使用 webhook 的工作負載安全通知
建議變更
PDF
Webhook 允許使用者使用自訂的 webhook 通道向各種應用程式發送關鍵或警告警報通知。
許多商業應用程式支援 webhook 作為標準輸入接口,例如:Slack、PagerDuty、Teams 和 Discord。透過支援通用、可自訂的 webhook 通道,Workload Security 可以支援許多這樣的交付通道。有關配置 webhook 的資訊可以在相應應用程式的網站上找到。例如,Slack 提供"這個有用的指南"。
您可以建立多個 webhook 通道,每個通道針對不同的目的、單獨的應用程式、不同的收件者等。
Webhook 通道實例由下列元素組成
| Name | 描述 |
|---|---|
網址 |
Webhook 目標 URL,包括 http:// 或 https:// 前綴以及 URL 參數 |
方法 |
GET/POST - 預設為 POST |
自訂標題 |
在此處指定任何自訂標題 |
訊息正文 |
在此處填寫您的郵件正文 |
預設警報參數 |
列出 webhook 的預設參數 |
自訂參數和機密 |
自訂參數和秘密可讓您新增唯一參數和安全元素,例如密碼 |
創建 webhook
若要建立工作負載安全性 Webhook,請前往管理 > 通知並選擇「工作負載安全性 Webhook」標籤。下圖顯示了 Slack webhook 建立畫面的範例。
注意:使用者必須是工作負載安全性_管理員_才能建立和管理工作負載安全性 Webhook。
-
在每個欄位中輸入適當的信息,然後按一下「儲存」。
-
您也可以點擊「測試 Webhook」按鈕來測試連線。請注意,這將根據所選方法將「訊息正文」(不含替換)傳送到定義的 URL。
-
SWS webhook 包含許多預設參數。此外,您還可以建立自己的自訂參數或秘密。
參數:它們是什麼以及如何使用它們?
警報參數是每個警報填充的動態值。例如,%%severity%% 參數將被替換為警報的嚴重性類型。
請注意,按一下「測試 Webhook」按鈕時不會執行替換;測試會傳送有效負載,顯示參數的佔位符(%%<param-name>%%),但不會用資料取代它們。
自訂參數和機密
在本節中,您可以新增任何您想要的自訂參數和/或秘密。自訂參數或秘密可以位於 URL 或訊息正文中。秘密允許使用者配置安全的自訂參數,如密碼、apiKey 等。
下面的範例圖展示如何在 webhook 建立中使用自訂參數。
工作負載安全 Webhook 清單頁面
Webhooks 清單頁面顯示名稱、建立者、建立日期、狀態、安全性和上次報告欄位。注意:'status' 欄位的值會根據最後一個 webhook 觸發結果不斷變化。以下是狀態結果的範例。
地位 |
描述 |
好的 |
通知已成功發送。 |
403 |
禁止。 |
404 |
未找到 URL。 |
400 |
錯誤的請求。如果訊息正文中存在任何錯誤,您可能會看到此狀態,例如:
|
410 |
資源不再可用 |
「上次報告」欄位表示 webhook 上次觸發的時間。
從 webhook 清單頁面,使用者還可以編輯/複製/刪除 webhook。
在警報策略中設定 Webhook 通知
若要將 webhook 通知新增至警報策略,請前往“工作負載安全性”>“策略”,然後選擇現有策略或新增策略。在「動作」部分 > “Webhook 通知」下拉式功能表中,選擇所需的 webhook。
Webhook 通知與策略相關。當攻擊(RW/DD/WARN)發生時,將採取配置的操作(拍攝快照/使用者封鎖),然後觸發相關的 webhook 通知。
注意:電子郵件通知與策略無關,它們將照常觸發。
-
如果策略暫停,則不會觸發 webhook 通知。
-
可以將多個 webhook 附加到單一策略,但建議將不超過 5 個 webhook 附加到策略。