Перейти к содержанию

Создание триггера

Триггеры настраиваются в Личном кабинете Валарм в разделе Триггеры. Раздел доступен только пользователям с ролью Администратор.

Раздел для настройки триггеров

  1. Нажмите кнопку Создать новый триггер.

  2. Выберите условия.

  3. Выберите фильтры.

  4. Добавьте реакции.

  5. Сохраните триггер.

Шаг 1: Выбор условия

Условие — событие в системе, для которого выполняется настройка реакции. Для настройки доступны следующие условия:

  • Количество атак

  • Количество хитов

  • Количество инцидентов

  • Пользователь добавлен

Доступные условия

Выберите условие в интерфейсе Личного кабинета и установите значение нижнего порога для реакции, если настройка доступна.

Шаг 2: Выбор фильтров

Фильтры используются для более явного определения условия. Например, вы можете настроить реакцию на атаки с определенным типом: брутфорс атака, SQL‑инъекция и другие.

Для настройки доступны следующие фильтры:

  • Тип: тип атаки в запросе или уязвимости, на которую был направлен запрос.

  • Приложение: приложение, которое получило запрос или в котором был обнаружен инцидент.

  • IP: IP‑адрес, с которого был отправлен запрос.

  • Домен: домен, на который был отправлен запрос или на котором был обнаружен инцидент.

  • Статус ответа сервера: код ответа на полученный запрос.

  • Цель: часть архитектуры приложения, на которую была направлена атака или в которой обнаружен инцидент. Может принимать значения: Сервер, Клиент, База данных.

  • Роль пользователя: роль пользователя, который был добавлен в аккаунт. Может принимать значения: Деплой, Аналитик, Админ.

Доступные фильтры

Выберите один или несколько фильтров в интерфейсе Личного кабинета и установите для них значения.

Шаг 3: Добавление реакций

Реакция — это действие, которое необходимо выполнить, если указанные условие и фильтр соблюдены.

Реакции разделены на группы Уведомления и Управление событиями. Инструменты, приведенные в группах, настраиваются в виде интеграций. Вы можете выбрать одну или несколько интеграций из списка:

  • Email

  • Slack

  • Telegram

  • OpsGenie

  • InsightConnect

  • PagerDuty

  • Splunk

  • Sumo Logic

  • Webhook

Для добавления реакции:

  1. Настройте интеграции с email, мессенджерами, системами управления инцидентами и SIEM‑системами, как описано в инструкции. Для использования существующей реакции пропустите этот шаг.

  2. Выберите настроенную интеграцию в окне создания триггера.

    Выбор настроенной интеграции

Шаг 4: Сохранение триггера

  1. Нажмите кнопку Создать в окне создания триггера.

  2. Укажите название и описание триггера, если требуется, и нажмите кнопку Готово.

Сохраненный триггер появится в общем списке триггеров в Личном кабинете.