Benachrichtigungen zur Workload-Sicherheit über Webhooks
Webhooks ermöglichen es Benutzern, kritische oder Warnbenachrichtigungen über einen angepassten Webhook-Kanal an verschiedene Anwendungen zu senden.
Viele kommerzielle Anwendungen unterstützen Webhooks als Standard-Eingabeschnittstelle, zum Beispiel: Slack, PagerDuty, Teams und Discord. Durch die Unterstützung eines generischen, anpassbaren Webhook-Kanals kann Workload Security viele dieser Bereitstellungskanäle unterstützen. Informationen zur Konfiguration der Webhooks finden Sie auf den Webseiten der jeweiligen Anwendung. Slack bietet zum Beispiel "Dieser Leitfaden ist hilfreich".
Sie können mehrere Webhook-Kanäle erstellen, jeder Kanal ist für einen anderen Zweck, separate Anwendungen, verschiedene Empfänger usw. bestimmt
Die Instanz des Webhook-Kanals besteht aus den folgenden Elementen
Name | Beschreibung |
---|---|
URL |
Webhook-Ziel-URL, einschließlich des Präfixes http:// oder https:// zusammen mit den url-Params |
Methode |
GET/POST - Standard ist POST |
Benutzerdefinierte Kopfzeile |
Geben Sie hier benutzerdefinierte Kopfzeilen an |
Nachrichtentext |
Setzen Sie den Text Ihrer Nachricht hier ein |
Standardwarnparameter |
Listet die Standardparameter für den Webhook auf |
Benutzerdefinierte Parameter und Geheimnisse |
Mit benutzerdefinierten Parametern und Geheimnissen können Sie eindeutige Parameter und sichere Elemente wie Passwörter hinzufügen |
Erstellen eines Webhooks
Um einen Workload Security Webhook zu erstellen, gehen Sie zu Admin > Benachrichtigungen und wählen Sie die Registerkarte „Workload Security Webhooks“. Das folgende Bild zeigt einen Beispielbildschirm für die Erstellung von Slack-Webhook.
Hinweis: Benutzer muss ein Workload Security Admin sein, um Workload Security Webhooks erstellen und verwalten zu können.
-
Geben Sie die entsprechenden Informationen für jedes der Felder ein, und klicken Sie auf „Speichern“.
-
Sie können auch auf die Schaltfläche "Webhook testen" klicken, um die Verbindung zu testen. Beachten Sie, dass der Nachrichtentext (ohne Ersatz) entsprechend der ausgewählten Methode an die definierte URL gesendet wird.
-
SWS-Webhooks umfassen eine Reihe von Standardparametern. Außerdem können Sie eigene benutzerdefinierte Parameter oder Geheimnisse erstellen.
Parameter: Was sind sie und wie man sie benutzt?
Bei den Alarmparametern handelt es sich um dynamische Werte, die pro Meldung ausgefüllt werden. Beispiel: Der Parameter %%severity%% wird durch den Schweregrad-Typ der Meldung ersetzt.
Beachten Sie, dass beim Klicken auf die Schaltfläche „Webhook testen“ keine Ersetzungen durchgeführt werden; der Test sendet eine Nutzlast, die die Platzhalter des Parameters (%%<param-name>%) anzeigt, sie jedoch nicht durch Daten ersetzt.
Benutzerdefinierte Parameter und Geheimnisse
In diesem Abschnitt können Sie benutzerdefinierte Parameter und/oder Geheimnisse hinzufügen, die Sie wünschen. Ein benutzerdefinierter Parameter oder Secret kann sich im URL- oder Nachrichtenkörper befinden. Secrets ermöglichen es dem Benutzer, einen sicheren benutzerdefinierten Parameter wie Passwort, apiKey usw. zu konfigurieren
Das folgende Beispielbild zeigt, wie benutzerdefinierte Parameter bei der Webhook-Erstellung verwendet werden.
Workload Security Webhooks List Page
Auf der Listenseite Webhooks werden der Name, erstellt von, erstellt am, Status, sicher, und zuletzt gemeldete Felder. Hinweis: Der Wert der Spalte 'status' ändert sich aufgrund des Ergebnisses des letzten Webhook-Triggers weiter. Im Folgenden finden Sie Beispiele für Statusergebnisse.
Status |
Beschreibung |
OK |
Benachrichtigung erfolgreich gesendet. |
403 |
Verboten. |
404 |
Die URL wurde nicht gefunden. |
400 |
Ungültige Anfrage. Dieser Status wird möglicherweise angezeigt, wenn im Nachrichtentext ein Fehler auftritt, z. B.:
|
410 |
Ressource ist nicht mehr verfügbar |
Spalte „Letzte Meldung“ zeigt die Zeit an, zu der der Webhook zuletzt ausgelöst wurde.
Auf der Webhooks-Listingseite können Benutzer auch Webhooks bearbeiten/duplizieren/löschen.
Konfigurieren der Webhook-Benachrichtigung in der Warnungsrichtlinie
Um einer Warnungsrichtlinie eine Webhook-Benachrichtigung hinzuzufügen, gehen Sie zu -Workload-Sicherheit > Richtlinien-, und wählen Sie eine vorhandene Richtlinie aus, oder fügen Sie eine neue Richtlinie hinzu. Wählen Sie im Bereich Actions > Webhook Notifications die gewünschten Webhooks aus.
Webhook-Benachrichtigungen sind an Richtlinien gebunden. Wenn der Angriff (RW/DD/WARN) stattfindet, wird die konfigurierte Aktion (Snapshot erstellen/Benutzerblockierung durchführen) ausgeführt und die zugehörige Webhook-Benachrichtigung ausgelöst.
Hinweis: E-Mail-Benachrichtigungen sind unabhängig von Richtlinien. Sie werden wie gewohnt ausgelöst.
-
Wenn eine Richtlinie angehalten wird, werden Webhook-Benachrichtigungen nicht ausgelöst.
-
Mehrere Webhooks können an eine einzelne Richtlinie angehängt werden. Es wird jedoch empfohlen, maximal 5 Webhooks an eine Richtlinie anzuhängen.
Webhook-Beispiele Für Workload-Sicherheit
Webhooks für "Slack"
Webhooks für "PagerDuty" Webhooks "Teams Aus"für Webhooks "Abschnur"