自定义警报详细信息
在配置自定义警报时,为了接收最优和最有效的警报,需要考虑几种不同的设置。
设置触发器通知设置
对于模式匹配警报,在默认情况下,每次发生滚动事件时都会触发警报。如果选择自定义匹配设置,则可以指定事件在给定时间范围内必须发生多少次才能触发警报。
例如,如果模式匹配阈值在60分钟的节流窗口中为100次,则在收到第一个警报之前的下一个小时内必须出现100个警报。当我们的警报计数器达到此限制时,将触发警报。但是,请注意,如果模式持续匹配到阈值以上,则不会再次触发:计数器必须再次下降到极限以下,然后再次超过阈值才能重新触发。
对于Change Detection警报,新的查询要求您指定要使用的计算和应用该计算的键。基于计算的任何密钥更改都会触发警报。
定义的通知方法
对于更改检测和非活动检测警报,请定义一种或多种通信方法。您可以选择PagerDuty、Slack、Webhook和email。选择现有收件人或创建新收件人,并为通信方法提供适当的详细信息。
如果使用电子邮件,请从下拉列表中选择现有收件人或创建新收件人。如果要向多个收件人发送邮件,请使用逗号分隔电子邮件地址。
对于模式检测警报,使用标签来标识通知中的日志。您可以创建新标签,或者通过搜索标签、按严重性过滤或按字母顺序排序来使用现有标签。
创建一个调查
根据您的查询触发警报后,您可以选择InsightIDR自动打开调查。
在创建警报时,切换创建一个调查按钮以启用此操作。然后定义通知节流。
创建新的电子邮件收件人
使用电子邮件向团队发送通知时,可以创建新的电子邮件收件人。
要添加新的电子邮件收件人:
- 从“收件人”下拉列表中,单击添加和选择收件人。
- 指定收件人名称,然后输入一个或多个以逗号分隔的电子邮件地址。
- (可选)选中该框以包括生成警报时记录的其他条目。
- 单击添加并选择收件人按钮。
新电子邮件将填充收件人字段。
配置第三方集成
如果您正在使用我们的合作伙伴集成之一,您可以向适当的团队发送警报,以便在出现问题时进行补救。您可以为以下集成配置警报:
你也可以创建新的电子邮件收件人.
松弛的
为了连接Slack和InsightIDR,您必须是Slack管理员。
配置此集成:
- 登录Slack。
- 扩大你的配置文件去管理
- 从Administration菜单中选择管理应用程序.
你当前的Slack应用集成列表就会出现。4.搜索“Logentries”应用程序目录并选择匹配结果。Logentries是InsightIDR的前一个名称。5.点击安装.6.选择你想与Logentries应用整合的渠道。单击添加Logentries集成按钮。
- 向下滚动页面,直到找到webhook URL。
- 复制Webhook URL。
- 在InsightIDR中,创建一个警报.在“警报通知”下选择通知(邮件/集成)> Slack。
- 将你从Slack App目录复制的Webhook URL粘贴到“Slack Webhook URL”字段中。
- 配置警报的其余部分。
- 新闻创建警报.
PagerDuty
任何用户都可以完成这个PagerDuty集成。
配置此集成:
- 登录到您的PagerDuty帐户。
- 选择配置选项卡并选择服务选项
- 单击+新服务按钮。
- 输入服务的名称。
- 从“集成类型”下拉菜单中,找到“Logentries”。
- 名字的集成。
- 选择升级策略。
- (可选)检查回应游戏盒
- 选择应如何通知应答者。
- 单击添加服务按钮这将为InsightIDR生成一个服务密钥。
- 从“服务”页面,复制Logentries的密钥并返回InsightIDR。
- 您将看到一个集成密钥。复制密钥并返回到InsightIDR。
- 在InsightIDR中,创建一个警报. 从“警报通知”中,选择通知(电子邮件/集成)>PagerDuty。
- 将从PagerDuty复制的服务密钥粘贴到“服务密钥”字段中。
- 配置警报的其余部分。
- 点击创建警报.
Webhook
Webhook URL允许你在事件发生时向API发送POST请求,而不是要求你轮询更新。在这里学习如何使用和创建Webhook:https://developer.github.com/webhooks/
您可以使用一个webhook URL通知您的团队的InsightIDR警报。
使用带有InsightIDR提醒的webhook:
- 在InsightIDR中,创建一个警报.
- 在“警报通知”下选择通知(邮件/集成)> Webhook。
- 你Webhook名称。
- 粘贴您的Webhook URL。
- 配置警报的其余部分。
- 新闻创建警报.