使用Webhooks通知
一般结构
可以将警报配置为通过Webhook发送。这为将tCell警报与您自己的基础架构集成提供了一种方便的方法。启用后,新警报将以HTTP POST的形式发送,并将JSON有效负载发送到webhook的配置URL。
有效载荷
有效负载作为包含以下键的JSON对象发送:
Alert_type.:警报类型(登录攻击,新包等)。Alert_title.:警报的人类可读标题。Alert_Text.:警报的人类可读摘要。app_id.:与警报关联的应用程序id。详情_URL.:TCELL UI的URL(用于与浏览器的交互式使用),显示与警报关联的新闻文件。事件类型:Webhook消息的类型(与...相同)X-Tcell-Event-Type标题)。时间戳:ISO 8601基本事件的时间戳(例如,当IP被标记为可疑时,或当创建应用时)。示例:“2018-03-22T13:00:50.271Z”数据:extract-type的数据作为JSON对象。
具有events_url.引用面向用户的API。
价值数据密钥取决于警报的类型,详情如下:
登录攻击
IPS.:攻击中涉及的IP数组。user_ids.:与攻击相关联的用户ID数组。events_url.:链接到与攻击相关联的登录事件(在警报时间戳前后的一段时间内)。
可疑IP.
IP.:已标记为可疑的IP。原因:IP被标记为可疑的原因。目前,扫描攻击或登录攻击。events_url.:链接到与IP关联的appsensor/登录事件(取决于原因)。
配置/功能已更改
old_config_url.:API链接到旧配置数据。新建配置url:指向新配置数据的API链接。
新包装
包:一系列包,每个包包含以下内容:姓名:包名称。版本:包版本。详情_URL.:指向包详细信息的API链接。
新路线
包:一系列路由,每个路线包含以下内容:Route_pattern.:路径的路径模式。Route_Method.:路由的方法名称。路由地址:API链接到路由详情。
CSP违规
blocked_domain.:违规的域名。指示:CSP指令违规。events_url.:API链接到CSP事件匹配域并指令自警报以来的时间段。
笔记:
- 目前,所有CSP违规的WebHook警报都来自CSP错误配置检测。这可能会在未来发生变化。
- 作为
CSP违规事件是每个域和每个指令的,可以立即发送许多Webhook活动,以描述一组新的潜在错误配置。
内联脚本 - misconfig
脚本id:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。详情_URL.:API链接到内联脚本的脚本详细信息。events_url.:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。
内联脚本-xss
脚本id:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。详情_URL.:API链接到内联脚本的脚本详细信息。events_url.:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。
包装漏洞
CVE.:例如,漏洞的CVE ID,例如“2007-0123”。ID:例如全CVE串,例如“CVE-2007-0123”。CWE.:例如,指定的CWE及其文本描述的组合“CWE-264权限,权限和访问控制”。严重程度:如果可用,或者如果不是CVSS V2基础漏洞分数,则CVSS V3基本漏洞分数的文本表示。可以是其中一个“低的”那“中等的”, 或者“高的”,或可能“未知”,如果分数数据因某种原因不可用,这是意外的。受影响的_Package.:包对象的数组,每个包对象包含:姓名:例如,包的名称“春天的核心”版本:例如,包的版本字符串“3.2.4.发布”。小贩:对于JVM包,例如包的供应商字符串“org.springframework”。不适用于其他代理人。
配置更改
新建配置url:JSON定义应用程序的先前配置的URL。old_config_url.:JSON定义应用程序更新配置的URL。
指挥注射
命令:例如,执行命令的名称“ls”。
标题
Webhook活动始终包含以下标题:
X-Tcell-Event-Id:唯一的消息ID。X-Tcell-Event-Type:消息类型(对于警报,这始终等于“警报”)。
这个页面对你有帮助吗?