コンテンツにスキップ

Opsgenie

Opsgenie はAtlassianによるインシデント管理およびアラートツールです。Wallarmを設定してOpsgenieへアラートを送信できます。

統合の設定

Opsgenie UI にて:

  1. ご自身のチームに移動し➝ Integrationsを選択します。

  2. Add integrationボタンをクリックし、APIを選択します。

  3. 新しい統合の名前を入力し、Save Integrationをクリックします。

  4. 表示されたAPIキーをコピーします。

Wallarm UIで:

  1. Integrationsセクションを開きます。

  2. Opsgenieブロックをクリックするか、Add integrationボタンをクリックし、Opsgenieを選択します。

  3. 統合の名前を入力します。

  4. コピーしたAPIキーをAPI keyフィールドに貼り付けます。

  5. OpsgenieのEU instanceを利用している場合は、リストから適切なOpsgenie APIエンドポイントを選択します。既定ではUS instanceエンドポイントが設定されています。

  6. 通知をトリガーするイベントタイプを選びます。

    Opsgenie integration

    利用可能なイベントの詳細:

  7. Test integrationをクリックして、設定の正確性、Wallarm Cloudの利用可能性および通知フォーマットを確認します。

    これにより、プレフィックス[Test message]付きのテスト通知が送信されます:

    Test Opsgenie message

  8. Add integrationをクリックします。

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

追加アラートの設定

Besides the notifications you have already set up through the integration card, Wallarm triggers allow you to select additional events for notifications:

For condition detailing, you can add one or more filters. As soon, as condition and filters are set, select the integration through which the selected alert should be sent. You can select several integrations simultaneously.

Choosing an integration

例: 1秒間に2件以上のインシデントが検出された場合のOpsgenie通知

1秒間にアプリケーションサーバまたはデータベースにおいて2件以上のインシデントが検出された場合、このイベントに関する通知がOpsgenieへ送信されます。

Splunkにデータを送信するトリガーの例

トリガーをテストするには、保護対象リソースへ実際の脆弱性を悪用する攻撃を送信する必要があります。Wallarm Consoleの→ Vulnerabilitiesセクションには、アプリケーションで検出された実際の脆弱性と、それらの脆弱性を悪用する攻撃の例が表示されます。

攻撃例が保護対象リソースへ送信されると、Wallarmはインシデントを記録します。2件以上の記録されたインシデントが以下の通知のOpsgenieへの送信をトリガします:

[Wallarm] トリガー: インシデントの件数が閾値を超えました

通知タイプ: incidents_exceeded

1秒間に検出されたインシデントの件数が1を超えました.
この通知は「Notification about incidents」トリガーによって起動されました.

追加のトリガー条件:
Target: server, database.

イベントを表示:
https://my.wallarm.com/attacks?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

クライアント: TestCompany
Cloud: EU

  • Notification about incidents はトリガー名です

  • TestCompany はWallarm Consoleの企業アカウント名です

  • EU は企業アカウントが登録されているWallarm Cloudです

実際の脆弱性悪用からリソースを保護

保護対象リソースを実際の脆弱性悪用から守るため、脆弱性を速やかにパッチすることを推奨します。もしアプリケーション側で脆弱性をパッチできない場合は、この脆弱性を悪用する攻撃をブロックするためにvirtual patchを設定してください。

統合の無効化と削除

You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.

If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.

システムの利用不可および不正な統合パラメーター

Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.

If the system responds to Wallarm request with any code other than 2xx, Wallarm resends the request with the interval until the 2xx code is received:

  • The first cycle intervals: 1, 3, 5, 10, 10 seconds

  • The second cycle intervals: 0, 1, 3, 5, 30 seconds

  • The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes

If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.