將 SOAR 端點遷移至 Chronicle API
本文將說明從已淘汰的 SOAR API 介面遷移至整合式 Chronicle API 的步驟和注意事項。本指南旨在協助您順利且有效率地完成轉換,盡量減少中斷,並充分運用新功能。
Chronicle API 介面導入多項改良功能,可簡化開發程序。同時解決舊版 API 的限制和複雜性。
必要條件
執行 SOAR API 遷移作業前,請先完成下列事項:
主要異動和強化措施
下表重點列出新舊版 API 介面的主要差異:
| 功能區域 | 舊版 API | 新版 API | 詳細資料 |
|---|---|---|---|
| 驗證 | API 權杖 | OAuth 2.0 | 新驗證方法可提升安全性並簡化程序。 |
| 資料模型 | 扁平結構 | 資源導向設計 | 這項新設計可提升資料一致性,並簡化物件操作。 |
| 端點命名 | 不一致 | RESTful 且標準化 | 一致的命名方式可讓 API 更直覺,也更容易整合。 |
淘汰時間表
舊版 SOAR API 介面預計於 2026 年 6 月 30 日全面淘汰。建議您在上述日期前完成遷移,以免服務中斷。
遷移步驟
本節將概述將應用程式成功遷移至 Chronicle API 的步驟:
詳閱說明文件
詳閱新版 API 的完整說明文件,包括 Chronicle API 參考指南。
將端點對應至新的 API 介面
找出應用程式發出的每個舊版 API 呼叫所對應的新端點。同樣地,請將舊資料模型對應至新模型,並考量任何結構變更或新欄位。詳情請參閱 API 端點對應表。
選用:建立測試整合
如果您要編輯自訂整合或商業整合的元件,建議先將變更推送至預先發布整合。這個程序可讓您進行測試,而不影響實際自動化流程。如果您要遷移使用 SOAR API 自行建構的應用程式,可以跳到下一個步驟。如要瞭解如何整合暫存環境,請參閱「在暫存模式下測試整合」。
更新服務端點和網址
服務端點是指定 API 服務網路位址的基準網址。單一服務可以有多個服務端點。Chronicle 是區域服務,僅支援區域端點。
所有新端點都會使用一致的前置字元,因此最終端點位址是可以預測的。以下範例顯示新的端點網址結構:
[api_version]/projects/[project_id]/locations/[location]/instances[instance_id]/...
這個結構會讓端點的最終位址如下所示:
https://[service_endpoint]/[api_version]/projects/[project_id]/locations/[location]/instances/[instance_id]/...
其中:
service_endpoint:區域服務地址api_version:要查詢的 API 版本。可以是v1alpha、v1beta或v1。project_id:您的專案 ID (與您為 IAM 權限定義的專案相同)location:專案位置 (區域),與區域端點相同instance_id:您的 Google Security Operations SIEM 客戶 ID。
區域地址:
africa-south1:
https://chronicle.africa-south1.rep.googleapis.comasia-northeast1:
https://chronicle.asia-northeast1.rep.googleapis.comasia-south1:
https://chronicle.asia-south1.rep.googleapis.comasia-southeast1:
https://chronicle.asia-southeast1.rep.googleapis.comasia-southeast2:
https://chronicle.asia-southeast2.rep.googleapis.comaustralia-southeast1:
https://chronicle.australia-southeast1.rep.googleapis.comeurope-west12:
https://chronicle.europe-west12.rep.googleapis.comeurope-west2:
https://chronicle.europe-west2.rep.googleapis.comeurope-west3:
https://chronicle.europe-west3.rep.googleapis.comeurope-west6:
https://chronicle.europe-west6.rep.googleapis.comeurope-west9:
https://chronicle.europe-west9.rep.googleapis.comme-central1:
https://chronicle.me-central1.rep.googleapis.comme-central2:
https://chronicle.me-central2.rep.googleapis.comme-west1:
https://chronicle.me-west1.rep.googleapis.comnorthamerica-northeast2:
https://chronicle.northamerica-northeast2.rep.googleapis.comsouthamerica-east1:
https://chronicle.southamerica-east1.rep.googleapis.com我們:
https://chronicle.us.rep.googleapis.comeu:
https://chronicle.eu.rep.googleapis.com
舉例來說,如要取得美國境內專案的所有案件清單:
GET
https://chronicle.us.rep.googleapis.com/v1alpha/projects/my-project-name-or-id/locations/us/instances/408bfb7b-5746-4a50-885a-50a323023529/cases
更新驗證方法
新版 API 會使用 Google Cloud IAM 進行驗證。您需要更新應用程式或回應整合服務,才能實作這項新的驗證流程。請確認執行指令碼的使用者具備正確的端點權限,可存取他們嘗試存取的端點。
更新 API 邏輯
分析 API 參考資料中提供的新資料模型和端點結構。並非所有方法都有重大變更,因此可以重複使用部分現有程式碼。主要目標是查看新的參考文件,並針對每個特定用途,找出及實作應用程式邏輯中欄位名稱和資料結構的必要變更。
測試整合功能
在部署至正式環境前,請先在預先發布的整合環境中測試更新後的應用程式:
- 建立測試計畫:定義涵蓋所有遷移功能的測試案例。
- 執行測試:執行自動和手動測試,確認準確度和有效性。
- 監控效能:使用新版 API 評估應用程式效能。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。