Slack¶
Você pode configurar o Wallarm para enviar notificações para seu(s) canal(s) Slack. Se você deseja enviar notificações para vários canais ou contas Slack diferentes, crie várias integrações Slack.
Configurando a integração¶
-
Abra a seção Integrações.
-
Clique no bloco Slack ou clique no botão Adicionar integração e escolha Slack.
-
Insira um nome para a integração.
-
Abra as Configurações de Webhook no Slack e adicione um novo Webhook escolhendo o canal para postar mensagens.
-
Copie a URL do Webhook fornecida e cole o valor no campo URL do Webhook na interface do usuário do Wallarm.
-
Escolha tipos de eventos para acionar notificações.
Detalhes sobre eventos disponíveis:
- Relacionado ao sistema:
- Mudanças de Usuário (recém-criado, excluído, alteração de função)
- Mudanças de Integração (desativada, excluída)
- Mudanças de Aplicativo (recém-criado, excluído, alteração de nome)
- Vulnerabilidades detectadas, todas por padrão ou apenas para o(s) nível(is) de risco selecionado(s):
- Alto risco
- Risco médio
- Baixo risco
- Regras e gatilhos alterados (criando, atualizando ou excluindo a regra ou gatilho)
- Escopo (ativos expostos) alterado: atualizações em hosts, serviços e domínios
- Relacionado ao sistema:
-
Clique em Testar integração para verificar a correção da configuração, disponibilidade do Wallarm Cloud e o formato da notificação.
Isso enviará as notificações de teste com o prefixo
[Mensagem de teste]: -
Clique em Adicionar integração.
Configurando alertas adicionais¶
Além das notificações que você já configurou por meio do cartão de integração, os gatilhos Wallarm permitem que você selecione eventos adicionais para notificações:
-
Número de ataques, acertos ou incidentes por intervalo de tempo (dia, hora, etc.) excede o número definido
-
Mudanças na API ocorreram
-
O endereço IP foi adicionado à lista de negação
-
Novo usuário foi adicionado à conta da empresa
Para detalhar a condição, você pode adicionar um ou mais filtros. Assim que a condição e os filtros são definidos, selecione a integração através da qual o alerta selecionado deve ser enviado. Você pode selecionar várias integrações simultaneamente.
Exemplo: Notificação Slack se 2 ou mais gays SQLi forem detectados em um minuto¶
Se 2 ou mais hits SQLi forem enviados para o recurso protegido, uma notificação sobre esse evento será enviada para o canal Slack.
Para testar o gatilho:
Envie as seguintes solicitações para o recurso protegido:
curl 'http://localhost/?id=1%27%20UNION%20SELECT%20username,%20password%20FROM%20users--<script>prompt(1)</script>'
curl 'http://localhost/?id=1%27%20select%20version();'
Abra o canal Slack e verifique que a seguinte notificação do usuário wallarm foi recebida:
[Wallarm] Gatilho: O número de hits detectados excedeu o limite
Tipo de notificação: attacks_exceeded
O número de hits detectados excedeu 1 em 1 minuto.
Esta notificação foi acionada pelo gatilho "Notificação sobre hits SQLi".
Cláusulas adicionais de gatilho:
Tipo de ataque: SQLi.
Veja eventos:
https://my.wallarm.com/search?q=attacks&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX
Cliente: EmpresaTeste
Nuvem: EU
-
Notificação sobre hits SQLié o nome do gatilho -
EmpresaTesteé o nome da conta da sua empresa no Console Wallarm -
EUé a Nuvem Wallarm onde a conta da sua empresa está registrada
Exemplo: Notificação Slack e por e-mail se um novo usuário for adicionado à conta¶
Se um novo usuário com a função Administrador ou Analista for adicionado à conta da empresa no Console Wallarm, a notificação sobre esse evento será enviada para o endereço de e-mail especificado na integração e para o canal Slack.
Para testar o gatilho:
-
Abra o Console Wallarm → Configurações → Usuários e adicione um novo usuário. Por exemplo:
-
Abra sua caixa de entrada de e-mail e verifique se a seguinte mensagem foi recebida:
-
Abra o canal Slack e verifique se a seguinte notificação do usuário wallarm foi recebida:
[Wallarm] Gatilho: Novo usuário foi adicionado à conta da empresa Tipo de notificação: create_user Um novo usuário John Smith <johnsmith@example.com> com a função Analyst foi adicionado à conta da empresa por John Doe <johndoe@example.com>. Esta notificação foi acionada pelo gatilho "Usuário adicionado". Cliente: EmpresaTeste Nuvem: EUJohn Smithejohnsmith@example.comsão informações sobre o usuário adicionadoAnalysté a função do usuário adicionadoJohn Doeejohndoe@example.comsão informações sobre o usuário que adicionou um novo usuárioUsuário adicionadoé o nome do gatilhoEmpresaTesteé o nome da conta da sua empresa no Console WallarmEUé a Nuvem Wallarm onde a conta da sua empresa está registrada
Desativando e excluindo uma integração¶
Você pode excluir ou desativar temporariamente a integração. Embora a exclusão interrompa o envio de notificações e exclua completamente todas as configurações, a desativação apenas interrompe o envio de notificações que você pode reativar a qualquer momento com as mesmas configurações.
Se para a integração os eventos Relacionados ao sistema forem selecionados para disparar notificações, a Wallarm notificará sobre ambas as ações.
Indisponibilidade do sistema e parâmetros incorretos de integração¶
Notificações ao sistema são enviadas por meio de solicitações. Se o sistema estiver indisponível ou os parâmetros de integração estiverem configurados incorretamente, o código de erro é retornado na resposta à solicitação.
Se o sistema responder à solicitação de Wallarm com qualquer código diferente de 2xx, Wallarm reenvia a solicitação com o intervalo até que o código 2xx seja recebido:
-
Os intervalos do primeiro ciclo: 1, 3, 5, 10, 10 segundos
-
Os intervalos do segundo ciclo: 0, 1, 3, 5, 30 segundos
-
Os intervalos do terceiro ciclo: 1, 1, 3, 5, 10, 30 minutos
Se a porcentagem de solicitações mal sucedidas atingir 60% em 12 horas, a integração é automaticamente desabilitada. Se você receber notificações do sistema, você receberá uma mensagem sobre a integração ser automaticamente desabilitada.