웹훅을 통한 CMA 알림 전송

개요

Cato 관리 응용 프로그램(CMA)은 계정의 다양한 보안 및 네트워크 이벤트에 대한 알림을 생성합니다. 웹훅 통합을 사용하여 이러한 알림을 ServiceNow, Jira, Slack 또는 Zendesk와 같은 타사 플랫폼에 자동으로 전달할 수 있습니다. 이를 통해 외부 시스템에서 Cato 이벤트 데이터를 실시간으로 받아들이고 인시던트 추적 및 대응을 위한 자동화된 워크플로를 트리거할 수 있습니다.

Cato는 두 가지 유형의 웹훅 통합을 지원합니다:

  • 표준 웹훅은 HTTP 요청을 사용하여 외부 플랫폼의 항목을 생성하거나 업데이트합니다. 

  • 상관된 웹훅은 XOps 서비스와 통합됩니다. 이들은 상관 ID를 사용하여 타사 도구에서 XOps 보안 및 네트워크 스토리의 수명 주기를 나타내는 항목을 생성하고 업데이트합니다. XOps 라이센스가 필요합니다.

웹훅 통합은 완전히 구성할 수 있습니다. HTTP 메서드(POST 또는 PUT), 대상 URL, 인증 방법 및 요청 본문을 정의합니다. 템플릿과 필드 변수를 통해 타사 플랫폼의 요구 사항에 맞게 페이로드 구조를 조정할 수 있습니다.

Cato 웹훅 통합 이해하기

웹훅 통합 유형

Cato는 계정을 타사 플랫폼과 통합하고 자동화 흐름을 생성하기 위해 다음과 같은 유형의 웹훅을 지원합니다:

  • 표준 웹훅은 계정 또는 시스템 알림에 기반한 알림 및 정책 기반 알림과 같은 다양한 CMA 알림을 지원합니다. 이 데이터를 외부 플랫폼에 전달하고 웹훅이 새 레코드를 생성할지 기존 것을 업데이트할지를 구성할 수 있습니다.

  • 상관된 웹훅은 XOps 서비스용으로 설계되었습니다. CMA의 각 이야기가 외부 시스템의 레코드와 매핑되고 이야기가 진행됨에 따라 업데이트되므로 웹훅 기능을 보안 및 네트워크 스토리로 확장합니다. XOps 라이센스가 필요합니다.

웹훅 흐름 - 생성 또는 업데이트

웹훅 플로우는 웹훅이 새 레코드를 생성하거나 기존 것을 업데이트하는 식으로 CMA가 타사 플랫폼과 통신하는 방법을 정의합니다:

  • POST (생성) - 웹훅이 트리거될 때마다 타사 플랫폼에 새 항목을 생성합니다. 예: 인터넷 방화벽 규칙이 트래픽 흐름을 차단할 때마다 새 ServiceNow 티켓 열기.

  • PUT (업데이트) - 타사 플랫폼의 기존 항목을 업데이트합니다. 요청에는 URL 또는 본문에 유효한 항목 ID가 포함됩니다.

인증 방법

웹훅 통합을 생성할 때 선택할 수 있는 다양한 인증 방법이 있습니다:

  • Basic - 사용자 이름과 비밀번호

  • Bearer - Bearer Token

  • Custom - 고유한 인증이 필요한 서비스에 대한 커스텀 헤더. 키-값 쌍을 필요에 따라 추가합니다.

참고: 제3자 서비스에 대한 액세스가 특정 IP 주소로 제한되는 경우, Cato의 허용해야 할 IP 주소 목록을 보려면 이 기사를 참조하십시오 (이 기사를 보려면 로그인해야 합니다).

알림 내용 사용자 정의

템플릿의 content 필드는 이메일 알림 내용과 유사한 알림의 읽을 수 있는 요약을 생성합니다. 다음 형식으로 내용을 선택할 수 있습니다: contentText, contentMarkdown, 또는 contentHTML

본문을 사용자 정의하기로 선택한 경우, 메시지 내용에 사용할 수 있는 데이터 필드가 여러 개 있습니다. 사용자 지정 본문(또는 구조)을 정의한 다음 Cato 데이터 필드를 포함할 수 있습니다. $를 입력하면 사용 가능한 데이터 필드가 표시되며 필요한 필드를 선택합니다. 필드는 자동 완성을 사용하여 목록을 필터링합니다. Cato 필드에 대한 자세한 내용은 알림 통합을 위한 JSON 필드를 이해하기를 참조하십시오.

Webhook 필드를 위한 기본값

알림 데이터에 값이 포함되지 않은 경우 유연성을 추가하기 위해 동적 webhook 필드에 대한 사용자 정의 기본값을 지정할 수 있습니다. 이를 통해 웹훅 URL, 헤더 또는 본문에 있는 기본 NA 값을 덮어쓸 수 있습니다. ${field:defaultValue} 형식을 사용하여 대체 값을 정의하세요. 예를 들어, level 필드가 채워지지 않은 경우 ${level:medium}로 설정할 수 있습니다. 연결된 흐름에서는 웹훅 URL에서 대체 티켓 ID를 사용할 수 있으며, 예를 들어 https://EXAMPLE-INSTANCE.service-now.com/api/now/table/incident/${correlationId:12345}를 사용하여 연결되지 않은 알림을 기본 ServiceNow 티켓에 캡처하도록 합니다.

표준 웹훅 통합

표준 웹훅을 사용하여 다양한 사용 사례에 대해 제3자 플랫폼에 CMA 알림을 보낼 수 있습니다. 먼저 플랫폼과 통합할 웹훅을 정의하십시오. 그리고 방화벽 작업과 같은 CMA 알림과 정책 규칙이 웹훅을 사용하여 알림을 생성할 것인지 선택합니다.

웹훅 통합 정의

제3자 도구에서 항목(티켓, Slack 메시지 등)을 통해 알림을 보내는 웹훅 통합을 생성합니다. 웹훅을 구성하여 POST 요청으로 새 항목을 생성하거나 PUT 요청으로 기존 항목을 업데이트할 수 있습니다. 통합에는 URL, 요청 본문, 인증 방법, 선택적 사용자 지정 헤더 및 메시지 본문에 대한 설정이 포함됩니다.

세부 사항 정의 후 연결을 테스트하여 작동을 확인할 수 있습니다.

웹훅 통합을 정의하려면:

  1. 탐색 메뉴에서 계정 > 구독을 클릭하고 웹훅 탭을 선택합니다.

  2. 새 웹훅을 클릭합니다. 새 Webhook 통합 패널이 열립니다.

  3. 웹훅 세부 정보를 구성합니다:

    1. 통합 이름을 입력합니다.

    2. 슬라이더를 클릭하여 통합을 활성화(녹색)하거나 비활성화(회색)합니다 (기본적으로 활성화됨).

  4. 통합용 JSON 템플릿 설정을 구성합니다:

    • 템플릿에서 시작에서 통합 설정을 채우는 기본 JSON 템플릿을 선택합니다.

      사용자 지정 본문의 필드를 조정하고 수정할 수 있습니다(아래 7단계 참조).

    참고: 다른 템플릿을 선택하면 사용자 지정 본문의 필드가 재설정됩니다. 템플릿에 대한 자세한 내용은 아래 템플릿 및 필드를 참조하십시오.

  5. 연결 세부 정보를 구성하십시오:

    1. Webhook을 수신하는 서비스의 URL을 입력하십시오.

      URL에서 변수를 필드로 사용할 수 있습니다. 사용 가능한 필드를 보려면 $를 입력하십시오.

    2. 요청 방법에서 이 웹훅의 흐름을 선택합니다: POST 또는 PUT.

    3. 필요한 경우 서비스의 인증 방법 및 설정을 구성하십시오.

  6. (선택 사항) 사용자 정의 헤더에서 통합에 대한 추가 HTTP 헤더의 을 정의하십시오.

  7. 사용자 지정 본문에서 웹훅 알림의 내용을 정의합니다:

    1. (옵션) 본문 편집에서 내용을 사용자 정의합니다.

      • $를 본문에서 사용하려면 이스케이프 문자로 /를 입력하십시오

      • 다른 필드를 포함하려면 $를 입력하십시오

      응답 상관 ID는 표준 웹훅 통합에 사용되지 않습니다

    2. 기본값을 정의하려면 ${field:defaultValue} 형식을 사용하고 예를 들어 ${ID:12345}를 사용하세요.

  8. 테스트를 클릭합니다. CMA는 필드에 대한 자동 생성 콘텐츠로 테스트 HTTP 요청을 보냅니다.

    통합이 서비스에 연결할 수 있으면 테스트가 성공적으로 통과되었습니다. 메시지가 표시됩니다.

    연결 오류가 있는 경우 페이지에 서비스에서 보고한 HTTP 오류 코드와 메시지가 표시됩니다.

  9. 저장을 클릭하십시오. 웹훅 통합이 저장되고 구독 페이지의 통합 탭에 추가됩니다.

표준 Webhook 통합에 대한 트리거 정의

표준 웹훅은 CMA에서 알림으로 활성화됩니다. 두 가지 유형의 알림을 구성할 수 있습니다:

  1. CMA 알림: CMA는 계정에 대한 잠긴 사용자 및 관리자가 있거나 라이센스 업데이트와 같은 알림을 적극적으로 보낼 수 있습니다. 이러한 알림은 웹훅 통합을 통해 직접 전송될 수 있습니다.

    자세한 내용은 계정 수준 경고 및 시스템 알림을 참조하십시오.

  2. 정책 규칙 알림: 정책 규칙에서 추적 설정을 구성하여 규칙이 일치할 때 웹훅으로 알림을 전송할 수 있습니다.

정책에서 규칙을 정의할 때 작업 영역을 사용하여 웹훅 통합을 통해 알림을 보낼 수 있습니다.

rule_webhook.png

상관된 웹훅 통합

XOps 서비스는 상관된 웹훅을 지원하여 XOps 보안 및 네트워크 스토리의 수명 주기를 타사 플랫폼과 통합할 수 있도록 합니다. 통합을 구성한 후 스토리가 시작되면 타사 플랫폼이 자동으로 새 티켓, 문제 또는 메시지를 생성하고 스토리가 진행되거나 해결될 때 업데이트합니다.

이러한 통합은 XOps 스토리의 상관 필드를 사용하여 CMA의 각 이야기를 외부 플랫폼의 티켓, 문제, 메시지와 매핑합니다. 이렇게 하면 업데이트가 올바른 항목에 일관되게 적용됩니다. XOps 라이센스가 필요합니다.

이러한 통합에는 다음이 필요합니다:

  • 표준 Webhook 통합

  • 상관된 Webhook 통합

  • 두 가지 트리거 유형 (각 통합에 대해 하나씩)

표준 Webhook 정의

기본 항목(티켓, Slack 메시지 등)을 생성하기 위해 표준 Webhook 통합을 생성하십시오. 그런 다음 이러한 항목은 연관된 Webhook 통합에 의해 업데이트됩니다.

세부 사항 정의 후 연결을 테스트하여 작동을 확인할 수 있습니다.

표준 Webhook 통합을 정의하려면:

  1. 네비게이션 메뉴에서 계정 > 구독을 클릭하고 Webhooks 탭을 선택하십시오.

  2. 신규 Webhook을 클릭하십시오. 새 Webhook 통합 패널이 열립니다.

  3. Webhook 세부 정보를 구성하십시오:

    1. 통합 이름을 입력하십시오.

    2. 슬라이더를 클릭하여 통합을 활성화(녹색) 또는 비활성화(회색)하십시오. (기본적으로 활성화되어 있습니다).

  4. 통합을 위한 JSON 템플릿의 설정을 구성하십시오.

    • 템플릿에서 시작에서 통합 설정을 채우는 기본 JSON 템플릿을 선택하십시오.

      사용자 정의 본문에 대해 아래 7단계를 참조하여 필드를 조정하고 수정할 수 있습니다.

    참고: 다른 템플릿을 선택하면 사용자 정의 본문의 필드가 재설정됩니다. 템플릿에 대한 더 많은 정보는 아래 템플릿 및 필드를 참조하십시오.

  5. 연결 세부 정보를 구성하십시오:

    1. Webhook을 받는 서비스의 URL을 입력하십시오.

      URL에서 필드를 변수로 사용할 수 있습니다. 사용 가능한 필드를 보려면 $를 입력하십시오.

    2. 요청 방법에서 POST를 선택하십시오.

    3. 필요한 경우 서비스에 대한 인증 방법 및 설정을 구성하십시오.

  6. (Optional) 사용자 정의 헤더에서 각 추가 HTTP 헤더에 대해 을 정의하십시오.

  7. 사용자 정의 본문에서 Webhook 알림의 내용을 정의하십시오:

    1. 응답 상관관계 ID에서 URL에서 상관관계에 사용할 제3자 항목을 정의하십시오. 예를 들어, ServiceNow에서는 result.sys_id, Zendesk에서는 ticket.id일 수 있습니다.

    2. (Optional) 본문 편집에서 콘텐츠를 맞춤 설정하십시오.

      • $를 본문에서 사용하기 위해 탈출 문자로 /를 입력합니다.

      • 다른 필드를 포함하기 위해 $를 입력하십시오

    3. 기본값을 정의하려면 ${field:defaultValue} 형식을 사용하고 예를 들어 ${ID:12345}를 사용하세요.

  8. 테스트를 클릭하십시오. CMA가 필드에 대한 자동 생성된 콘텐츠로 테스트 HTTP 요청을 보냅니다.

    통합이 서비스에 연결할 수 있는 경우 테스트가 성공적으로 통과되었습니다. 메시지가 표시됩니다.

    연결 오류가 있을 경우, 페이지가 서비스에 의해 보고된 HTTP 오류 코드와 메시지를 표시합니다.

  9. 저장을 클릭합니다. Webhook 통합이 저장되어 구독 페이지의 통합 탭에 추가됩니다.

상관된 웹훅 정의

이전 절차에서 생성된 기존 항목을 업데이트하여 제3자 도구에 있는 항목(티켓, Slack 메시지 등)을 통해 알림을 보내는 상관관계 Webhook 통합을 생성하십시오.

상호 연관된 웹훅을 구성하면 URL이 상관관계 ID를 사용하여 제3자 플랫폼의 올바른 항목을 업데이트합니다. 상관관계 ID 값이 비어있다면 업데이트가 기존 항목과 일치할 수 없어서 손실됩니다. 이를 방지하려면 기본 티켓, 이슈 또는 메시지를 생성하는 표준 웹훅의 사용자 정의 본문에 ID 항목을 추가하세요. 이는 상관관계 필드의 대체값으로 해당 ID를 사용하여 스토리 라이프사이클 동안의 원본 항목에 계속 업데이트를 적용할 수 있도록 합니다.

세부 정보를 정의한 후 연결을 테스트하고 작동 여부를 확인할 수 있습니다.

상관관계 Webhook 통합을 정의하려면:

  1. 네비게이션 메뉴에서 계정 > 구독을 클릭하고 Webhooks 탭을 선택하십시오.

  2. 신규 Webhook을 클릭하십시오. 새 Webhook 통합 패널이 열립니다.

  3. Webhook 세부 정보를 구성하십시오:

    1. 통합 이름을 입력하십시오.

    2. 슬라이더를 클릭하여 통합을 활성화(녹색) 또는 비활성화(회색)하십시오. (기본적으로 활성화되어 있습니다).

  4. 통합을 위한 JSON 템플릿의 설정을 구성하십시오.

    • 템플릿에서 시작에서 통합 설정을 채우는 기본 JSON 템플릿을 선택하십시오.

      사용자 정의 본문에 대해 아래 7단계를 참조하여 필드를 조정하고 수정할 수 있습니다.

    참고: 다른 템플릿을 선택하면 사용자 정의 본문의 필드가 재설정됩니다. 템플릿에 대한 더 많은 정보는 아래 템플릿 및 필드를 참조하십시오.

  5. 연결 세부 정보를 구성하십시오:

    1. Webhook을 받는 서비스의 URL을 입력하십시오. 기존 항목과 상관성을 추가하여 연관 항목 ID 필드를 추가하십시오.

      URL에서 필드를 변수로 사용할 수 있습니다. 사용 가능한 필드를 보려면 $를 입력하십시오.

    2. 요청 방법에서 PUT를 선택하십시오.

    3. 필요한 경우 서비스에 대한 인증 방법 및 설정을 구성하십시오.

  6. (Optional) 사용자 정의 헤더에서 각 추가 HTTP 헤더에 대해 을 정의하십시오.

  7. 사용자 정의 본문에서 Webhook 알림의 내용을 정의하십시오:

    1. (Optional) 본문 편집에서 콘텐츠를 맞춤 설정하십시오.

      • $를 본문에서 사용하기 위해 탈출 문자로 /를 입력합니다.

      • 다른 필드를 포함하기 위해 $를 입력하십시오

    2. 기본값을 정의하려면 ${field:defaultValue} 형식을 사용하고 예를 들어 ${ID:12345}를 사용하세요.

  8. 테스트를 클릭하십시오. CMA가 필드에 대한 자동 생성된 콘텐츠로 테스트 HTTP 요청을 보냅니다.

    통합이 서비스에 연결할 수 있는 경우 테스트가 성공적으로 통과되었습니다. 메시지가 표시됩니다.

    연결 오류가 있을 경우, 페이지가 서비스에 의해 보고된 HTTP 오류 코드와 메시지를 표시합니다.

  9. 저장을 클릭하십시오. Webhook 통합이 저장되어 구독 페이지의 통합 탭에 추가됩니다.

표준 Webhook 통합을 위한 트리거 정의

표준 Webhook은 CMA의 알림에 의해 활성화됩니다. 두 가지 유형의 알림을 구성할 수 있습니다:

  1. CMA 알림: 잠긴 사용자 및 관리자 또는 라이선스 업데이트와 같은 계정에 대해 CMA가 사전적으로 알림을 보낼 수 있습니다. 이러한 알림은 Webhook 통합을 통해 직접 전송할 수 있습니다.

    자세한 내용은 계정 수준 경고 및 시스템 알림을 참조하십시오.

  2. 정책 규칙 알림: 규칙이 일치할 때마다 웹훅으로 알림을 보내기 위해 정책 규칙에서 추적 설정을 구성할 수 있습니다.

정책에서 규칙을 정의할 때 Webhook 통합을 통해 알림을 보내기 위해 작업 영역을 사용할 수 있습니다.

rule_webhook.png

검출 및 대응 알림 정의를 사용하여 상호 연관된 통합의 트리거를 정의하세요.

탐지 및 대응 정책을 사용하여 상관된 XOps 스토리에 대해 제3자 플랫폼에서 항목을 자동으로 생성 및 업데이트할 수 있습니다. 따라서 외부 시스템은 항상 현재의 스토리 상태를 반영합니다.

정책에서 다음을 위한 규칙을 구성할 수 있습니다:

  • 스토리 생성: 새 항목을 생성하는 상관된 웹훅 트리거

  • 스토리 업데이트: 스토리가 진행되는 대로 동일한 항목을 업데이트하는 상관된 웹훅 트리거

스토리 동기화를 유지하려면 스토리가 시작될 때 항목을 생성하고 스토리가 변경될 때 업데이트하는 두 가지 규칙을 구성합니다.

웹훅 알림에 대한 트리거를 정의하려면:

  1. 탐색 메뉴에서 홈 > 탐지 및 대응 정책을 클릭합니다.

  2. 응답 정책 탭을 선택합니다.

  3. 새로 만들기를 클릭합니다. 응답 정책에 추가 패널이 열립니다.

  4. 규칙에 대한 이름을 입력합니다.

  5. 소스 섹션에서 유형을 선택하고(호스트, IP 범위, 사이트 예) 규칙의 이야기 소스를 위한 하나 이상의 객체를 선택합니다(또는 IP 주소 입력 가능).

    기본 소스 값은 모두입니다.

  6. (옵션) 규칙과 일치하려면 이야기가 가져야 할 특성을 지정하는 기준을 정의합니다.

  7. 규칙의 트리거를 선택합니다. 

    • 새 항목을 만들기 위한 스토리 생성됨

    • 기존 항목을 업데이트하기 위한 스토리 업데이트됨

  8. 응답 탭에서 알림 보내기를 선택합니다.

  9. 알림 보내기 대상에서 통합을 선택합니다.

  10. 통합에서 알림을 보내는 웹훅 통합을 선택합니다.

  11. 저장을 클릭하십시오. 규칙이 정책에 추가됩니다.

템플릿 및 필드

각 웹훅은 제3자 시스템의 형식 및 동작에 맞게 완전히 사용자 정의할 수 있습니다. 웹훅은 JSON 형식으로 제공되며 대상 플랫폼 구조에 맞게 조정할 수 있습니다. 정적 및 동적 페이로드 모두에 대해 Cato 필드 변수를 사용하십시오.

템플릿을 선택한 후에는 본문을 JSON 페이로드로 편집하고 사용자 지정 템플릿으로 저장할 수 있습니다. 또한 데이터를 JSON에 포함할 수 있는 옵션이 있으며, 그렇지 않으면 일치하는 값을 페이로드에 삽입할 수 있습니다(NA 사용 불가 시).

$을 입력하면 사용 가능한 필드가 표시됩니다. Cato 필드에 대한 자세한 내용은 알림 통합을 위한 JSON 필드 이해하기를 참조하십시오.

웹훅을 생성할 때 이러한 템플릿에서 선택할 수 있습니다:

  • 모든 필드 - 사용 가능한 모든 필드 포함

  • 기본 - 가장 일반적으로 사용되는 필드가 있는 템플릿

  • Jira - 기본 Jira 템플릿

  • ServiceNow 티켓 생성 - ServiceNow에서 새로운 티켓 생성

  • ServiceNow 티켓 업데이트 - 기존의 ServiceNow 티켓 업데이트

  • Slack - Slack 채널로 메시지 전송

  • Zendesk 티켓 생성 - Zendesk에서 새로운 티켓 생성

  • Zendesk 티켓 업데이트 - 기존 Zendesk 티켓 업데이트

  • 사용자 정의 - 템플릿 설정 커스터마이즈

웹훅 통합의 URL을 정의할 때도 필드를 사용할 수 있습니다.

도움이 되었습니까?

1명 중 0명이 도움이 되었다고 했습니다.

댓글 0개