Интеграция Webhook для уведомлений безопасности

Материал из Документация Ключ-АСТРОМ
Версия от 17:45, 13 июня 2023; ENetrebin (обсуждение | вклад) (Новая страница: «Интегрируйте уведомления безопасности с Ключ-АСТРОМ, чтобы сообщать о проблемах безопа...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Интегрируйте уведомления безопасности с Ключ-АСТРОМ, чтобы сообщать о проблемах безопасности и/или атаках вашим командам для оповещения и устранения.

Чтобы интегрировать уведомления безопасности с помощью веб-перехватчиков, выберите один из вариантов ниже.

  • Настройте уведомления об уязвимостях
  • Настройте уведомления об атаках

Настройте уведомления об уязвимостях

Создать профиль оповещения

Создайте профиль предупреждений, который позволит вам настроить правила фильтрации предупреждений, основанные на уровне риска обнаруженных уязвимостей.

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. Выберите Предупреждения > Профили предупреждений об уязвимостях .
  3. Выберите Добавить профиль предупреждений .
  4. Введите Имя профиля, для которого вы хотите получать уведомления безопасности.
  5. В разделе Оповещение о следующих событиях выберите хотя бы один тип события, для которого вы хотите получать уведомления.
    • Если включена функция Открытая уязвимость (повторно) и отключена Новая затронутая зона управления , вы будете уведомлены об открытии или повторном открытии уязвимости.
    • Если параметр Новая затронутая зона управления включен, а параметр Открытая (повторно) уязвимость отключен, вы будете уведомлены, когда уже открытая уязвимость начнет влиять на зону управления в вашей среде, которая ранее не была затронута.
    • Если оба параметра Уязвимость (повторно) открыта и Новая затронутая зона управления включены, вы будете уведомлены об открытии или повторном открытии уязвимости или о том, что открытая уязвимость начинает влиять на новую зону управления.
  6. необязательно Чтобы ограничить оповещения одной зоной управления, в разделе Оповещение, только если затронута следующая зона управления (необязательно) выберите нужную зону управления из раскрывающегося списка. Таким образом, вы будете предупреждены только тогда, когда на выбранную зону управления влияют выбранные типы событий. Например, для типа события «Новая зона управления затронута» вы получаете уведомление, когда открытая уязвимость, которая ранее не затрагивала вашу выбранную зону управления, начинает влиять на нее. Примечание. Для каждого профиля предупреждений можно выбрать только одну зону управления.
  7. Включите каждый уровень риска, для которого вы хотите получать уведомления. Вы можете выбрать более одного.
  8. Выберите Сохранить изменения , чтобы сохранить конфигурацию.

Свяжите профиль предупреждений с интеграцией уведомлений безопасности веб-перехватчиков.

Свяжите профиль предупреждений с интеграцией уведомлений безопасности с помощью веб-перехватчиков. Вы можете определить интеграцию с веб-перехватчиком и настроить полезную нагрузку (в виде шаблона сообщения), которую вы хотите получать с уведомлениями о безопасности.

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» и выберите «Интеграция» > «Уведомления безопасности» .
  2. Выберите Добавить интеграцию и введите следующую информацию.
    • Тип оповещения системы безопасности: выберите Оповещение об уязвимости .
    • Тип уведомления: выберите Пользовательская интеграция .
    • Отображаемое имя: введите имя для интеграции с веб-перехватчиком. Это имя будет отображаться в Ключ-АСТРОМ в меню «Настройки» > «Интеграция » > «Уведомления безопасности» после сохранения этой конфигурации.
    • URL-адрес конечной точки веб-перехватчика: введите URL-адрес конечной точки API веб-перехватчика.
  3. необязательный Выберите, хотите ли вы принять какой-либо SSL-сертификат.
    • On = принимать любой SSL-сертификат (включая самозаверяющие и недействительные сертификаты)
    • Off = Ключ-АСТРОМ проверяет SSL-сертификат URL-адреса. (рекомендуемые)
  4. Выберите Добавить заголовок HTTP , чтобы указать дополнительные поля заголовка HTTP, например Content-Typeили Authorization. Эти настраиваемые поля заголовка HTTP можно использовать, если целевой конечной точке требуется токен аутентификации в заголовке HTTP или если вы хотите отправлять различные типы контента, такие как application/json, application/xml, text/plain. Примечание. Поле Content-Type является обязательным, остальные необязательны.
  5. В поле Пользовательские полезные данные настройте формат и содержимое уведомлений. Как только уязвимость обнаружена или устранена, эта настраиваемая полезная нагрузка отправляется через HTTP POST в целевую систему. Выберите значок «Информация» , чтобы просмотреть список доступных заполнителей , которые можно использовать для этой интеграции. Заполнители автоматически заменяются информацией, связанной с уязвимостью, при создании уведомления.

Пример шаблона сообщения:

{
"text": "New management zone is affected for *{SecurityProblemId}* and *{Severity} {DavisSecurityScore}* (CVSS: {CvssScore}). \nTitle: *{Title}*\n```{Description}```\n{SecurityProblemUrl}\n* Public exploit: {ExploitAvailable}, \n* public exposure: {Exposed}, \n* sensitive data exposure: {SensitiveDataReachable}. \nTags[Host Name]: ```{Tags[Host Name]}``` ManagementZones: ```{ManagementZones} ```\n\n *from test system* :dynatrace: (triggered by 'all risk levels' rule)."
}
  1. В списке Профиль предупреждений выберите профиль предупреждений , для которого вы хотите получать уведомления безопасности.
  2. необязательный Чтобы проверить конфигурацию, выберите Отправить тестовое уведомление . Если ваша конфигурация верна:
    • Вы должны получить уведомление на канале вашей организации в желаемом формате.
    • На странице настроек Ключ-АСТРОМ должно отображаться следующее информационное сообщение: Test notification sent successfully.
  3. Сохранить изменения .

Пример полезной нагрузки:

Настройте уведомления об атаках

Создать профиль оповещения

Создайте профиль предупреждений, который позволит вам настроить правила фильтрации предупреждений, основанные на статусе обнаруженных атак.

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. Выберите Предупреждения > Профили предупреждений об атаках .
  3. Выберите Добавить профиль предупреждений .
  4. Введите Имя профиля, для которого вы хотите получать уведомления безопасности.
  5. Включите переключатель любого статуса атаки, для которого вы хотите получать уведомления. Вы можете выбрать более одного.
  6. Выберите Сохранить изменения , чтобы сохранить конфигурацию.

Свяжите профиль предупреждений с интеграцией уведомлений безопасности веб-перехватчиков.

Свяжите профиль предупреждений с интеграцией уведомлений безопасности с помощью веб-перехватчиков. Вы можете определить интеграцию с веб-перехватчиком и настроить полезную нагрузку (в виде шаблона сообщения), которую вы хотите получать с уведомлениями о безопасности.

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» и выберите «Интеграция» > «Уведомления безопасности» .
  2. Выберите Добавить интеграцию и введите следующую информацию.
    • Тип предупреждения системы безопасности: выберите Предупреждение об атаке .
    • Тип уведомления: выберите Пользовательская интеграция .
    • Отображаемое имя: введите имя для интеграции с веб-перехватчиком. Это имя будет отображаться в Ключ-АСТРОМ в меню «Настройки» > «Интеграция » > «Уведомления безопасности» после сохранения этой конфигурации.
    • URL-адрес конечной точки веб-перехватчика: введите URL-адрес конечной точки API веб-перехватчика.
  3. необязательно Выберите, хотите ли вы принять какой-либо SSL-сертификат.
    • On = принимать любой SSL-сертификат (включая самозаверяющие и недействительные сертификаты)
    • Off = Ключ-АСТРОМ проверяет SSL-сертификат URL-адреса. (рекомендуемые)
  4. Выберите Добавить заголовок HTTP , чтобы указать дополнительные поля заголовка HTTP, например Content-Typeили Authorization. Эти настраиваемые поля заголовка HTTP можно использовать, если целевой конечной точке требуется токен аутентификации в заголовке HTTP или если вы хотите отправлять различные типы контента, такие как application/json, application/xml, text/plain. Примечание. Поле Content-Type является обязательным, остальные необязательны.
  5. В поле Пользовательские полезные данные настройте формат и содержимое уведомлений. Как только атака обнаружена, эта настраиваемая полезная нагрузка передается через HTTP POST в целевую систему. Выберите значок «Информация» , чтобы просмотреть список доступных заполнителей , которые можно использовать для этой интеграции. Заполнители автоматически заменяются информацией, связанной с атакой, при создании уведомления.

Пример шаблона сообщения:

{
"text": "Notification for ATTACK *{AttackDisplayId}*. \nTitle: *{Title} - ({Type}) - {State}*\n{AttackUrl}\n* Process group: {ProcessGroupId}, \n* Entry point: {EntryPoint}, \n* Timestamp: {Timestamp}, \n* Vulnerability: {VulnerabilityName}.  \n\n *from test system* :dynatrace:"
}

Пример полезной нагрузки:

  1. В списке Профиль предупреждений выберите профиль предупреждений , для которого вы хотите получать уведомления безопасности.
  2. необязательно Чтобы проверить конфигурацию, выберите Отправить тестовое уведомление . Если ваша конфигурация верна:
    • Вы должны получить уведомление на канале вашей организации в желаемом формате.
    • На странице настроек Ключ-АСТРОМ должно отображаться следующее информационное сообщение: Test notification sent successfully.
  3. Сохранить изменения .

Устранение неполадок

Устранение потенциальных проблем с интеграцией

  1. В меню Ключ-АСТРОМ перейдите в «Настройки» .
  2. Выберите Интеграция > Уведомления безопасности .
  3. Выберите Подробности для интеграции, которую вы хотите проверить.
  4. Выберите Отправить тестовое уведомление . Если ваша конфигурация неверна и тестовое уведомление не было отправлено на выбранный канал вашей организации, вы получите сообщение об ошибке, которое поможет вам определить проблему.