Configurer les webhooks

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Configurez un webhook pour vous abonner à des événements dans Centre de sécurité Renseignements sur les menaces.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Pourquoi et quand exécuter cette tâche

    Les webhooks TISC permettent de s’intégrer à des outils de sécurité tels que SIEM. Les utilisateurs peuvent ensuite s’abonner à divers événements liés à différents artefacts tels que des observables ou des indicateurs, des programmes malveillants ou des acteurs de menace. TISC informe les outils de Security (tels que SIEM) lorsqu’une nouvelle connaissance des menaces est disponible ou que des données existantes de la veille sur les menaces sont mises à jour ou supprimées dans TISC.

    Par exemple, chaque fois qu’un nouvel observable est ajouté dans Threat Intelligence, une demande de charge utile est envoyée à la configuration de l’URL Webhook. Cette demande de charge utile collecte généralement les informations observables et les fournit en tant qu’informations supplémentaires aux outils de Security (tels que SIEM).

    Procédure

    1. Accédez à la Tout > Threat Intelligence Security Center > Administration.
    2. Sélectionner Webhooks Configurations > Webhooks.
      La page Webhooks s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Saisissez un nom de webhook.
      Description Ajoutez la description du webhook.
      Détails de la configuration  
      Utiliser le message REST Cochez la case Utiliser le message REST si vous devez utiliser la fonctionnalité Message REST/Méthode REST fournie par Now Platform.

      Si cette case n’est pas cochée, l’application utilise le point de terminaison fourni dans l’URL Webhook pour envoyer les informations sur l’événement. Pour plus d’informations, consultez Service web REST sortant sur la documentation Now Platform.
      Message REST
      Sélectionnez l’enregistrement de message REST dans la liste des enregistrements de message REST qui sont déjà configurés dans l’instance. Pour plus d’informations, consultez Service Web REST sortant dans la documentation de Now Platform.
      Remarque :
      Les champs Message REST et Méthode REST sont obligatoires lorsque vous sélectionnez le message REST.
      Méthode REST Sélectionnez la méthode REST dans la liste des méthodes REST disponibles configurées pour le message REST sélectionné. Pour plus d’informations, consultez Service Web REST sortant dans la documentation de Now Platform.
      Remarque :
      Seules les méthodes REST POST sont prises en charge pour les webhooks.
      URL webhook Un point de terminaison Webhook est une URL qui reçoit des notifications d’événements Webhook.
      Authentification requise Cochez cette case si l’authentification est requise.
      Remarque :
      Cela ne s’applique que lorsque l’URL Webhook est utilisée pour récupérer les données.
      Type d'authentification Type d’authentification pour le webhook.
      Remarque :
      Pour l’instant, seul le type d’authentification de base est pris en charge.
      Nom d'utilisateur Attribuez un nom d’utilisateur à votre type d’authentification.
      Mot de passe Attribuez un mot de passe à votre type d’authentification.
      En-têtes à transmettre avec la demande Tous les en-têtes à transmettre avec les demandes peuvent être fournis dans le mappage d’en-tête de demande. L’en-tête doit être fourni dans une paire clé-valeur séparée par deux-points (' :'). Chaque paire clé-valeur d’en-tête doit être fournie dans une nouvelle ligne. Pour fournir des paramètres d’authentification en tant que valeurs d’en-tête, encadrez l’étiquette d’authentification requise avec « ${ » et « }$ ». Par exemple, username :${Username}$.
    4. Cliquez sur Valider et enregistrer.
      Si vos détails de configuration sont incorrects, le système validera automatiquement la connexion si les détails de configuration sont modifiés, puis l’application affichera un message d’avertissement indiquant que la validation du webhook a échoué et que vous devez vérifier les détails de la configuration et les modifier en conséquence.
      Remarque :
      • Pour la validation du webhook, la charge utile de la demande vide est envoyée au point de terminaison et l’utilisateur doit s’assurer que le point de terminaison envoie le code de réponse correct (200) lorsque la demande vide est transmise au point de terminaison du webhook configuré.
      • Par défaut, tout webhook créé sera à l’état désactivé. Vous devez activer le webhook et l’activer. Un exemple de webhook est mis en service dans le système de base en tant que référence pour les utilisateurs.