QRadar App Framework
允许开发自定义应用,扩展 QRadar 功能。
App Framework v2
基于容器化架构(Docker)。
开发环境
# 安装 SDK
pip install qradar-app-sdk
# 创建项目
qradar-app create my_appApp 文件结构
my_qradar_app/
├── app/
│ ├── __init__.py
│ ├── views.py
│ ├── templates/
│ ├── static/
│ └── manifest.json
├── qradar_appfw.version
└── Dockerfile
manifest.json 示例
{
"name": "My Custom App",
"description": "A custom QRadar app",
"version": "1.0.0",
"areas": [
{
"id": "MyAppMain",
"text": "Threat Hunting",
"url": "index",
"required_capabilities": ["ADMIN"]
}
],
"uuid": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}调用 QRadar API
import os
import requests
QRADAR_CONSOLE_IP = os.environ.get('QRADAR_CONSOLE_IP')
SEC_TOKEN = os.environ.get('SEC_ADMIN_TOKEN')
headers = {"SEC": SEC_TOKEN, "Version": "26.0"}
def get_offenses():
url = f"https://{QRADAR_CONSOLE_IP}/api/siem/offenses"
r = requests.get(url, headers=headers, verify=False)
return r.json()打包与安装
# 打包
qradar-app create -p my_qradar_app
# 安装
# Admin > Extensions > Install Extension上一章:05 - REST API 开发 下一章:07 - SOAR 集成与响应编排