Opsgenie¶

Opsgenie, Atlassian tarafından geliştirilen bir olay yönetimi ve uyarı aracıdır. Wallarm'ı, Opsgenie'e uyarı gönderecek şekilde yapılandırabilirsiniz.

Entegrasyonun Kurulması¶

Opsgenie UI üzerinde:

Ekibinize gidin ➝ Integrations.
Add integration düğmesine tıklayın ve API seçeneğini seçin.
Yeni entegrasyon için bir isim girin ve Save Integration düğmesine tıklayın.
Sağlanan API anahtarını kopyalayın.

Wallarm UI üzerinde:

Integrations bölümünü açın.
Opsgenie bloğuna tıklayın veya Add integration düğmesine tıklayarak Opsgenie seçeneğini seçin.
Bir entegrasyon adı girin.
Kopyaladığınız API anahtarını API key alanına yapıştırın.
Opsgenie'nin EU instance sürümünü kullanıyorsanız, listeden uygun Opsgenie API uç noktasını seçin. Varsayılan olarak US instance uç noktası ayarlıdır.
Bildirimleri tetiklemek için olay türlerini seçin.

Kullanılabilir olaylar hakkında detaylar:
- System related:
  - User changes (newly created, deleted, role change)
  - Integration changes (disabled, deleted)
  - Application changes (newly created, deleted, name change)
  - Errors during regular update of specifications used for rogue API detection or API specification enforcement
- Vulnerabilities detected, all by default or only for the selected risk level(s):
  - High risk
  - Medium risk
  - Low risk
- Rules and triggers changed (creating, updating, or deleting the rule or trigger)
- (Requires AASM Enterprise) Security issues detected, all or only for the selected risk level(s):
  - Critical risk
  - High risk
  - Medium risk
  - Low risk
  - Info risk
Yapılandırmanın doğruluğunu, Wallarm Cloud'un kullanılabilirliğini ve bildirim formatını kontrol etmek için Test integration düğmesine tıklayın.

Bu, [Test message] önekiyle test bildirimlerini gönderecektir:
Add integration düğmesine tıklayın.

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Ek Uyarıların Kurulması¶

Besides the notifications you have already set up through the integration card, Wallarm triggers allow you to select additional events for notifications:

Number of attacks, hits or incidents per time interval (day, hour, etc.) exceeds the set number
What is not counted
- For attacks:
  - The experimental attacks based on the custom regular expressions.
- For hits:
  - The experimental hits based on the custom regular expressions.
  - Hits not saved in the sample.
Changes in API took place
IP address was denylisted
New rogue API (shadow, orphan, zombie) was detected
New user was added to the company account

For condition detailing, you can add one or more filters. As soon, as condition and filters are set, select the integration through which the selected alert should be sent. You can select several integrations simultaneously.

Örnek: Bir saniyede 2 veya daha fazla olay tespit edilirse Opsgenie bildirimi¶

Eğer bir saniyede uygulama sunucusu veya veritabanıyla ilgili 2 veya daha fazla olay tespit edilirse, bu olayla ilgili bildirim Opsgenie'e gönderilecektir.

Tetikleyiciyi test etmek için, korumalı kaynağa aktif bir açığı kullanan saldırının gönderilmesi gerekmektedir. Wallarm Console → Vulnerabilities bölümü, uygulamalarınızda tespit edilen aktif açıkları ve bu açıkları kullanan saldırı örneklerini gösterir.

Eğer saldırı örneği korumalı kaynağa gönderilirse, Wallarm olayı kaydedecektir. İki veya daha fazla kaydedilen olay, aşağıdaki bildirimin Opsgenie'e gönderilmesini tetikleyecektir:

[Wallarm] Trigger: The number of incidents exceeded the threshold

Notification type: incidents_exceeded

The number of detected incidents exceeded 1 in 1 second.
This notification was triggered by the "Notification about incidents" trigger.

Additional trigger’s clauses:
Target: server, database.

View events:
https://my.wallarm.com/attacks?q=incidents&time_from=XXXXXXXXXX&time_to=XXXXXXXXXX

Client: TestCompany
Cloud: EU

Notification about incidents tetikleyici adıdır
TestCompany Wallarm Console’daki şirket hesabınızın adıdır
EU şirket hesabınızın kayıtlı olduğu Wallarm Cloud’dur

Kaynağın aktif güvenlik açığı kullanımına karşı korunması

Kaynağın aktif güvenlik açığı kullanılarak saldırıya uğramasını önlemek için, açığın zamanında yamalanmasını öneririz. Eğer güvenlik açığı uygulama tarafında yamalanamıyorsa, bu açığı kullanan saldırıları engellemek amacıyla lütfen bir virtual patch yapılandırın.

Bir Entegrasyonu Devre Dışı Bırakma ve Silme¶

You can delete or temporarily disable the integration. While deleting stops sending notificatioins and completely deletes all configuration, disabling just stops sending notifications which you can at any moment re-enable with the same settings.

If for the integration the System related events are selected to trigger notifications, Wallarm will notify about both of these actions.

Sistem Kullanılamazlığı ve Yanlış Entegrasyon Parametreleri¶

Notifications to the system are sent via requests. If the system is unavailable or integration parameters are configured incorrectly, the error code is returned in the response to the request.

If the system responds to Wallarm request with any code other than 2xx, Wallarm resends the request with the interval until the 2xx code is received:

The first cycle intervals: 1, 3, 5, 10, 10 seconds
The second cycle intervals: 0, 1, 3, 5, 30 seconds
The third cycle intervals: 1, 1, 3, 5, 10, 30 minutes

If the percentage of unsuccessful requests reaches 60% in 12 hours, the integration is automatically disabled. If you receive system notifications, you will get a message about automatically disabled integration.