Configuración de políticas de alerta
IBM Cloud® Internet Services tiene alertas que puede configurar a través de la API para avisarle cuando se producen sucesos.
Consulte Configuración de webhooks para obtener instrucciones sobre el uso de webhooks.
Las alertas solo están disponibles para los planes de empresa.
Tipos de alertas
CIS ofrece los siguientes tipos de alerta:
-
Alertas de la capa 7 de ataque DDoS están destinadas a clientes de WAF y CDN que deseen recibir una notificación cuando se mitigue un ataque.
No es necesaria ninguna acción si recibe una alerta de capa 7 de ataque DDoS. Cada alerta incluye una breve descripción, la hora en que se detectó y mitigó el ataque, el tipo de ataque, su velocidad máxima de ataque y el objetivo.
-
Las alertas de certificado incluyen alertas que pertenecen a certificados TLS. Los siguientes tipos de alerta especifican el aspecto de renovación que necesita.
- Dedicado/Avanzado recibe notificación para la validación, la renovación de emisión y la caducidad de los certificados Dedicado/Avanzado.
- Los certificados SSL universal se renuevan automáticamente y no es necesaria ninguna acción del usuario.
- TLS mutuo le avisa cuando caduca el certificado mTLS.
-
Las alertas de trabajos Logpush avisan cuando el trabajo se desactiva debido a fallos constantes, no cuando se produce un fallo la primera vez. En la alerta se incluyen todos los destinos de trabajo afectados.
-
Informe de métricas web es un resumen semanal con informes de las métricas web de su cuenta.
-
El informe de mantenimiento de Cloudflare muestra las ventanas de mantenimiento de Cloudflare planificadas, cambiadas o canceladas.
-
El informe de incidencias de Cloudflare muestra las incidencias de Cloudflare en curso.
-
Alertas de seguridad incluye alertas WAF y alertas Advanced WAF.
- Alertas WAF busca picos en todos los servicios que generan entradas de registro en sucesos de cortafuegos. El tiempo medio hasta la detección es de 2 horas.
- Alertas Advanced WAF. Puede seleccionar los servicios que desea supervisar y cada servicio seleccionado se supervisa por separado. El tiempo medio de detección es de 5 minutos.
-
Las alertas de comprobación de estado de equilibrio de carga se envían cuando se produce un cambio en el estado de salud de una comprobación de estado de equilibrio de carga.
-
Las alertas de cambio de pool notifican cuando el pool se activa o desactiva manualmente.
No es necesaria ninguna acción si recibe una alerta de conmutación de agrupación. Cada alerta incluye el estado en el que se cambió el pool, la hora en que se produjo y el usuario que realizó el cambio.
Configuración de políticas de alerta en la consola
Utilice la interfaz de usuario para crear, actualizar y eliminar políticas de alerta.
Para configurar las políticas de alerta en la consola, vaya a la página de su Cuenta y seleccione la pestaña Alertas. En la sección Alertas, seleccione la pestaña Políticas de alerta.
Creación de una política de alertas de seguridad en la consola
- Pulse Crear.
- Seleccione el tipo de política de alertas que desea crear:
- Alerta de ataque DDoS HTTP, que detecta y mitiga un ataque DDoS HTTP a uno de sus dominios.
- Alertas dedicadas/avanzadas, que le alertan cuando los certificados dedicados han caducado y cuando se renuevan.
- Alerta SSL universal, que le avisa cuando los certificados universales se renuevan automáticamente.
- Alerta TLS mutua, que le avisa cuando caduca un certificado TLS mutuo.
- Alerta de trabajo Logpush, que le avisa cuando falla cualquier trabajo Logpush configurado.
- Informe de métricas web, que es un informe semanal que ayuda a identificar los cambios en el tráfico y el rendimiento de la aplicación a lo largo del tiempo.
- Informe de mantenimiento de Cloudflare, que informa sobre las ventanas de mantenimiento de Cloudflare planificadas, cambiadas o canceladas.
- Informe de incidencias de Cloudflare, que informa sobre incidencias de Cloudflare en curso.
- Alerta de eventos de seguridad, que le avisa en las 2 horas siguientes a la detección de un pico en todos los eventos de seguridad.
- Alerta avanzada de eventos de seguridad, que le avisa en los 5 minutos siguientes a la detección de un pico de eventos de seguridad con filtro de servicio opcional.
- Alertas de comprobación de estado de equilibrio de carga, que le avisan cuando el estado de salud cambia para una comprobación de estado de agrupación u origen de agrupación.
- Alerta de habilitación de agrupación, que son alertas basadas en el estado de conmutación habilitado o inhabilitado de la agrupación.
- Especifique un nombre para la política de alertas y, opcionalmente, especifique una descripción.
- Elija un método de alerta. Puede seleccionar un webhook, especificar una dirección de correo electrónico a la que enviar alertas o ambas cosas. Sólo es necesaria una notificación para completar la configuración.
- Especifique una dirección de correo electrónico a la que Cloud Internet Services (CIS) envía alertas. Pulse
+
para añadir la dirección a la alerta. Repetir para todas las direcciones de correo electrónico. - Pulse Añadir webhook y seleccione un webhook disponible. Si no hay webhooks, esta opción no está disponible.
- Especifique una dirección de correo electrónico a la que Cloud Internet Services (CIS) envía alertas. Pulse
- Pulse Crear
De forma predeterminada, las políticas de alerta se habilitan cuando se crean. Puede desactivar las alertas que haya creado cambiando el conmutador de la columna Activado.
Creación de una política avanzada de alertas de seguridad en la consola
Para crear una alerta de seguridad avanzada en la consola, siga estos pasos:
- Pulse Crear.
- Seleccione Alerta de sucesos de seguridad avanzada.
- Especifique un nombre para la política de alertas y, opcionalmente, especifique una descripción.
- Elija un método de alerta. Puede seleccionar un webhook o introducir una dirección de correo electrónico a la que enviar las alertas, o ambas cosas. Sólo es necesaria una notificación para completar la configuración.
- Especifique una dirección de correo electrónico a la que Cloud Internet Services (CIS) envía alertas. Pulse
+
para añadir la dirección a la alerta. Repetir para todas las direcciones de correo electrónico. - Pulse Añadir webhook y seleccione un webhook disponible. Si no hay webhooks, esta opción no está disponible.
- Especifique una dirección de correo electrónico a la que Cloud Internet Services (CIS) envía alertas. Pulse
- Pulse Siguiente.
- Seleccione qué dominios supervisa la política de alerta.
- Seleccione qué servicios supervisa la política de alerta.
- Pulse Crear.
Editar una política de alertas en la consola
Para editar una política de alerta:
- Haga clic en el menú Acciones de la alerta en la sección Alertas y seleccione Editar.
- Realice los cambios que desee en el nombre y la descripción, añada o elimine direcciones de correo electrónico y añada, elimine o edite webhooks.
- Pulse Editar para guardar los cambios.
Eliminación de una política de alertas en la consola
Para suprimir una política de alerta:
- Haga clic en el menú Acciones de la alerta en la sección Alertas y seleccione Eliminar.
- Pulse Suprimir en el mensaje de confirmación.
Sólo puede suprimir las alertas que ha creado.
Configuración de políticas de alerta desde la CLI
Configure las políticas de alerta desde la CLI.
Listado de todas las políticas de alerta desde la CLI
Para listar todas las políticas de alerta desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy list [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Obtención de los detalles de una política de alertas desde la CLI
Para obtener los detalles de una política de alertas desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy get POLICY_ID [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- POLICY_ID es el ID de la política de alerta.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Creación de una alerta de ataque DDoS desde la CLI
Para crear una política de alerta de ataque DDoS desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy ddos-attack-l7-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. -
- el valor -enabled determina si la política de alertas está activada.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Creación de una alerta de conmutación de grupo desde la CLI
Para crear una alerta de cambio de pool desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy pool-toggle-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --pools POOLS --trigger-condition (enabled | disabled | either) [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. -
- el valor -enabled determina si la política de alertas está activada.
- --pools value es el ID de la agrupación de origen. Si se establece en todos, se utilizan todos los ID de agrupación.
- --trigger-condition value es la condición de estado de conmutador de agrupación.
- --include-future-pools value determina si se deben incluir las agrupaciones futuras.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Creación de una alerta de seguridad desde la CLI
Para crear una alerta de seguridad desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy firewall-events-alert-create --name NAME (--emails EMAILS | --webhooks WEBHOOKS) --enabled (true | false) --domains DOMAINS [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. - --domains value son los ID de dominio para la política de alerta. Por ejemplo,
--domains domainID1,domainID2
. - --services value especifica qué servicios supervisa la alerta (para alertas de seguridad avanzadas). Servicios válidos:
country-access-rules
,waf
,firewall-rules
,ratelimit
,securitylevel
,ip-access-rules
,browser-integrity-check
,ua-rules
,lockdowns
,iprange-access-rules
,asn-access-rules
,managed-firewall
,hotlink
,ssl-validation
. (Solo plan de Empresa.) -
- el valor -enabled determina si la política de alertas está activada.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Las alertas de seguridad y las alertas de seguridad avanzadas utilizan el mismo mandato. Cuando cree un comando de alerta de eventos de seguridad avanzados en la CLI, especifique los servicios para la alerta. Si no especifica los servicios para la alerta, el tiempo medio de detección cambia de 5 minutos a 2 horas.
Actualización de una política de alerta de ataque DDoS desde la CLI
Para actualizar una política de alerta de ataque DDoS desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy ddos-attack-l7-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- POLICY_ID es el ID de la política de alerta.
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. -
- el valor -enabled determina si la política de alertas está activada.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Actualización de una política de alertas de conmutación de grupos desde la CLI
Para actualizar una política de alerta de conmutación de grupo desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy pool-toggle-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--pools POOLS] [--trigger-condition (enabled | disabled | either)] [--include-future-pools (true | false)] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. -
- el valor -enabled determina si la política de alertas está activada.
- --pools value es el ID de la agrupación de origen. Si se establece en todos, se utilizan todos los ID de agrupación.
- --trigger-condition value es la condición de estado de conmutador de agrupación.
- --include-future-pools value determina si se deben incluir las agrupaciones futuras.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Actualización de una política de alertas de seguridad desde la CLI
Para actualizar una política de alertas de seguridad desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy firewall-events-alert-update POLICY_ID [--name NAME] [--emails EMAILS] [--webhooks WEBHOOKS] [--enabled (true | false)] [--domains DOMAINS] [--services SERVICES] [--description DESCRIPTION] [-i, --instance INSTANCE] [--output FORMAT]
Donde:
- --name value es el nombre de la política de alerta.
- --description value es la descripción de la política de alerta.
- --emails value son las direcciones de correo electrónico a las que enviar una notificación de alerta. Por ejemplo,
--emails test1@cn.ibm.com,test2@cn.ibm.com
. - --webhooks value son los ID de webhook a los que enviar una notificación de alerta. Por ejemplo,
--webhooks webhookID1,webhookID2
. - --domains value son los ID de dominio para la política de alerta. Por ejemplo,
--domains domainID1,domainID2
. - --services value especifica qué servicios supervisa la alerta (sólo el plan Enterprise). Servicios válidos:
country-access-rules
,waf
,firewall-rules
,ratelimit
,securitylevel
,ip-access-rules
,browser-integrity-check
,ua-rules
,lockdowns
,iprange-access-rules
,asn-access-rules
,managed-firewall
,hotlink
,ssl-validation
. -
- el valor -enabled determina si la política de alertas está activada.
- -i, --instance value es el nombre o ID de la instancia.
- --output value especifica el formato de salida; sólo se da soporte a JSON.
Eliminación de una política de alertas desde la CLI
Para eliminar una política de alertas desde la CLI, ejecute el siguiente comando:
ibmcloud cis alert-policy delete POLICY_ID [-i, --instance INSTANCE] [-f, --force]
Donde:
- POLICY_ID es el ID de la política de alerta.
- -f, --force intenta suprimir la política de alerta sin solicitar confirmación.
- -i, --instance value es el nombre o ID de la instancia.
Creación de una política de alerta con la API
Para crear una alerta de correo electrónico, realice los pasos siguientes:
- Inicie sesión en la cuenta de IBM Cloud.
- Obtenga una señal.
- Utilizando esa señal, ejecute uno de los mandatos siguientes:
- Capa 7 de ataque DDoS
- Alerta de conmutación de agrupación
- Alerta de seguridad (WAF)
- Alerta de seguridad avanzada (WAF)
Mandatos de alerta
Mandato DDoS de capa 7 de ataque
curl -X POST \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
-H 'content-type: application/json' \
-H 'x-auth-user-token: Bearer xxxxxx' \
-d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'
Donde:
-
- d es la matriz de atributos necesarios para crear la alerta.
- name es el nombre de la alerta.
- enabled es el estado de la alerta (uno de
true
,false
). - alert_type es el tipo de alerta (uno de
dos_attack_l7
,load_balancing_pool_enablement_alert
,clickhouse_alert_fw_anomaly
,clickhouse_alert_fw_ent_anomaly
,dedicated_ssl_certificate_event_type
,universal_ssl_event_type
,load_balancing_health_alert
oweb_analytics_metrics_update
). - Los mecanismos son al menos uno de
email
,webhooks
. - description (opcional) es la descripción de la alerta.
Mandato de alerta de conmutar agrupación
curl -X POST \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
-H 'content-type: application/json' \
-H 'x-auth-user-token: Bearer xxxxxx' \
-d '{"name":"Example Policy","enabled":true,"alert_type":"load_balancing_pool_enablement_alert","mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]},
“filters”: {
“enabled”: [
“false”,
“true”
],
“pool_id”: [
“6e67c08e3bae7eb398101d08def8a68a”,
“df2d9d70fcb194ea60d2e58397cb35a6”
]
},
"conditions": {
}}'
Donde:
-
- d es la matriz de atributos necesarios para crear la alerta.
- name es el nombre de la alerta.
- enabled es el estado de la alerta (uno de
true
,false
). - alert_type es el tipo de alerta (uno de
dos_attack_l7
,load_balancing_pool_enablement_alert
,clickhouse_alert_fw_anomaly
,clickhouse_alert_fw_ent_anomaly
,dedicated_ssl_certificate_event_type
,universal_ssl_event_type
oload_balancing_health_alert
). - Los mecanismos son al menos uno de
email
,webhooks
. - description (opcional) es la descripción de la alerta.
- filter es la lista de todos los estados de habilitación e ID de agrupación para la alerta de conmutación de agrupación.
- conditions describe para todas las agrupaciones si la agrupación está habilitada, inhabilitada o ambas cosas. El contenido se genera automáticamente si el campo está vacío.
Mandato de alerta de seguridad (WAF)
Para configurar una alerta WAF, utilice el mandato siguiente:
curl -X POST \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
-H 'Content-Type: application/json' \
-H 'X-Auth-User-Token: Bearer xxxxxx' \
-d '{
"name": "WAF Alerter",
"description": "Send an email on spike in firewall events for any service",
"enabled": true,
"alert_type": "clickhouse_alert_fw_anomaly",
"mechanisms": {
"email": [
{
"id": "sreteam@techcompany.com"
}
]
},
"filters": {
"zones": [
"123456ab7d8e9f0g12h2j34l5mn6op78"
]
}
}'
Donde:
-
- d es la matriz de atributos necesarios para crear la alerta.
- name es el nombre de la alerta.
- description (opcional) es la descripción de la alerta.
- enabled es el estado de la alerta (uno de
true
,false
). - alert_type es el tipo de alerta (uno de
dos_attack_l7
,load_balancing_pool_enablement_alert
,clickhouse_alert_fw_anomaly
,clickhouse_alert_fw_ent_anomaly
,dedicated_ssl_certificate_event_type
,universal_ssl_event_type
oload_balancing_health_alert
). - Los mecanismos son al menos uno de
email
,webhooks
. - los filtros son la lista de todas las zonas para la alerta WAF.
Mandato de alerta de seguridad avanzada (WAF)
Para configurar una alerta de Advanced WAF, utilice el mandato siguiente:
curl -X POST \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies \
-H 'Content-Type: application/json' \
-H 'X-Auth-User-Token: Bearer xxxxxx' \
-d '{
"name": "WAF Alerter",
"description": "Send an email on spike in firewall events for WAF or browser integrity check",
"enabled": true,
"alert_type": "clickhouse_alert_fw_ent_anomaly",
"mechanisms": {
"email": [
{
"id": "sreteam@techcompany.com"
}
]
},
"filters": {
"services": [
"waf",
"bic"
],
"zones": [
"123456ab7d8e9f0g12h2j34l5mn6op78"
]
}
}'
Donde:
-
- d es la matriz de atributos necesarios para crear la alerta.
- name es el nombre de la alerta.
- description (opcional) es la descripción de la alerta.
- enabled es el estado de la alerta (uno de
true
,false
). - alert_type es el tipo de alerta (uno de
dos_attack_l7
,load_balancing_pool_enablement_alert
,clickhouse_alert_fw_anomaly
,clickhouse_alert_fw_ent_anomaly
,dedicated_ssl_certificate_event_type
,universal_ssl_event_type
oload_balancing_health_alert
). - Los mecanismos son al menos uno de
email
,webhooks
. - los filtros son la lista de todos los servicios que deben supervisarse en busca de eventos de seguridad y zonas para la alerta de WAF avanzado.
Puede supervisar los siguientes servicios:
Servicios | Valor de registro |
---|---|
Reglas de acceso IP de país | country |
WAF | waf |
Reglas de cortafuegos | firewallrules |
Limitación de velocidad | ratelimit |
Nivel de seguridad | securitylevel |
Reglas de acceso IP | ip |
Validación | validation |
Comprobación de integridad de navegador | bic |
Protección de enlaces dinámicos | hot |
Bloqueo de agente de usuario | uablock |
Bloqueo de zonas | zonelockdown |
Reglas de acceso de rango IP | iprange |
Reglas de acceso IP de ASN | asn |
Cortafuegos personalizado | firewallCustom |
Cortafuegos gestionado | firewallManaged |
Prevención de pérdida de datos | dlp |
Edición de políticas de alerta con la API
Para editar una alerta de correo electrónico, ejecute el mandato siguiente:
curl -X PUT \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
-H 'content-type: application/json' \
-H 'x-auth-user-token: Bearer xxxxxx' \
-d '{"name":"Example Policy","enabled":true,"alert_type":"dos_attack_l7","conditions":{},"mechanisms":{"email":[{"id":"cistestemail@ibm.com"}],"webhooks":[]}}'
El campo conditions es necesario, aunque puede estar vacío.
Eliminación de políticas de alerta con la API
Para suprimir una alerta de correo electrónico, ejecute el mandato siguiente:
curl -X DELETE \
https://api.cis.cloud.ibm.com/v1/:crn/alerting/policies/:policy_id \
-H 'content-type: application/json' \
-H 'accept: application/json' \
-H 'x-auth-user-token: Bearer xxxxxx'