使用Webhooks通知
一般结构
可以将警报配置为通过Webhook发送。这为将tCell警报与您自己的基础架构集成提供了一种方便的方法。启用后,新警报将以HTTP POST的形式发送,并将JSON有效负载发送到webhook的配置URL。
有效载荷
有效负载作为包含以下键的JSON对象发送:
Alert_type.
:警报类型(登录攻击,新包等)。Alert_title.
:警报的人类可读标题。Alert_Text.
:警报的人类可读摘要。app_id.
:与警报关联的应用程序id。详情_URL.
:TCELL UI的URL(用于与浏览器的交互式使用),显示与警报关联的新闻文件。事件类型
:Webhook消息的类型(与...相同)X-Tcell-Event-Type
标题)。时间戳
:ISO 8601基本事件的时间戳(例如,当IP被标记为可疑时,或当创建应用时)。示例:“2018-03-22T13:00:50.271Z”数据
:extract-type的数据作为JSON对象。
具有events_url.
引用面向用户的API。
价值数据
密钥取决于警报的类型,详情如下:
登录攻击
IPS.
:攻击中涉及的IP数组。user_ids.
:与攻击相关联的用户ID数组。events_url.
:链接到与攻击相关联的登录事件(在警报时间戳前后的一段时间内)。
可疑IP.
IP.
:已标记为可疑的IP。原因
:IP被标记为可疑的原因。目前,扫描攻击
或登录攻击
。events_url.
:链接到与IP关联的appsensor/登录事件(取决于原因)。
配置/功能已更改
old_config_url.
:API链接到旧配置数据。新建配置url
:指向新配置数据的API链接。
新包装
包
:一系列包,每个包包含以下内容:姓名
:包名称。版本
:包版本。详情_URL.
:指向包详细信息的API链接。
新路线
包
:一系列路由,每个路线包含以下内容:Route_pattern.
:路径的路径模式。Route_Method.
:路由的方法名称。路由地址
:API链接到路由详情。
CSP违规
blocked_domain.
:违规的域名。指示
:CSP指令违规。events_url.
:API链接到CSP事件匹配域并指令自警报以来的时间段。
笔记:
- 目前,所有CSP违规的WebHook警报都来自CSP错误配置检测。这可能会在未来发生变化。
- 作为
CSP违规
事件是每个域和每个指令的,可以立即发送许多Webhook活动,以描述一组新的潜在错误配置。
内联脚本 - misconfig
脚本id
:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。详情_URL.
:API链接到内联脚本的脚本详细信息。events_url.
:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。
内联脚本-xss
脚本id
:脚本的ID。该ID旨在是一个不透明的令牌,它将在所有实例中识别相同的内联脚本(在所有应用程序中的所有页中)。它们目前是脚本文本的哈希文本,参数名称与散列之前删除的函数和内联值。详情_URL.
:API链接到内联脚本的脚本详细信息。events_url.
:API链接到自警报发出后一段时间内与域和指令匹配的内联脚本事件。
包装漏洞
CVE.
:例如,漏洞的CVE ID,例如“2007-0123”
。ID
:例如全CVE串,例如“CVE-2007-0123”
。CWE.
:例如,指定的CWE及其文本描述的组合“CWE-264权限,权限和访问控制”
。严重程度
:如果可用,或者如果不是CVSS V2基础漏洞分数,则CVSS V3基本漏洞分数的文本表示。可以是其中一个“低的”
那“中等的”
, 或者“高的”
,或可能“未知”
,如果分数数据因某种原因不可用,这是意外的。受影响的_Package.
:包对象的数组,每个包对象包含:姓名
:例如,包的名称“春天的核心”
版本
:例如,包的版本字符串“3.2.4.发布”
。小贩
:对于JVM包,例如包的供应商字符串“org.springframework”
。不适用于其他代理人。
配置更改
新建配置url
:JSON定义应用程序的先前配置的URL。old_config_url.
:JSON定义应用程序更新配置的URL。
指挥注射
命令
:例如,执行命令的名称“ls”
。
标题
Webhook活动始终包含以下标题:
X-Tcell-Event-Id
:唯一的消息ID。X-Tcell-Event-Type
:消息类型(对于警报,这始终等于“警报”
)。
这个页面对你有帮助吗?