Table of Contents
Tworzenie webhooka Slack
Przejdź do Slack API – Your Apps (https://api.slack.com/apps).
Wybierz Create New App → From scratch, następnie podaj nazwę aplikacji i wybierz odpowiedni workspace.
Po utworzeniu aplikacji otwórz sekcję Incoming Webhooks i włącz funkcję, przełączając ją na On.
Kliknij Add New Webhook to Workspace, a następnie wybierz kanał, na który mają być wysyłane alerty.
Po utworzeniu webhooka skopiuj wygenerowany URL. Będzie wyglądał podobnie do:
https://hooks.slack.com/services/T00000/zzzzzzzzzz
Wysyłanie podstawowej wiadomości testowej
Możesz przetestować webhooka za pomocą curl:
Powyższy test będzie natychmiast widoczny na wybranym kanale:
Formatowanie alertów za pomocą bloków i separatorów
Wiadomości Slack mogą być strukturyzowane przy użyciu Block Kit, który obsługuje nagłówki, sekcje, pola, kontekst i przyciski. Pozwala to przedstawić alerty Sycope w przejrzystej i czytelnej formie. Aby alerty były łatwo rozpoznawalne, zalecamy mapowanie poziomów ważności na ikony emoji:
| Poziom progu Sycope | Emoji | Przykład w Slack |
|---|---|---|
| Critical | :red_circle: | 🔴 Critical |
| Major | :warning: | ⚠️ Major |
| Minor | :large_blue_circle: | 🔵 Minor |
Przykład poniżej pokazuje wiadomość alertu zawierającą typ reguły, nazwę alertu, adres IP klienta, adres IP serwera, znacznik czasu i poziom ważności, wraz z przyciskiem „View in Sycope” umożliwiającym bezpośredni dostęp do szczegółów alertu w Sycope.
W Slacku użytkownicy mogą tworzyć wątki do wiadomości z alertem, aby współpracować, potwierdzać alert i przypisywać odpowiedzialność konkretnemu członkowi zespołu. Takie podejście łączy moc Sycope i Slacka, zwiększając efektywność zespołu i usprawniając przepływ pracy związany z obsługą incydentów.
Tworzenie nowej akcji zewnętrznej dla alertów
Możesz skonfigurować nową akcję zewnętrzną w Sycope, którą można uruchomić ręcznie (prawym przyciskiem myszy na aktywnym alercie) lub automatycznie (przypisując ją do określonej reguły).
Przejdź do Settings → Integrations → External Destination w interfejsie webowym Sycope.
Kliknij Add External Destination.
Wybierz Type: Rest Client.
Wypełnij formularz konfiguracji, korzystając z podanego przykładu (w tym Custom Payload).
Kliknij Save, aby zakończyć konfigurację.
Pełny przykład niestandardowego payloadu w pliku payload_example.json znajduje się w folderze slack. Możesz go skopiować i wkleić bezpośrednio lub dostosować do swoich wymagań. W formularzu Edit External Destination możesz wybrać Placeholders, aby zobaczyć wszystkie dostępne wartości dynamiczne. Te placeholdery są automatycznie uzupełniane danymi w momencie wykonania akcji. https://github.com/SycopeSolutions/Integrations/blob/main/webhooks/slack/payload_example.json
Oprócz wbudowanych placeholderów użytkownicy mają również dostęp do niestandardowych wartości wynikowych z wyzwolonych alertów. Na przykład, aby odwołać się do wartości serverIp z aktywnego alertu, użyj następującego placeholdera: [(${result.serverIp})]
Użytkownicy mogą odwołać się do dowolnej dostępnej wartości poprzez obiekt result. Odpowiadające nazwy pól można zidentyfikować w dashboardach Alerts, włączając opcję „Show raw field names”.
Aby zobaczyć pełne szczegóły aktywnego alertu, użytkownicy mogą kliknąć „View in Sycope”, co przekieruje ich do dashboardu Alerts z odpowiednim AlertId automatycznie zastosowanym jako filtr. Należy pamiętać, że przycisk można skonfigurować tak, aby otwierał dowolny dashboard lub widok, w zależności od wymagań.
Najlepsze praktyki
Rekomendujemy poniższe praktyki, aby osiągnąć najlepszy przepływ pracy w zespole:
Używaj dedykowanych kanałów (np. #security-alerts, #network-ops), aby uniknąć szumu.
Wybieraj odpowiednie pola dla konkretnego zespołu, aby ułatwić inżynierom triage alertów bezpośrednio w Slacku.
Grupuj powiązane pola w kolumny za pomocą fields blocks.
Zawsze dołączaj link powrotny do Sycope, aby szybko przeprowadzić analizę przyczyn źródłowych.
Używaj emoji do oznaczania poziomu ważności i typu systemu, aby zwiększyć czytelność.
Podsumowanie
Integrując Sycope ze Slackiem za pomocą webhooków, przenosisz owidoczność sieci do swojego centrum współpracy. Alerty są dostarczane w czasie rzeczywistym, sformatowane z kontekstem i połączone z dashboardami Sycope w celu dalszego sprawdzenia.
Takie rozwiązanie zwiększa szybkość reakcji, poprawia obsługę incydentów i pomaga zespołom działać w odpowiedzi na detekcję zagrożeń behawioralnych, alerty o nieautoryzowanych urządzeniach i anomalie – bez opóźnień.
FAQ
Navigate to Slack API – Your Apps, select Create New App → From scratch, provide an application name and choose the appropriate workspace. Once the application is created, open the Incoming Webhooks section and enable it by toggling the switch to On. Click Add New Webhook to Workspace and select the channel where alerts should be posted. Copy the generated URL.
You can test the webhook using curl with the following command: curl -X POST -H 'Content-type: application/json' --data '{"text":"Hello from Sycope 👋"}' https://hooks.slack.com/services/T00000/zzzzzzzzzz
Use dedicated channels to avoid noise, choose the right fields for specific teams, group related fields into columns, always include a link back to Sycope, and use emojis for severity and system type to increase readability.
Block Kit is a UI framework for Slack that allows structuring messages with headers, sections, fields, context, and buttons, making alerts more organized and easily understandable. It enables users to map severity levels to emoji icons for better recognition.
Navigate to Settings → Integrations → External Destination in Sycope, click Add External Destination, select Type: Rest Client, complete the configuration form using the provided example, and click Save. You can also use custom payloads and reference dynamic values using placeholders to tailor the alerts.
