Настройка увед�омлений
Уведомления являются способом реакции на инцидент, доступные способы уведомлений указаны ниже.
О том, как настроить и включить отправку уведомлений по электронной почте, прочитать можно здесь
О том, как настроить и включить отправку инцидентов по протоколу Syslog в формате CEF, прочитать можно здесь
О том, как работать с системой "Джет Сигнал", прочитать можно здесь
О том, как настроить отправку уведомлений в государственную систему "ГосСОПКА", прочитать можно здесь
Фильтрация уведомлений (cel-filter)
Выражение на языке CEL для фильтрации обновлений по инцидентам, статусам, важности и другим параметрам.
Cel-filter
-
is_update - на почту присылаются только уведомления по измененным инцидентам
-
!is_update - на почту присылаются только уведомления по новым инцидентам, по измененным не приходят
Выражение по умолчанию присылать уведомления по новым (!is_update) инцидентам "ИЛИ" измененным (is_update) инцидентам "И" статус расследуется "И" высокой важностью:
"!is_update || (is_update && status == 'investigating' && severity == 'high')"
Допустимые значения для статусов (status) : new investigating closed fp
Допустимые значения для важности (severity): baseline low medium high
Доступные поля: is_update, status, severity, incident.AssignedTo, incident.StatusReason
Пример заполнения с уведомлением по ответственному:
В конфиге в блоке notification заполнить поля указанным образом:
notification:
aggregation-window: 1m
cel-filter: "incident.AssignedTo == 'Фамилия Имя Отчество - admin@admin.com' "
drop-histories: true
smtp:
- name: SMTP Service
host: test.test.ru
idle-timeout: 30s
password: pass
port: [port]
username: siem@test.ru
identity: siem@test.ru
start_tls: opportunistic_start_tls
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: ""
disable: false
system-pool: true
local_name: ""
Ещё примеры:
cel-filter: "severity == 'baseline' "
cel-filter: "incident.StatusReason == 'Причина - это важно' "
cel-filter: "status == 'new' "
История инцидента в уведомлении
Параметр drop-histories - отображать информацию об истории инцидента или отбросить её.
Возможные значения:
- drop-histories: true // без истории
- drop-histories: false // с историей