Отправка нотификаций SIEM через Telegram

UserGate SIEM может быть интегрирован с Telegram для отправки нотификаций событий информационной безопасности. 

Для такой интеграции понадобятся несколько компонентов:

• Заранее созданный чат-бот и Telegram-канал, в который чат-бот будет отправлять уведомления из SIEM.

• Веб-сервер, который будет выступать связующим звеном между SIEM и Telegram.

• Созданное в SIEM действие реагирования, использующее метод webhook в качестве механизма отправки событий информационной безопасности, генерируемых в SIEM.

SIEM инициирует действие webhook, отправляя на веб-сервер данные, которые должны быть переданы в Telegram. Веб-сервер обрабатывает полученные данные и посредством чат-бота отправляет в Telegram-канал данные из SIEM.

1. Инструкцию по созданию чат-бота можно найти на сайте Telegram (https://core.telegram.org/bots/tutorial) или на других ресурсах в Интернете. Дополнительно нужно создать Telegram-канал и разрешить чат-боту минимальные привилегии – постить сообщения.

Результатом этого подготовительного шага должны быть:

• Токен чат-бота. Он будет передан в диалоге с BotFather при создании бота.

• Токен канала. Его можно получить, добавив в целевой канал специального бота @username_to_id_bot, либо в адресной строке браузера, например: https://web.telegram.org/a/#-xxxxxxxxxxxxx, где "-xxxxxxxxxxxxx” — токен канала.

2. Необходимо запустить веб-сервер, который будет обрабатывать данные из SIEM. Пример кода на FastAPI: https://gitflic.ru/project/cisecs/telegram-bot-and-webhooks/.

3. В SIEM на странице Действия реагирования в разделе Аналитика необходимо создать действие реагирования типа webhook:

На вкладке Действие прописать URL созданного веб-сервера, например:

На вкладке Шаблон создать шаблон сообщения, например:

Добавить созданное действие реагирования в правило аналитики: