuvent être réutilisés. L'objectif principal est d'examiner la nouvelle documentation de référence et, pour chaque cas d'utilisation spécifique, d'identifier et d'implémenter les modifications nécessaires aux noms de champs et aux structures de données dans la logique de votre application.
Tester votre intégration
Testez votre application mise à jour dans une intégration de préproduction avant de la déployer en production :
- Créez un plan de test : définissez des scénarios de test qui couvrent toutes les fonctionnalités migrées.
- Exécutez des tests : effectuez des tests automatisés et manuels pour confirmer l'exactitude et la validité.
- Surveillez les performances : évaluez les performances de votre application avec la nouvelle API.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.