コンテンツにスキップ

Opsgenie

OpsgenieはAtlassianによるインシデント管理およびアラートツールです。Wallarmを設定してOpsgenieにアラートを送信できます。

インテグレーションの設定

Opsgenie UI:

  1. 自分のチーム ➝ Integrationsに移動します。

  2. Add integrationボタンをクリックし、APIを選択します。

  3. 新しいインテグレーションの名前を入力し、Save Integrationをクリックします。

  4. 提供されたAPI keyをコピーします。

Wallarm UI:

  1. Integrationsセクションを開きます。

  2. Opsgenieブロックをクリックするか、Add integrationボタンをクリックしてOpsgenieを選択します。

  3. インテグレーション名を入力します。

  4. コピーしたAPI keyをAPI keyフィールドに貼り付けます。

  5. OpsgenieのEUインスタンスを使用している場合は、リストから適切なOpsgenieのAPIエンドポイントを選択します。既定ではUSインスタンスのエンドポイントが設定されています。

  6. 通知をトリガーするイベントタイプを選択します。

    Opsgenieインテグレーション

    利用可能なイベントの詳細:

  7. Test integrationをクリックして、設定の正しさ、Wallarm Cloudの到達性、および通知フォーマットを確認します。

    これにより、接頭辞[Test message]付きのテスト通知が送信されます:

    Opsgenieのテストメッセージ

  8. Add integrationをクリックします。

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

追加のアラートの設定

Besides the notifications you have already set up through the integration card, Wallarm triggers allow you to select additional events for notifications:

For condition detailing, you can add one or more filters. As soon, as condition and filters are set, select the integration through which the selected alert should be sent. You can select several integrations simultaneously.

Choosing an integration

例: 1秒間に2件以上のインシデントが検出された場合のOpsgenie通知

アプリケーションサーバーまたはデータベースに関するインシデントが1秒間に2件以上検出された場合、このイベントについての通知がOpsgenieに送信されます。

Splunkにデータを送信するトリガーの例

トリガーをテストするには、アクティブな脆弱性を悪用する攻撃を保護対象のリソースに送信する必要があります。Wallarm Console → Vulnerabilitiesセクションには、アプリケーションで検出されたアクティブな脆弱性と、それらの脆弱性を悪用する攻撃の例が表示されます。

攻撃例を保護対象のリソースに送信すると、Wallarmがインシデントを記録します。記録されたインシデントが2件以上になると、次の通知がOpsgenieに送信されます:

[Wallarm] トリガー: インシデント数がしきい値を超えました

通知タイプ: incidents_exceeded

1秒間に検出されたインシデント数が1を超えました。
この通知は「Notification about incidents」トリガーによって起動されました。

追加のトリガー条件:
対象: server, database.

イベントを表示:
https://my.wallarm.com/attacks?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

クライアント: TestCompany
クラウド: EU

  • Notification about incidentsはトリガー名です

  • TestCompanyはWallarm Console内の貴社アカウント名です

  • EUは貴社アカウントが登録されているWallarm Cloudです

アクティブな脆弱性の悪用からリソースを保護する

リソースをアクティブな脆弱性の悪用から保護するには、脆弱性を適時にパッチ適用することを推奨します。アプリケーション側でパッチ適用できない場合は、この脆弱性を悪用する攻撃をブロックするために仮想パッチを設定してください。

インテグレーションの無効化と削除

You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.

If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.

システムの利用不可および誤ったインテグレーションパラメータ

Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.

If the system responds to Wallarm request with any code other than 2xx, Wallarm resends the request with the interval until the 2xx code is received:

  • The first cycle intervals: 1, 3, 5, 10, 10 seconds

  • The second cycle intervals: 0, 1, 3, 5, 30 seconds

  • The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes

If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.