Webhook¶

Вы можете настроить отправку уведомлений в любую систему, которая принимает входящие вебхуки по протоколу HTTPS. Для этого необходимо указать Webhook URL, на который будут отправляться уведомления с деталями о следующих типах событий:

• Обнаружен хит, за исключением:

  • Экспериментального хита, обнаруженного на основе регулярного выражения. Хиты без метки Экспериментально учитываются.
  • Хита, не включенного в выборку при семплировании.

• Системные события: добавленные пользователи, удаленные и отключенные интеграции

• Обнаружена уязвимость

• Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Формат уведомлений¶

Уведомления о событиях отправляются в формате JSON. Набор объектов в JSON зависит от события, для которого отправлено уведомление. Например:

• Обнаружен хит

  [
      {
          "summary": "[Вебмониторэкс] Обнаружен новый хит",
          "details": {
          "client_name": "TestCompany",
          "cloud": "RU",
          "notification_type": "new_hits",
          "hit": {
              "domain": "www.example.com",
              "heur_distance": 0.01111,
              "method": "POST",
              "parameter": "SOME_value",
              "path": "/news/some_path",
              "payloads": [
                  "say ni"
              ],
              "point": [
                  "post"
              ],
              "probability": 0.01,
              "remote_country": "PL",
              "remote_port": 0,
              "remote_addr4": "8.8.8.8",
              "remote_addr6": "",
              "tor": "none",
              "request_time": 1603834606,
              "create_time": 1603834608,
              "response_len": 14,
              "response_status": 200,
              "response_time": 5,
              "stamps": [
                  1111
              ],
              "regex": [],
              "stamps_hash": -22222,
              "regex_hash": -33333,
              "type": "sqli",
              "block_status": "monitored",
              "id": [
                  "hits_production_999_202010_v_1",
                  "c2dd33831a13be0d_AC9"
              ],
              "object_type": "hit",
              "anomaly": 0
              }
          }
      }
  ]
  

• Обнаружена уязвимость

  [
      {
          summary:"[Вебмониторэкс] Обнаружена новая уязвимость",
          description:"Тип события: vuln
  
                      В вашей системе обнаружена новая уязвимость.
  
                      ID: 
                      Название: Test
                      Домен: example.com
                      Путь: 
                      Метод: 
                      Источник: 
                      Параметры: 
                      Тип: Info
                      Уровень риска: Medium
  
                      Подробнее: https://my.wallarm.ru/object/555
  
  
                      Клиент: TestCompany
                      Вычислительный кластер: RU
                      ",
          details:{
              client_name:"TestCompany",
              cloud:"RU",
              notification_type:"vuln",
              vuln_link:"https://my.wallarm.ru/object/555",
              vuln:{
                  domain:"example.com",
                  id:null,
                  method:null,
                  parameter:null,
                  path:null,
                  title:"Test",
                  discovered_by:null,
                  threat:"Medium",
                  type:"Info"
              }
          }
      }
  ]
  

Настройка интеграции¶

1. Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.

2. Нажмите на блок Webhook или нажмите кнопку Добавить интеграцию и выберите Webhook.

3. Введите имя интеграции.

4. Введите Webhook URL, на который необходимо отправлять уведомления.

5. Если требуется, задайте дополнительные настройки:

   • Тип запроса: POST или PUT. По умолчанию отправляются POST-запросы.
   • Заголовок запроса и значение, если для запроса к серверу с указанным адресом требуется передать нестандартный заголовок. Количество заголовков не ограничено.
   • Корневой сертификат, который был использован для подписи TLS-сертификата сервера. Если корневой сертификат выдан доверенным центром, это поле опционально. Если TLS-сертификат сервера самоподписанный, необходимо загрузить корневой сертификат, который был использован для подписи TLS-сертификата.
   • Проверить TLS-сертификат: данная настройка позволяет отключить проверку TLS‑сертификата сервера с указанным адресом. По умолчанию Вебмониторэкс проверяет, что TLS-сертификат сервера подписан доверенным центром сертификации. Мы не рекомендуем отключать проверку. Если ваш сервер использует самоподписанный TLS-сертификат, для успешной проверки вам необходимо загрузить самоподписанный корневой сертификат.
   • Время ожидания ответа, сек: если сервер не отвечает на запрос в течение указанного времени, запрос завершается с ошибкой. По умолчанию: 15 секунд.
   • Время ожидания соединения, сек: если в течение указанного времени не удается установить соединение с сервером, запрос завершается с ошибкой. По умолчанию: 20 секунд.
   

6. Выберите типы событий, для которых необходимо отправлять уведомления на указанный Webhook URL. Если события не выбраны, уведомления не отправляются.

7. Протестируйте интеграцию и убедитесь в корректности настроек.

8. Нажмите Добавить интеграцию.

   

Примеры интеграций¶

Схема логирования событий в комплексных системах может состоять из нескольких компонентов, например:

• Коллектор логов: принимает логи от нескольких источников и выгружает логи в SIEM-систему.

• SIEM-система или другая система управления логами: используется для анализа логов и мониторинга состояния системы.

Примеры для настройки интеграций с популярными сборщиками логов и выгрузки логов в SIEM‑системы описаны по ссылкам ниже:

• Webhook‑интеграция с Fluentd с выгрузкой логов в IBM QRadar, Splunk Enterprise, ArcSight Logger, Datadog

• Webhook‑интеграция с Logstash с выгрузкой логов в IBM QRadar, Splunk Enterprise, ArcSight Logger, Datadog

Тестирование интеграции¶

Тестирование интеграции позволяет проверить корректность настроек, соединение с Вычислительным кластером Вебмониторэкс и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.

Тестирование интеграции выполняется следующим образом:

• В выбранную систему отправляются тестовые уведомления с префиксом [Тестовое сообщение].

• Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.

  Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.

• В тестовых уведомлениях не используются реальные данные.

Пример тестового вебхука:

[
    {
        summary:"[Тестовое сообщение] [Вебмониторэкс] Обнаружена новая уязвимость",
        description:"Тип события: vuln

                    В вашей системе обнаружена новая уязвимость.

                    ID: 
                    Название: Test
                    Домен: example.com
                    Путь: 
                    Метод: 
                    Источник: 
                    Параметры: 
                    Тип: Info
                    Уровень риска: Medium

                    Подробнее: https://my.wallarm.ru/object/555


                    Клиент: TestCompany
                    Вычислительный кластер: RU
                    ",
        details:{
            client_name:"TestCompany",
            cloud:"RU",
            notification_type:"vuln",
            vuln_link:"https://my.wallarm.ru/object/555",
            vuln:{
                domain:"example.com",
                id:null,
                method:null,
                parameter:null,
                path:null,
                title:"Test",
                discovered_by:null,
                threat:"Medium",
                type:"Info"
            }
        }
    }
]

Редактирование интеграции¶

Чтобы обновить настройки интеграции:

1. Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.

2. Откройте интеграцию.

3. Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции¶

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

1. Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.

2. Откройте активную интеграцию и нажмите Отключить.

Отключение интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции¶

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

1. Перейдите в Консоль управления Вебмониторэкс → Настройки → Интеграции.

2. Откройте интеграцию и нажмите Удалить.

3. Подтвердите действие.

Удаление интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.