Opsgenie¶
OpsgenieはAtlassianによるインシデント管理およびアラートツールです。Wallarmを設定してOpsgenieにアラートを送信できます。
インテグレーションの設定¶
-
自分のチーム ➝ Integrationsに移動します。
-
Add integrationボタンをクリックし、APIを選択します。
-
新しいインテグレーションの名前を入力し、Save Integrationをクリックします。
-
提供されたAPI keyをコピーします。
Wallarm UI:
-
Integrationsセクションを開きます。
-
Opsgenieブロックをクリックするか、Add integrationボタンをクリックしてOpsgenieを選択します。
-
インテグレーション名を入力します。
-
コピーしたAPI keyをAPI keyフィールドに貼り付けます。
-
OpsgenieのEUインスタンスを使用している場合は、リストから適切なOpsgenieのAPIエンドポイントを選択します。既定ではUSインスタンスのエンドポイントが設定されています。
-
通知をトリガーするイベントタイプを選択します。
利用可能なイベントの詳細:
- System related:
- User changes (newly created, deleted, role change)
- Integration changes (disabled, deleted)
- Application changes (newly created, deleted, name change)
- Errors during regular update of specifications used for rogue API detection or API specification enforcement
- Vulnerabilities detected, all by default or only for the selected risk level(s):
- High risk
- Medium risk
- Low risk
- Rules and triggers changed (creating, updating, or deleting the rule or trigger)
- (Requires AASM Enterprise) Security issues detected, all or only for the selected risk level(s):
- Critical risk
- High risk
- Medium risk
- Low risk
- Info risk
- System related:
-
Test integrationをクリックして、設定の正しさ、Wallarm Cloudの到達性、および通知フォーマットを確認します。
これにより、接頭辞
[Test message]
付きのテスト通知が送信されます: -
Add integrationをクリックします。
Wallarm Cloud IP addresses
To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:
追加のアラートの設定¶
Besides the notifications you have already set up through the integration card, Wallarm triggers allow you to select additional events for notifications:
-
Number of attacks, hits or incidents per time interval (day, hour, etc.) exceeds the set number
What is not counted
- For attacks:
- The experimental attacks based on the custom regular expressions.
- For hits:
- The experimental hits based on the custom regular expressions.
- Hits not saved in the sample.
- For attacks:
-
Changes in API took place
-
IP address was denylisted
-
New rogue API (shadow, orphan, zombie) was detected
-
New user was added to the company account
For condition detailing, you can add one or more filters. As soon, as condition and filters are set, select the integration through which the selected alert should be sent. You can select several integrations simultaneously.
例: 1秒間に2件以上のインシデントが検出された場合のOpsgenie通知¶
アプリケーションサーバーまたはデータベースに関するインシデントが1秒間に2件以上検出された場合、このイベントについての通知がOpsgenieに送信されます。
トリガーをテストするには、アクティブな脆弱性を悪用する攻撃を保護対象のリソースに送信する必要があります。Wallarm Console → Vulnerabilitiesセクションには、アプリケーションで検出されたアクティブな脆弱性と、それらの脆弱性を悪用する攻撃の例が表示されます。
攻撃例を保護対象のリソースに送信すると、Wallarmがインシデントを記録します。記録されたインシデントが2件以上になると、次の通知がOpsgenieに送信されます:
[Wallarm] トリガー: インシデント数がしきい値を超えました
通知タイプ: incidents_exceeded
1秒間に検出されたインシデント数が1を超えました。
この通知は「Notification about incidents」トリガーによって起動されました。
追加のトリガー条件:
対象: server, database.
イベントを表示:
https://my.wallarm.com/attacks?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX
クライアント: TestCompany
クラウド: EU
-
Notification about incidents
はトリガー名です -
TestCompany
はWallarm Console内の貴社アカウント名です -
EU
は貴社アカウントが登録されているWallarm Cloudです
アクティブな脆弱性の悪用からリソースを保護する
リソースをアクティブな脆弱性の悪用から保護するには、脆弱性を適時にパッチ適用することを推奨します。アプリケーション側でパッチ適用できない場合は、この脆弱性を悪用する攻撃をブロックするために仮想パッチを設定してください。
インテグレーションの無効化と削除¶
You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.
If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.
システムの利用不可および誤ったインテグレーションパラメータ¶
Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.
If the system responds to Wallarm request with any code other than 2xx
, Wallarm resends the request with the interval until the 2xx
code is received:
-
The first cycle intervals: 1, 3, 5, 10, 10 seconds
-
The second cycle intervals: 0, 1, 3, 5, 30 seconds
-
The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes
If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.