Zuverlässige Alarmierung für Wazuh
Mobile App, SMS, Anruf, Dienstplanung
Warum SIGNL4
Wazuh ist eine Open-Source-Sicherheitsplattform, die einen einheitlichen XDR- und SIEM-Schutz für Endgeräte und Cloud-Workloads bietet. Sie wird verwendet, um Sicherheitsdaten zu sammeln, zu aggregieren, zu indizieren und zu analysieren und hilft Unternehmen, Eindringlinge, Bedrohungen und Verhaltensanomalien zu erkennen.
SIGNL4 erweitert Wazuh um app-basierte mobile Alarmierung und Störungsfall-Reaktion, einschließlich Push, SMS, Sprach-Anrufe, Eskalationen und Zusammenarbeit. Die integrierte Dienst-Planung hilft Dir, die Bereitschaftsdienste Deines Teams zu planen und zeigt Dir, wer zu welchem Zeitpunkt Dienst hat.
So funktioniert es
Wazuh nutzt Webhooks, um Alarm-Informationen an SIGNL4 zu übermitteln. Du kannst die SIGNL4-Integration einfach konfigurieren, indem du deine SIGNL4-Webhook-URL einschließlich des Team- / Integrations-Geheimnisses eingibst. Im Einzelnen hilft Dir die Integration bei den folgenden Punkten.
Vorteile und Mehrwert
- Probleme aus Wazuh werden per Webhook an SIGNL4 übermittelt
- Zuverlässige und persistente Alarmierung per Push, SMS und Anruf
- Gezielte mobile Benachrichtigungen mit Antwortverfolgung und automatisierten Eskalationen
- Kommunikation innerhalb eines Alarms, um ein bestimmtes Problem anzusprechen
- Echtzeit-Transparenz über den Alarmstatus und die Zuständigkeit quer durch Teams auf mobilen Geräten Mobile App für Android und iPhone, um Alarme bequem von überall zu verwalten
- Bereicherung von Alarmen durch Hinzufügen von Dokumenten, Bildern, Videos usw.
- Kategorien mit anpassbaren Farben, Text und Symbolen für schnelles Kontextverständnis
- Alarme werden eskaliert, wenn innerhalb einer konfigurierbaren Zeit keine Antwort erfolgt
- Integrierte Bereitschafts-Planung für automatisches Alarm-Routing an die richtigen Personen zur richtigen Zeit
Szenarien
- 24×7 SecOps mit diensthabendem Personal
- Kritische SecOps-Alarmierung
- 24/7 Service Hotline für Kunden
- Reaktion auf kritische Vorfälle an jedem Ort
- Bereitschafts-Planung für IT- / Netzwerk-Teams
Integrationstyp
- Alarme werden automatisch in SIGNL4 geschlossen, wenn das Problem in Wazuh als behoben erkannt wird
Alarme in Wazuh werden per HTTP-Request an SIGNL4 übermittelt
Sichere Übermittelung, Kategorisierung und zielgenaues Routing
Mobile, persistente Alarmierung von Bereitschafts- und Diensthabenden per Push, SMS und Anruf mit Nachverfolgung und Eskalation
Nächste Schritte
Integration mit Wazuh
Logge Dich im Wazuh Web-Portal als Admin ein, um die SIGNL4 Alarmierung zu konfigurieren.
Erstelle unter Notifications einen neuen Channel des Typs Custom Webhook. Die Webhook-URL ist deine SIGNL4-Webhook-URL einschließlich Team- oder Integrations-Geheimnis.
https://connect.signl4.com/webhook/{team-secret}
Hier ist {team-secret} dein SIGNL4-Team-Geheimnis.
Der Header-Wert Content-Type ist application/json.
Du kannst hier auch einen Test-Alarm senden.
Erstelle unter Alerting -> Monitors einen neuen Monitor, der ausgelöst wird, wenn Du einen Alarm senden möchtest. Du musst den Trigger entsprechend konfigurieren.
Die Action wird den SIGNL4-Alarm auslösen. Du wählst den SIGNL4-Benachrichtigungs-Kanal, den Du im vorherigen Schritt erstellt hast. Die Message ist im JSON-Format und könnte wie folgt aussehen.
{
"AlertMonitor": "{{ctx.monitor.name}} just entered alert status. Please investigate the issue.",
"Trigger": "{{ctx.trigger.name}}",
"Severity": "{{ctx.trigger.severity}}",
"PeriodStart": "{{ctx.periodStart}}",
"PeriodEnd": "{{ctx.periodEnd}}",
"X-S4-SourceSystem": "Wazuh",
"X-S4-ExternalID": "Wazuh: {{ctx.trigger.name}}",
"X-S4-Status": "new"
}
Du kannst Alarme auch automatisch schließen, wenn der Status in Wazuh wieder OK ist. In diesem Fall gibst Du einen Trigger für die OK-Bedingung an und die Message in der SIGNL4-Aktion könnte wie folgt aussehen.
{
"X-S4-ExternalID": "Wazuh: {{ctx.trigger.name}}",
"X-S4-Status": "resolved"
}
Der Wert für X-S4-ExternalID ist derselbe, wie für den zuvor geöffneten Alarm.
So sieht ein eingehender SIGNL4 – Alarm aus.
Tipps & Tricks
Alarm-Optimierung
SIGNL4 kann die Wahrnehmung, Reaktion und Bearbeitung von kritischen Alarmen entscheidend verbessern. Durch die Anpassung von Farbe, Symbol und Push-Ton wird die Zuordnung und Relevanz von Alarmen deutlich beschleunigt.
Dazu musst du entsprechend „Dienste und Systeme“-Kategorien erstellen, die auf bestimmte Schlüsselwörter ansprechen. Gehe dazu in der mobilen App in die Einstellungen und wähle „Dienste und Systeme“. Erstelle eine neue Kategorie oder bearbeite einfach eine bestehende. Eine Kategorie wird immer angewendet, wenn einzelne Schlüsselwörter oder Kombinationen von Schlüsselwörtern im auslösenden Event gefunden werden.
Dienstplanung
Die Dienstplanungsfunktion von SIGNL4 vereinfacht das Management von Wazuh-Alarmen, indem Benachrichtigungen an das Bereitschaftspersonal weitergeleitet werden. Durch das Vordefinieren von Schichten und Bereitschaftsplänen werden Wazuh-Alarme an verfügbare und relevante Teammitglieder geroutet, was die Reaktionszeiten verkürzt. Dies beseitigt das Chaos von Alarmfluten außerhalb der Arbeitszeiten und stellt sicher, dass kritische Vorfälle sofortige Aufmerksamkeit erhalten.
Mit SIGNL4 wird die Bereitschaftsplanung mit nur wenigen Mausklicks und in kürzester Zeit durchgeführt. Die Planung erfolgt bequem und transparent im Webbrowser. Es bietet ein „Wer ist im Dienst“-Dashboard mit Echtzeit-Digitalinformationen. SIGNL4 erleichtert die Schichtübergaben mit mobilen Erinnerungen, automatisierten Ein-/Ausstempelungen und Übergabeassistenten. Zusätzlich bietet es E-Mail-Berichte nach der Schicht, herunterladbare Dienstaufzeichnungen und mehr. Lies hier mehr über das Bereitschaftsmanagement.