Обзор интеграций¶
На вкладке Настройки → Интеграции вы можете настроить системы для получения регулярных отчетов и мгновенных уведомлений:
-
Отчеты безопасности отправляются ежедневно, еженедельно или ежемесячно, в зависимости от указанных настроек. Отчет содержит подробную информацию об уязвимостях, атаках и инцидентах, обнаруженных в системе за выбранный промежуток времени.
-
Уведомления отправляются при обнаружении уязвимости, хита, изменений периметра и системных событий. Уведомления содержат краткий обзор обнаруженной активности.
Доступ администратора
Настройка интеграций доступна пользователям только с ролью Администратор.
Типы интеграций¶
Доступные системы разделены на блоки: Email и мессенджеры, Системы управления инцидентами и SIEM‑системы и Другие системы.
Email и мессенджеры¶
-
Основной email — отчеты и уведомления на email, указанный при регистрации. Вы также можете настраивать эту интеграцию на вкладке Настройки → Профиль
Системы управления инцидентами и SIEM‑системы¶
Другие системы¶
- Webhook для интеграции с любой системой, которая принимает входящие вебхуки по протоколу HTTPS. Например:
- Fluentd с выгрузкой логов в IBM QRadar, Splunk Enterprise, ArcSight Logger
- Logstash с выгрузкой логов в IBM QRadar, Splunk Enterprise, ArcSight Logger
Добавление интеграции¶
Для добавления интеграции нажмите на иконку ненастроенной системы на вкладке Все или нажмите кнопку Добавить интеграцию и выберите систему. Следующие шаги описаны в инструкции для выбранной системы.
Количество интеграций с одной системой не ограничено. Например: для отправки отчетов безопасности в три канала Slack вы можете добавить три интеграции со Slack.
Фильтрация интеграций¶
Для фильтрации интеграций вы можете использовать вкладки:
-
Все с включенными, отключенными и ненастроенными интеграциями
-
Активные с активными настроенными интеграциями
-
Отключенные с отключенными настроенными интеграциями
Расширенная настройка уведомлений
Для расширенной настройки уведомлений вы можете использовать триггеры.
Повторная отправка запроса при неуспешном ответе¶
Чтобы отправить уведомление в систему, Валарм выполняет запрос к системе. Если система отвечает любым кодом кроме 2xx
, Валарм отправляет запрос повторно до получения кода 2xx
с интервалом:
-
В первом цикле: 1, 3, 5, 10, 10 секунд
-
Во втором цикле: 0, 1, 3, 5, 30 секунд
-
В третьем цикле: 1, 1, 3, 5, 10, 30 минут
Если за 12 часов процент неуспешных запросов достигает 60%, интеграция автоматически отключается. Уведомление об отключенной интеграции отправляется в настроенные системы и на email администраторов аккаунта.