目次

アラートを受信するようにWebhookを設定する

Application Security は、セキュリティイベントのWebhookプッシュ通知を提供します。Webhookの統合は、 Application Security によって検出されたセキュリティイベントを、希望するSIEMなどの希望するログイベント処理と統合するための柔軟で簡単な方法です。 適切に設定および有効化されると、Webhookの統合により、設定したhttpエンドポイントにセキュリティイベントがバッチで送信されます。 Webhookの統合を設定するには、次のものが必要です。

  1. Application Securityによって投稿されたセキュリティイベントを受信するサーバです。
  2. Application SecurityのWebhook統合設定

Application SecurityでWebhookの統合を設定します。

  1. Application Security の左側のメニューで、統合アイコンをクリックします。
  2. [ Add Integration ]をクリックします。
  3. ポップアップ画面から Webhook を選択します。

    Webhookの設定

  4. [ Add Integration to Account ]画面で、次のフィールドに入力します。

    • Hint: Application Security をサーバと統合するために使用されたエンドポイントを覚えておくのに役立つヒントです。セキュリティ上の理由から、統合が追加されるとWebhookの詳細は非表示になります。
    • Minimum Reported Severity:エンドポイントに送信されるイベントの重大度。重大度は、低、中、および高のいずれかになります。
    • Webhook URL: Application Security がセキュリティイベントを送信するエンドポイントのURL。

      Webhookの設定

  5. 必要に応じて、[ Add New Custom Headers ]を選択します。

    カスタムヘッダが設定されている場合、ヘッダのキーと値のペアは、設定されたURLに送信される各postメッセージに含まれます。カスタムヘッダを使用して、たとえば、サーバへの投稿メッセージを認証および承認するために使用できる認証キーを含めることができます。顧客ヘッダを設定するには:

    • key:ヘッダの名前
    • value:ヘッダの値

      Webhookカスタムヘッダ

  6. [ Add Integration ]を選択します。

Application SecurityへのWebhook統合の追加が完了しました。ただし、この時点では、統合ステータスによって示されるように、Webhookの統合は保留中の状態になっています。

統合を保留しています

Webhookの送信先に悪影響を与える設定の間違いを回避するため、およびセキュリティ上の理由から、統合リンクを確認して、状態を pending から idleに変更する必要があります。統合リンクを確認することで、URLのリンク先が適切に設定され、Webhookリンクを設定したユーザがWebhookのリンク先を所有していることを確認できます。 Application Security は、最初にWebhook統合を追加するときに、設定されたWebhook URLに確認リンクを含む通知を送信します。単純なメッセージは次のようになります。

確認リンク

統合リンクを確認するには、確認リンクのURLにメッセージを送信する必要があります。たとえば、URLをブラウザに貼り付けたり、curlを使用して確認リンクに接続したりできます。 Application Security が確認リンクへの要求を取得すると、Webhook統合リンクが有効になり、統合状態が pending から idleに変わります。

アイドル統合

Webhook統合が有効化されたので、統合をテストできます。Webhook統合を選択すると、統合の詳細パネルが開きます。詳細パネルには、 [Test Integration] ボタンがあります。Application Security は、イベントをWebhookサーバで適切に受信できることを確認するために、 Test Integration を提供します。[ Test Integration ]ボタンを選択します。次のようなメッセージがサーバで受信されます。

統合のテスト

Application Security とWebhookの統合が完了しました。新しいアラートが生成されると、エンドポイントに送信されます。

セキュリティイベントのバッチ

セキュリティイベントはさまざまな頻度で発生させることができ、サーバがpost要求によって過負荷にならないように、セキュリティイベントはバッチで投稿されます。イベントは5秒ごとに1つのメッセージに最大500件のイベントをまとめて送信します。バッチは順番に送信されることに注意してください。つまり、前のバッチがサーバからhttp応答を受信した後にバッチが送信されます。 たとえば、次のとおりです。 - 750のセキュリティイベントが発生します。5秒後に、500イベントの最初のバッチがサーバに送信されます。サーバの応答には6秒かかります。その間、さらに500のイベントが発生します。サーバ応答を受信すると、500イベントのバッチが送信され、サーバ応答を受信するとすぐに、250イベントの別のバッチが送信されます。

Webhook統合コードとサーバ応答コード

Application Security は、HTTP POSTを使用して設定されたURLにセキュリティイベントを送信します。次に、サーバは標準の応答コードで投稿に応答できます。Application Security Webhook統合は、セキュリティイベントをキャッシュまたは抑制せず、以下に説明するようにHTTP応答コードを処理します。

  • 200:予期される通常の応答コード。処理は実行されません。
  • 5xx:サーバの障害を示します。5xx応答は無視され、Postメッセージからのセキュリティイベントは再送信されません。
  • 401および403:要求に関連する認証または許可の問題を示します。Webhookの統合が無効になります。
  • その他の4xxコード:サーバの障害を示します。4xx応答は無視され、Postメッセージからのセキュリティイベントは再送信されません。