Перейти к содержанию

Webhook

Вы можете настроить отправку уведомлений в любую систему, которая принимает входящие вебхуки по протоколу HTTPS. Для этого необходимо указать Webhook URL, на который будут отправляться уведомления с деталями о следующих типах событий:

  • Обнаружен хит

  • Системные события: добавленные пользователи, удаленные и отключенные интеграции

  • Обнаружена уязвимость

  • Изменения сетевого периметра: обновления в списке доменов, IP‑адресов, сервисов

Формат уведомлений

Уведомления о событиях отправляются в формате JSON. Набор объектов в JSON зависит от события, для которого отправлено уведомление. Например:

  • Обнаружен хит

    [
        {
            "summary": "[Wallarm] Обнаружен новый хит",
            "details": {
            "client_name": "TestCompany",
            "cloud": "EU",
            "notification_type": "new_hits",
            "hit": {
                "domain": "www.example.com",
                "heur_distance": 0.01111,
                "method": "POST",
                "parameter": "SOME_value",
                "path": "/news/some_path",
                "payloads": [
                    "say ni"
                ],
                "point": [
                    "post"
                ],
                "probability": 0.01,
                "remote_country": "PL",
                "remote_port": 0,
                "remote_addr4": "8.8.8.8",
                "remote_addr6": "",
                "tor": "none",
                "request_time": 1603834606,
                "create_time": 1603834608,
                "response_len": 14,
                "response_status": 200,
                "response_time": 5,
                "stamps": [
                    1111
                ],
                "regex": [],
                "stamps_hash": -22222,
                "regex_hash": -33333,
                "type": "sqli",
                "block_status": "monitored",
                "id": [
                    "hits_production_999_202010_v_1",
                    "c2dd33831a13be0d_AC9"
                ],
                "object_type": "hit",
                "anomaly": 0
                }
            }
        }
    ]
    
  • Обнаружена уязвимость

    [
        {
            summary:"[Wallarm] Обнаружена новая уязвимость",
            description:"Тип события: vuln
    
                        В вашей системе обнаружена новая уязвимость.
    
                        ID: 
                        Название: Test
                        Домен: example.com
                        Путь: 
                        Метод: 
                        Источник: 
                        Параметры: 
                        Тип: Info
                        Уровень риска: Medium
    
                        Подробнее: https://my.wallarm.com/object/555
    
    
                        Клиент: TestCompany
                        Облако: EU
                        ",
            details:{
                client_name:"TestCompany",
                cloud:"EU",
                notification_type:"vuln",
                vuln_link:"https://my.wallarm.com/object/555",
                vuln:{
                    domain:"example.com",
                    id:null,
                    method:null,
                    parameter:null,
                    path:null,
                    title:"Test",
                    discovered_by:null,
                    threat:"Medium",
                    type:"Info"
                }
            }
        }
    ]
    

Настройка интеграции

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции.

  2. Нажмите на блок Webhook или нажмите кнопку Добавить интеграцию и выберите Webhook.

  3. Введите имя интеграции.

  4. Введите Webhook URL, на который необходимо отправлять уведомления.

  5. Если требуется, задайте дополнительные настройки:

    • Тип запроса: POST или PUT. По умолчанию отправляются POST-запросы.
    • Заголовок запроса и значение, если для запроса к серверу требуется передать нестандартный заголовок. Количество заголовков не ограничено.
    • Корневой сертификат SSL. Чтобы Валарм отправлял сообщения на сервер с самоподписанным TLS-сертификатом, в этом поле необходимо указать корневой сертификат, который был использован для подписи TLS‑сертификата. Если корневой сертификат выдан доверенным центром, вы можете опционально добавить доверенный корневой сертификат.
    • Верифицировать сертификат: данная настройка позволяет отключить проверку TLS‑сертификата сервера, адрес которого указан в поле Webhook URL. По умолчанию Валарм проверяет, что TLS‑сертификат сервера подписан доверенным центром сертификации. Мы не рекомендуем отключать проверку. Если ваш сервер использует самоподписанный TLS‑сертификат, для успешной проверки вы можете добавить самоподписанный корневой сертификат в соответствующее поле.
    • Время ожидания ответа, сек: если сервер не отвечает на запрос в течение указанного времени, запрос завершается с ошибкой. По умолчанию: 15 секунд.
    • Время ожидания соединения, сек: если в течение указанного времени не удается установить соединение с сервером, запрос завершается с ошибкой. По умолчанию: 20 секунд.

    Пример дополнительных настроек для webhook-интеграции

  6. Выберите типы событий, для которых необходимо отправлять уведомления на указанный Webhook URL. Если события не выбраны, уведомления не отправляются.

  7. Протестируйте интеграцию и убедитесь в корректности настроек.

  8. Нажмите Добавить интеграцию.

    Добавление интеграции с webhook

Примеры интеграций

Вебхуки могут использоваться как один из источников логов в системе. Общее количество подобных источников зависит от сложности системы: чем больше компонентов в системе, тем больше количество источников и объем логов. Наиболее распространенная схема логирования в сложных системах состоит из компонентов:

  • Сборщик логов: принимает логи от нескольких источников и выгружает логи в SIEM-систему.

  • SIEM-система: используется для анализа логов и мониторинга состояния системы.

Примеры для настройки интеграций с популярными сборщиками логов и выгрузки логов в SIEM‑системы описаны по ссылкам ниже:

Тестирование интеграции

Тестирование интеграции позволяет проверить корректность настроек, соединение с Облаком Валарм и формат уведомлений о событиях. Чтобы протестировать интеграцию, вы можете использовать кнопку Протестировать в окне создания и редактирования интеграции.

Тестирование интеграции выполняется следующим образом:

  • В выбранную систему отправляются тестовые уведомления с префиксом [Тестовое сообщение].

  • Тестовые уведомления отправляются для всех событий, которые доступны для выбранной системы. Если в карточке интеграции доступны 3 типа событий, в выбранную систему придет 3 уведомления.

    Для типа событий Системные события отправляется тестовое уведомление о добавлении нового пользователя.

  • В тестовых уведомлениях не используются реальные данные.

Пример тестового вебхука:

[
    {
        summary:"[Тестовое сообщение] [Wallarm] Обнаружена новая уязвимость",
        description:"Тип события: vuln

                    В вашей системе обнаружена новая уязвимость.

                    ID: 
                    Название: Test
                    Домен: example.com
                    Путь: 
                    Метод: 
                    Источник: 
                    Параметры: 
                    Тип: Info
                    Уровень риска: Medium

                    Подробнее: https://my.wallarm.com/object/555


                    Клиент: TestCompany
                    Облако: EU
                    ",
        details:{
            client_name:"TestCompany",
            cloud:"EU",
            notification_type:"vuln",
            vuln_link:"https://my.wallarm.com/object/555",
            vuln:{
                domain:"example.com",
                id:null,
                method:null,
                parameter:null,
                path:null,
                title:"Test",
                discovered_by:null,
                threat:"Medium",
                type:"Info"
            }
        }
    }
]

Редактирование интеграции

Чтобы обновить настройки интеграции:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию.

  3. Обновите настройки интеграции и нажмите Сохранить.

Отключение интеграции

Чтобы временно остановить отправку отчетов безопасности и уведомлений, вы можете отключить интеграцию:

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте активную интеграцию и нажмите Отключить.

Для повторного включения отчетов безопасности и уведомлений откройте отключенную интеграцию и нажмите Включить.

Удаление интеграции

Чтобы навсегда остановить отправку отчетов безопасности и уведомлений, вы можете удалить интеграцию. Удаление интеграции невозможно отменить. Интеграция исчезнет из общего списка навсегда.

  1. Перейдите в Личный кабинет Валарм → НастройкиИнтеграции по ссылке для EU‑облака или для RU‑облака.

  2. Откройте интеграцию и нажмите Удалить.

  3. Подтвердите действие.