使用Webhooks通知

一般结构

可以将警报配置为通过Webhook发送。这为将tCell警报与您自己的基础架构集成提供了一种方便的方法。启用后,新警报将以HTTP POST的形式发送,并将JSON有效负载发送到webhook的配置URL。

有效载荷

有效负载作为包含以下键的JSON对象发送:

  • Alert_type.:警报类型(登录攻击,新包等)。
  • Alert_title.:警报的人类可读标题。
  • Alert_Text.:警报的人类可读摘要。
  • app_id.:与警报关联的应用程序id。
  • 详情_URL.:TCELL UI的URL(用于与浏览器的交互式使用),显示与警报关联的新闻文件。
  • 事件类型:Webhook消息的类型(与...相同)X-Tcell-Event-Type标题)。
  • 时间戳:ISO 8601基本事件的时间戳(例如,当IP被标记为可疑时,或当创建应用时)。示例:“2018-03-22T13:00:50.271Z”
  • 数据:extract-type的数据作为JSON对象。

具有events_url.引用面向用户的API。

价值数据密钥取决于警报的类型,详情如下:

登录攻击

  • IPS.:攻击中涉及的IP数组。
  • user_ids.:与攻击相关联的用户ID数组。
  • events_url.:链接到与攻击相关联的登录事件(在警报时间戳前后的一段时间内)。

可疑IP.

  • IP.:已标记为可疑的IP。
  • 原因:IP被标记为可疑的原因。目前,扫描攻击登录攻击
  • events_url.:链接到与IP关联的appsensor/登录事件(取决于原因)。

配置/功能已更改

  • old_config_url.:API链接到旧配置数据。
  • 新建配置url:指向新配置数据的API链接。

新包装

  • :一系列包,每个包包含以下内容:
    • 姓名:包名称。
    • 版本:包版本。
    • 详情_URL.:指向包详细信息的API链接。

新路线

  • :一系列路由,每个路线包含以下内容:
    • Route_pattern.:路径的路径模式。
    • Route_Method.:路由的方法名称。
    • 路由地址:API链接到路由详情。

CSP违规

  • blocked_domain.:违规的域名。
  • 指示:CSP指令违规。
  • events_url.:API链接到CSP事件匹配域并指令自警报以来的时间段。

笔记:

  • 目前,所有CSP违规的WebHook警报都来自CSP错误配置检测。这可能会在未来发生变化。
  • 作为CSP违规事件是每个域和每个指令的,可以立即发送许多Webhook活动,以描述一组新的潜在错误配置。

内联脚本 - misconfig

  • 脚本id:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。
  • 详情_URL.:API链接到内联脚本的脚本详细信息。
  • events_url.:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。

内联脚本-xss

  • 脚本id:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。
  • 详情_URL.:API链接到内联脚本的脚本详细信息。
  • events_url.:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。

包装漏洞

  • CVE.:例如,漏洞的CVE ID,例如“2007-0123”
  • ID:例如全CVE串,例如“CVE-2007-0123”
  • CWE.:例如,指定的CWE及其文本描述的组合“CWE-264权限,权限和访问控制”
  • 严重程度:如果可用,或者如果不是CVSS V2基础漏洞分数,则CVSS V3基本漏洞分数的文本表示。可以是其中一个“低的”“中等的”, 或者“高的”,或可能“未知”,如果分数数据因某种原因不可用,这是意外的。
  • 受影响的_Package.:包对象的数组,每个包对象包含:
    • 姓名:例如,包的名称“春天的核心”
    • 版本:例如,包的版本字符串“3.2.4.发布”
    • 小贩:对于JVM包,例如包的供应商字符串“org.springframework”。不适用于其他代理人。

配置更改

  • 新建配置url:JSON定义应用程序的先前配置的URL。
  • old_config_url.:JSON定义应用程序更新配置的URL。

指挥注射

  • 命令:例如,执行命令的名称“ls”

标题

Webhook活动始终包含以下标题:

  • X-Tcell-Event-Id:唯一的消息ID。
  • X-Tcell-Event-Type:消息类型(对于警报,这始终等于“警报”)。