Sumo Logic¶
Вы можете настроить отправку сообщений в Sumo Logic для следующих типов событий:
-
Обнаружен хит, за исключением:
- Экспериментального хита, обнаруженного на основе регулярного выражения. Хиты без метки Экспериментально учитываются.
- Хита, не включенного в выборку при семплировании.
-
Системные события: добавленные пользователи, удаленные и отключенные интеграции
-
Обнаружена уязвимость
-
Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов
Настройка интеграции¶
В интерфейсе Sumo Logic:
-
Настройте Hosted Collector, используя инструкцию.
-
Настройте HTTP Logs & Metrics Source, используя инструкцию.
-
Скопируйте полученный HTTP Source Address (URL).
В Личном кабинете Валарм:
-
Откройте Настройки → Интеграции.
-
Нажмите на блок Sumo Logic или нажмите кнопку Добавить интеграцию и выберите Sumo Logic.
-
Введите имя интеграции.
-
Вставьте скопированное значение HTTP Source Address (URL) в соответствующее поле.
-
Выберите типы событий, о которых необходимо отправлять сообщения в Sumo Logic. Если события не выбраны, сообщения не отправляются.
-
Протестируйте интеграцию и убедитесь в корректности настроек.
-
Нажмите Добавить интеграцию.
Тестирование интеграции¶
Тестирование интеграции позволяет проверить корректность настроек, соединение с Облаком Валарм и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.
Тестирование интеграции выполняется следующим образом:
-
В выбранную систему отправляются тестовые уведомления с префиксом
[Тестовое сообщение]. -
Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.
Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.
-
В тестовых уведомлениях не используются реальные данные.
Пример уведомления в Sumo Logic:
{
summary:"[Тестовое сообщение] [Wallarm] Обнаружена новая уязвимость",
description:"Тип события: vuln
В вашей системе обнаружена новая уязвимость.
ID:
Название: Test
Домен: example.com
Путь:
Метод:
Источник:
Параметры:
Тип: Info
Уровень риска: Medium
Подробнее: https://my.wallarm.com/object/555
Клиент: TestCompany
Облако: EU
",
details:{
client_name:"TestCompany",
cloud:"EU",
notification_type:"vuln",
vuln_link:"https://my.wallarm.com/object/555",
vuln:{
domain:"example.com",
id:null,
method:null,
parameter:null,
path:null,
title:"Test",
discovered_by:null,
threat:"Medium",
type:"Info"
}
}
}
Редактирование интеграции¶
Чтобы обновить настройки интеграции:
-
Перейдите в Консоль управления Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте интеграцию.
-
Обновите настройки интеграции и нажмите Сохранить.
Отключение интеграции¶
Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:
-
Перейдите в Консоль управления Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте активную интеграцию и нажмите Отключить.
Отключение интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.
Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.
Удаление интеграции¶
Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.
-
Перейдите в Консоль управления Валарм → Настройки → Интеграции по ссылке для EU‑облака или для RU‑облака.
-
Откройте интеграцию и нажмите Удалить.
-
Подтвердите действие.
Удаление интеграции является системным событием. Если вы получаете уведомления о системных событиях, в настроенные системы поступят сообщения об удаленной интеграции.