Enviar notificaciones CMA mediante Webhooks

Visión general

La Aplicación de Administración de Cato (CMA) genera notificaciones para una amplia gama de eventos de seguridad y de red en su cuenta. Puede usar integraciones de webhook para entregar automáticamente estas notificaciones a plataformas de terceros como ServiceNow, Jira, Slack o Zendesk. Esto permite que sistemas externos consuman datos de eventos de Cato en tiempo real y desencadenen flujos de trabajo automatizados para el seguimiento y la respuesta a incidentes.

Cato admite dos tipos de integraciones de webhook:

  • Los webhooks estándar utilizan solicitudes HTTP para crear o actualizar elementos en plataformas externas. 

  • Los webhooks correlacionados se integran con el servicio XOps. Utilizan identificadores de correlación para crear y actualizar elementos que representan el ciclo de vida de historias de seguridad y red XOps en herramientas de terceros. Se requiere una licencia XOps.

Las integraciones de webhook son totalmente configurables. Usted define el método HTTP (POST o PUT), la URL de destino, el método de autenticación y el cuerpo de la solicitud. Las plantillas y variables de campo le permiten adaptar la estructura del contenido a los requisitos de la plataforma de terceros.

Comprender las Integraciones de Webhook de Cato

Tipos de Integración de Webhook

Cato admite estos tipos de webhooks para integrar su cuenta con plataformas de terceros y crear flujos de automatización:

  • Los webhooks estándar admiten una amplia gama de notificaciones CMA, como notificaciones basadas en alertas de cuenta o sistema, y notificaciones impulsadas por políticas. Le permiten enviar estos datos a plataformas externas y configurar si el webhook crea nuevos registros o actualiza los existentes.

  • Los webhooks correlacionados están diseñados para el servicio XOps. Extienden la funcionalidad del webhook a historias de seguridad y red, de modo que cada historia en CMA se mapea a un registro en el sistema externo y se actualiza a medida que avanza la historia. Se requiere una licencia XOps.

Flujos de Webhook - Crear o Actualizar

Los flujos de webhook definen cómo el CMA se comunica con una plataforma de terceros, ya sea creando nuevos registros o actualizando los existentes:

  • POST (Crear) - Crea un nuevo elemento en la plataforma de terceros cada vez que se activa el webhook. Ejemplo: abrir un nuevo ticket de ServiceNow cada vez que la regla del cortafuegos de Internet bloquea un flujo de tráfico.

  • PUT (Actualizar) – Actualiza un elemento existente en la plataforma de terceros. La solicitud incluye un ID de elemento válido en la URL o en el cuerpo.

Métodos de Autenticación

Al crear una integración de Webhook, hay diferentes métodos de autenticación para elegir:

  • Básico - Nombre de usuario y contraseña

  • Portador - Token de Portador

  • Personalizado - Encabezados personalizados para servicios que requieren autenticación única. Agregue pares clave-valor según sea necesario.

Nota: Si el acceso al servicio de terceros está limitado a direcciones IP específicas, por favor consulta este artículo para la lista de direcciones IP de Cato que necesitas permitir (debes estar registrado para ver este artículo).

Personalizando el Contenido de la Notificación

El campo content en la plantilla contiene el resumen legible generado de la alerta, similar al contenido de la alerta por correo electrónico. Puedes elegir estos formatos para el contenido: contentText, contentMarkdown, o contentHTML.

Si eliges personalizar el cuerpo, hay una serie de campos de datos que puedes usar en el contenido del mensaje. Entonces puede definir un cuerpo (o estructura) personalizado, y luego incorporar los campos de datos de Cato. Cuando ingresa $, se muestran los campos de datos disponibles, y luego selecciona el campo requerido. Los campos usan auto-completar para filtrar la lista. Para más información sobre los campos de Cato, consulta Understanding the JSON Fields for Alert Integrations.

Valor Predeterminado para Campos de Webhook

Puede definir valores predeterminados personalizados para campos dinámicos de webhook para agregar flexibilidad cuando los datos de notificación no incluyan un valor. Esto le permite anular el valor predeterminado NA en la URL del webhook, encabezados o cuerpo. Use el formato ${field:defaultValue} para definir el valor de respaldo. Por ejemplo, puede establecer ${level:medium} si el campo de nivel no está poblado. En un flujo correlacionado, también puede usar un ID de ticket de respaldo en la URL del webhook, como https://EXAMPLE-INSTANCE.service-now.com/api/now/table/incident/${correlationId:12345}, para capturar notificaciones no correlacionadas en un ticket predeterminado de ServiceNow.

Integraciones de Webhook Estándar

Los webhooks estándar le permiten enviar notificaciones CMA a plataformas de terceros para una amplia gama de casos de uso. Primero, defina el webhook para integrarse con la plataforma. Luego seleccione qué notificaciones CMA y reglas de políticas, como acciones de cortafuegos, generarán notificaciones usando el webhook.

Definir una Integración de Webhook

Cree una integración de webhook que envíe notificaciones a través de elementos (ticket, mensaje de Slack, etc.) en su herramienta de terceros. Puede configurar un webhook para crear nuevos elementos con una solicitud POST o actualizar elementos existentes con una solicitud PUT. La integración incluye configuraciones para la URL, cuerpo de la solicitud, método de autenticación, y encabezados personalizados opcionales y cuerpo del mensaje.

Después de definir los detalles, puede probar la conexión y validar que funciona.

Para definir una integración de Webhook:

  1. Desde el menú de navegación, haga clic en Administrador > Suscripciones y seleccione la pestaña Webhooks.

  2. Haga clic en Nuevo Webhook. Se abre el panel Nueva Integración de Webhook.

  3. Configure los detalles del Webhook:

    1. Introduce el Nombre de la integración.

    2. Haz clic en el control deslizante para habilitar (verde) o deshabilitar (gris) la integración (está habilitada por defecto).

  4. Configure la configuración de la plantilla JSON para la integración:

    • En Comenzar desde plantilla, seleccione la plantilla JSON predeterminada que completa la configuración de integración.

      Puede ajustar y modificar los campos para el Cuerpo Personalizado (ver el paso 7 a continuación).

    Nota: Si elige una plantilla diferente, los campos en el Cuerpo Personalizado se restablecen. Para obtener más información sobre las plantillas, vea a continuación Plantillas y Campos.

  5. Configura los Detalles de Conexión:

    1. Introduce la URL para el servicio que está recibiendo el Webhook.

      Puede usar campos como variables en la URL. Escriba $ para ver los campos disponibles.

    2. En el Método de Solicitud, seleccione el flujo para este webhook: POST o PUT.

    3. Si es necesario, configura el Método de Autenticación y los ajustes para el servicio.

  6. (Opcional) En Encabezados Personalizados, define la Clave y el Valor para cada encabezado HTTP adicional para la integración.

  7. En el Cuerpo Personalizado, defina el contenido de la notificación del Webhook:

    1. (Opcional) Personalice el contenido en Editar Cuerpo.

      • Ingrese / como carácter de escape para usar $ en el cuerpo

      • Introduce $ para incrustar otros campos

      El ID de Correlación de Respuesta no se utiliza para las integraciones estándar de webhook

    2. Para definir un valor predeterminado, use el formato ${field:defaultValue}, por ejemplo, ${ID:12345}

  8. Haz clic en Probar. La CMA envía una solicitud HTTP de prueba con contenido autogenerado para los campos.

    Si la integración puede conectarse al servicio, entonces se muestra un mensaje de Prueba exitosa.

    Si hay un error de conexión, la página muestra el código de error HTTP y el mensaje reportado por el servicio.

  9. Haz clic en Guardar. La integración de Webhook se guarda y se añade a la pestaña Integraciones en la página de Suscripciones.

Defina El Desencadenante para Integraciones Estándar de Webhook

Los webhooks estándar son activados por notificaciones del CMA. Puede configurar dos tipos de notificaciones:

  1. Notificaciones CMA: La CMA puede enviar proactivamente notificaciones sobre su cuenta, como usuarios y administradores bloqueados, o actualizaciones de licencia. Estas notificaciones se pueden enviar directamente a través de una integración de webhook.

    Para obtener más información, consulte Alertas a Nivel de Cuenta y Notificaciones de Sistema.

  2. Notificaciones de reglas de política: Puede configurar la configuración Track en una regla de política para enviar una notificación a un webhook cada vez que se cumple la regla.

Al definir reglas en políticas, puede usar el área Acciones para enviar notificaciones mediante integraciones de webhook.

rule_webhook.png

Integraciones de Webhook Correlacionadas

El servicio XOps admite webhooks correlacionados que le permiten integrar el ciclo de vida de historias de seguridad y red XOps con una plataforma de terceros. Después de configurar la integración, la plataforma de terceros crea automáticamente un nuevo ticket, problema o mensaje cuando comienza una historia, y luego lo actualiza a medida que avanza o se resuelve la historia.

Estas integraciones utilizan campos de correlación de Historias XOps para mapear cada historia en la CMA a un ticket, problema o mensaje en la plataforma externa. Esto asegura que las actualizaciones se apliquen consistentemente al elemento correcto. Se requiere una licencia XOps.

Estas integraciones requieren:

  • Una integración de webhook estándar

  • Una integración de webhook correlacionada

  • Dos tipos de desencadenantes (uno para cada integración)

Defina un Webhook Estándar

Cree una integración de Webhook estándar para crear los elementos iniciales (ticket, mensaje de Slack, etc.) en su herramienta de terceros. Estos elementos serán luego actualizados por la integración de Webhook correlacionada.

Después de definir los detalles, puede probar la conexión y validar que funciona.

Para definir una integración estándar de Webhook:

  1. En el menú de navegación, haga clic en Cuenta > Suscripciones y seleccione la pestaña Webhooks.

  2. Haga clic en Nuevo Webhook. Se abre el panel Nueva integración de Webhook.

  3. Configure los detalles del Webhook:

    1. Ingrese el Nombre de la integración.

    2. Haga clic en el control deslizante para habilitar (verde) o deshabilitar (gris) la integración (está habilitada por defecto).

  4. Configure la configuración para la plantilla JSON de la integración:

    • En Comenzar desde plantilla, seleccione la plantilla JSON predeterminada que llena la configuración de la integración.

      Puede ajustar y modificar los campos para el Cuerpo Personalizado (ver abajo el paso 7).

    Nota: Si elige una plantilla diferente, los campos en el Cuerpo Personalizado se reinician. Para más información sobre las plantillas, consulte abajoPlantillas y Campos.

  5. Configure los Detalles de la Conexión:

    1. Ingrese la URL para el servicio que está recibiendo el Webhook.

      Puede usar campos como variables en la URL. Escriba $ para ver los campos disponibles.

    2. En el Método de solicitud, seleccione POST.

    3. Si es necesario, configure el Método de Autenticación y la configuración para el servicio.

  6. (Opcional) En Encabezados Personalizados, defina la Clave y Valor para cada encabezado HTTP adicional para la integración.

  7. En Cuerpo Personalizado, defina el contenido de la notificación del Webhook:

    1. En ID de Correlación de Respuesta, defina el elemento en su tercero que usará para correlación en la URL. Por ejemplo, en ServiceNow esto podría ser result.sys_id, y en Zendesk esto podría ser ticket.id.

    2. (Opcional) Personalice el contenido en Editar Cuerpo.

      • Ingrese / como el carácter de escape para usar $ en el cuerpo

      • Ingrese $ para incrustar otros campos

    3. Para definir un valor predeterminado, use el formato ${field:defaultValue}, por ejemplo, ${ID:12345}

  8. Haga clic en Prueba. El CMA envía un request HTTP de prueba con contenido auto-generado para los campos.

    Si la integración se puede conectar al servicio, entonces se mostrará un mensaje de Prueba superada con éxito.

    Si hay un error de conexión, la página muestra el código de error HTTP y el mensaje informado por el servicio.

  9. Haga clic en Guardar. La integración de Webhook se guarda y se agrega a la pestaña Integraciones en la página de Suscripciones.

Definir un Webhook Correlacionado

Cree una integración de Webhook correlacionada que envíe notificaciones a través de elementos (ticket, mensaje de Slack, etc.) en su herramienta de terceros al actualizar elementos existentes creados en el procedimiento anterior.

Cuando configura un webhook correlacionado, la URL usa el ID de correlación para actualizar el elemento correcto en la plataforma de terceros. Si el valor del ID de correlación está vacío, la actualización no puede coincidir con el artículo existente y se pierde. Para prevenir esto, agregue el artículo ID al Cuerpo Personalizado del webhook estándar que crea el ticket original, problema o mensaje. Esto permite que el webhook correlacionado use ese ID como el valor de respaldo para el campo de correlación, de modo que las actualizaciones posteriores continúen aplicándose al elemento original durante todo el ciclo de vida de la historia.

Después de definir los detalles, puede probar la conexión y validar que funciona.

Para definir una integración correlacionada de Webhook:

  1. En el menú de navegación, haga clic en Cuenta > Suscripciones y seleccione la pestaña Webhooks.

  2. Haga clic en Nuevo Webhook. Se abre el panel Nueva integración de Webhook.

  3. Configure los detalles del Webhook:

    1. Ingrese el Nombre de la integración.

    2. Haga clic en el control deslizante para habilitar (verde) o deshabilitar (gris) la integración (está habilitada por defecto).

  4. Configure la configuración para la plantilla JSON de la integración:

    • En Comenzar desde plantilla, seleccione la plantilla JSON predeterminada que llena la configuración de la integración.

      Puede ajustar y modificar los campos para el Cuerpo Personalizado (ver abajo el paso 7).

    Nota: Si elige una plantilla diferente, los campos en el Cuerpo Personalizado se reinician. Para más información sobre las plantillas, consulte abajoPlantillas y Campos.

  5. Configure los Detalles de la Conexión:

    1. Ingrese la URL para el servicio que está recibiendo el Webhook. Correlacione esto con un elemento existente agregando el campo Correlated Item Id.

      Puede usar campos como variables en la URL. Escriba $ para ver los campos disponibles.

    2. En el Método de solicitud, seleccione PUT.

    3. Si es necesario, configure el Método de Autenticación y la configuración para el servicio.

  6. (Opcional) En Encabezados Personalizados, defina la Clave y Valor para cada encabezado HTTP adicional para la integración.

  7. En Cuerpo Personalizado, defina el contenido de la notificación del Webhook:

    1. (Opcional) Personalice el contenido en Editar Cuerpo.

      • Ingrese / como el carácter de escape para usar $ en el cuerpo

      • Ingrese $ para incrustar otros campos

    2. Para definir un valor predeterminado, use el formato ${field:defaultValue}, por ejemplo, ${ID:12345}

  8. Haga clic en Prueba. El CMA envía un request HTTP de prueba con contenido auto-generado para los campos.

    Si la integración se puede conectar al servicio, entonces se mostrará un mensaje de Prueba superada con éxito.

    Si hay un error de conexión, la página muestra el código de error HTTP y el mensaje informado por el servicio.

  9. Haz clic en Guardar. La integración de Webhook se guarda y se agrega a la pestaña Integraciones en la página de Suscripciones.

Defina el Desencadenante para la Integración de Webhook Estándar

Los webhooks estándar son activados por notificaciones del CMA. Puede configurar dos tipos de notificaciones:

  1. Notificaciones del CMA: El CMA puede enviar proactivamente notificaciones sobre su cuenta, como usuarios bloqueados y administradores, o actualizaciones de licencias. Estas notificaciones se pueden enviar directamente mediante una integración de Webhook.

    Para más información, consulte Alertas de Nivel de Cuenta y Notificaciones del Sistema.

  2. Notificaciones de reglas de política: Puede configurar el ajuste de Seguimiento en una regla de política para enviar una notificación a un Webhook cada vez que se cumpla la regla.

Al definir reglas en políticas, puede usar el área de Acciones para enviar notificaciones mediante integraciones de Webhook.

regla_webhook.png

Defina el Desencadenante para la Integración Correlacionada utilizando Definir Notificaciones de Detección y Respuesta

Con políticas de Detección y Respuesta, puede automatizar la creación y actualización de elementos en plataformas de terceros para historias XOps correlacionadas. Así su sistema externo siempre refleja el estado actual de la historia.

Puede configurar reglas en la política para:

  • Historia Creada: Activar un webhook correlacionado que crea un nuevo elemento

  • Historia Actualizada: Activar un webhook correlacionado que actualiza el mismo elemento a medida que avanza la historia

Para mantener las historias sincronizadas, configure dos reglas: una para crear el elemento cuando comienza la historia y otra para actualizarlo cuando cambia la historia.

Para definir el desencadenante para una notificación de webhook:

  1. Desde el menú de navegación, haga clic en Inicio > Política de Detección y Respuesta.

  2. Seleccione la pestaña Política de Respuesta.

  3. Haga clic en Nuevo. Se abre el panel Agregar a la Política de Respuesta.

  4. Ingrese un Nombre para la regla.

  5. En la sección Fuente, seleccione el tipo (por ejemplo: Host, Rango de IP, Sitio) y luego seleccione uno o más objetos para la fuente de la historia de esta regla (o puede ingresar una dirección IP).

    El valor de Fuente predeterminado es Cualquiera.

  6. (Opcional) Defina Criterios que especifiquen las características que una historia debe tener para coincidir con la regla.

  7. Seleccione el Desencadenante para la regla. 

    • Historia Creada para crear nuevos elementos

    • Historia Actualizada para actualizar elementos existentes

  8. En la pestaña Respuesta, seleccione Enviar Notificación.

  9. En Enviar notificaciones a, seleccione Integración.

  10. En Integración, seleccione la integración de webhooks que está enviando notificaciones.

  11. Haz clic en Guardar. La regla se agrega a la política.

Plantillas y Campos

Cada webhook se puede personalizar completamente para adaptarse al formato y comportamiento de su sistema de terceros. El webhook se proporciona en formato JSON y se puede ajustar para adaptarse a la estructura de la plataforma objetivo. Use variables de campo de Cato para cargas útiles estáticas y dinámicas.

Después de seleccionar una plantilla, puede editar el cuerpo como una carga útil JSON y guardarlo como una plantilla Personalizada. También tienes la opción de incrustar campos de datos en el JSON, lo cual pondrá el valor relevante en la carga útil (o NA si no está disponible).

Cuando escribes $, se muestran los campos disponibles. Para obtener más información sobre los campos Cato, consulta Comprender los campos JSON para integraciones de alertas.

Puedes elegir entre estas plantillas al crear un webhook:

  • Todos los campos - incluye cada campo disponible

  • Básico - una plantilla con los campos más comúnmente utilizados

  • Jira - una plantilla básica de Jira

  • Crear Ticket en ServiceNow - crea un nuevo ticket en ServiceNow

  • Actualizar Ticket en ServiceNow - actualiza un ticket existente en ServiceNow

  • Slack - envía un mensaje a un canal de Slack

  • Crear Ticket en Zendesk - crea un nuevo ticket en Zendesk

  • Actualizar Ticket en Zendesk - actualiza un ticket existente en Zendesk

  • Personalizado - personaliza configuraciones para una plantilla

También puedes utilizar campos al definir la URL de una integración webhook.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 1

0 comentarios