使用 webhook 的工作负载安全通知
建议更改
PDF
Webhook 允许用户使用自定义的 webhook 通道向各种应用程序发送关键或警告警报通知。
许多商业应用程序支持 webhook 作为标准输入接口,例如:Slack、PagerDuty、Teams 和 Discord。通过支持通用、可定制的 webhook 通道,Workload Security 可以支持许多这样的交付通道。有关配置 webhook 的信息可以在相应应用程序的网站上找到。例如,Slack 提供"这个有用的指南"。
您可以创建多个 webhook 通道,每个通道针对不同的目的、单独的应用程序、不同的收件人等。
Webhook 通道实例由以下元素组成
| 名称 | 描述 |
|---|---|
URL |
Webhook 目标 URL,包括 http:// 或 https:// 前缀以及 URL 参数 |
方法 |
GET/POST - 默认为 POST |
自定义标题 |
在此处指定任何自定义标题 |
消息正文 |
在此处填写您的邮件正文 |
默认警报参数 |
列出 webhook 的默认参数 |
自定义参数和机密 |
自定义参数和秘密允许您添加唯一参数和安全元素,例如密码 |
创建 webhook
要创建工作负载安全 Webhook,请转到管理 > 通知并选择“工作负载安全 Webhook”选项卡。下图显示了 Slack webhook 创建屏幕的示例。
注意:用户必须是工作负载安全_管理员_才能创建和管理工作负载安全 Webhook。
-
在每个字段中输入适当的信息,然后单击“保存”。
-
您也可以点击“测试 Webhook”按钮来测试连接。请注意,这将根据所选方法将“消息正文”(不带替换)发送到定义的 URL。
-
SWS webhook 包含许多默认参数。此外,您还可以创建自己的自定义参数或秘密。
参数:它们是什么以及如何使用它们?
警报参数是每个警报填充的动态值。例如,%%severity%% 参数将被替换为警报的严重性类型。
请注意,单击“测试 Webhook”按钮时不会执行替换;测试会发送一个有效负载,显示参数的占位符(%%<param-name>%%),但不会用数据替换它们。
自定义参数和机密
在本节中,您可以添加任何您想要的自定义参数和/或秘密。自定义参数或秘密可以位于 URL 或消息正文中。秘密允许用户配置安全的自定义参数,如密码、apiKey 等。
下面的示例图展示了如何在 webhook 创建中使用自定义参数。
工作负载安全 Webhook 列表页面
Webhooks 列表页面显示名称、创建者、创建日期、状态、安全和上次报告字段。注意:'status' 列的值将根据最后一个 webhook 触发结果不断变化。以下是状态结果的示例。
状态 |
描述 |
确定 |
通知已成功发送。 |
403 |
禁止。 |
404 |
未找到 URL。 |
400 |
错误的请求。如果消息正文中存在任何错误,您可能会看到此状态,例如:
|
410 |
资源不再可用 |
“上次报告”列表示 webhook 上次触发的时间。
从 webhook 列表页面,用户还可以编辑/复制/删除 webhook。
在警报策略中配置 Webhook 通知
要将 webhook 通知添加到警报策略,请转到“工作负载安全”>“策略”,然后选择现有策略或添加新策略。在“操作”部分 > “Webhook 通知”下拉菜单中,选择所需的 webhook。
Webhook 通知与策略相关。当攻击(RW/DD/WARN)发生时,将采取配置的操作(拍摄快照/用户阻止),然后触发相关的 webhook 通知。
注意:电子邮件通知与策略无关,它们将照常触发。
-
如果策略暂停,则不会触发 webhook 通知。
-
可以将多个 webhook 附加到单个策略,但建议将不超过 5 个 webhook 附加到策略。