Zum Inhalt springen

Jitterbit Sicherheitswarnungsagent

Übersicht

Der Jitterbit Sicherheitswarnungsagent (Security Alert Agent) ist ein KI-Agent, der über den Jitterbit Marketplace bereitgestellt wird und darauf ausgelegt ist, das Volumen redundanter Sicherheitswarnungen zu reduzieren, die Bedrohungsreaktion zu beschleunigen und die Entscheidungsqualität im Sicherheitsbereich Ihrer Organisation zu verbessern. Dieser Agent fungiert als unterstützende Sicherheitskontrollplattform: Er empfängt Sicherheitsereignisse von Wazuh und Tenable über API-Webhooks, nutzt KI zur Analyse und Klassifizierung jedes Ereignisses und liefert strukturierte Benachrichtigungen über Slack und E-Mail.

Wenn ein Sicherheitsereignis erkannt wird, analysiert der Agent die eingehende Nutzlast, leitet sie an den entsprechenden Handler weiter und sendet das Ereignis zur Analyse an ein LLM. Das LLM normalisiert die Schwere, maskiert sensible Daten, klassifiziert das Ereignis als Vorfallbericht, Warnung oder Zusammenfassung und erstellt formatierte Benachrichtigungsinhalte. Der Agent überprüft dann den Jitterbit Cloud Datastore, um Ereignisse zu deduplizieren, bevor er eine Slack-Benachrichtigung postet und eine E-Mail-Warnung an konfigurierte Empfänger sendet. Ein geplanter Workflow entfernt automatisch Cloud Datastore-Datensätze, die älter als sieben Tage sind, um einen sauberen Zustand aufrechtzuerhalten.

Der Agent führt die folgenden Aufgaben aus:

  • Empfängt Sicherheitsereignis-Nutzlasten von Wazuh und Tenable über API-Webhook-Endpunkte.
  • Leitet Ereignisse basierend auf dem Quellsystem an den entsprechenden Handler weiter.
  • Nutzt KI, um die Ereignisschwere zu normalisieren, sensible Daten zu maskieren und Ereignisse als Vorfallberichte, Warnungen oder Zusammenfassungen zu klassifizieren.
  • Dedupliziert Ereignisse mithilfe des Cloud Datastore, um wiederholte Benachrichtigungen für dasselbe Ereignis zu reduzieren.
  • Sendet strukturierte Sicherheitswarnungen über Slack und E-Mail.
  • Entfernt automatisch Cloud Datastore-Datensätze, die älter als sieben Tage sind.

Dieses Dokument erklärt, wie man diesen KI-Agenten einrichtet und betreibt. Es behandelt die Architektur, Voraussetzungen und Schritte zur Installation, Konfiguration und Betrieb des KI-Agenten.

AI-Agent-Architektur

Dieser KI-Agent fungiert als kopfloser Sicherheitsereignisprozessor, der von externen Sicherheitsüberwachungsplattformen ausgelöst wird. Ein typisches Sicherheitsereignis wird wie folgt behandelt:

  1. Ein Sicherheitsereignis in Wazuh oder Tenable löst eine POST-Anfrage an den benutzerdefinierten Jitterbit-API-Dienst des Agents (/wazuh oder /tenable) aus.
  2. Der API Request Handler-Vorgang analysiert die Ereignisquelle aus dem eventresource-Abfrageparameter der Anfrage, und ein Event Trigger-Vorgang leitet die Anfrage entweder an den Wazuh- oder Tenable-Ereignishandler weiter.
  3. Der AI Manager-Vorgang koordiniert mit dem Main - AI Agent Logic-Workflow, um die Ereignislast vorzubereiten und an ein LLM zu senden.
  4. Das LLM analysiert das Ereignis, normalisiert dessen Schweregrad (Niedrig, Mittel, Hoch oder Kritisch), wendet eine Maskierung sensibler Daten an, klassifiziert den Ereignistyp und gibt eine strukturierte Antwort mit formatiertem Inhalt für sowohl die Slack-Benachrichtigung als auch den E-Mail-Alarm zurück.
  5. Der Main Workflow überprüft Cloud Datastore, um festzustellen, ob dieses Ereignis bereits aufgezeichnet wurde.
  6. Wenn das Ereignis neu ist, wird ein Datensatz in Cloud Datastore eingefügt. Wenn das Ereignis bereits existiert, wird dessen Duplikationsanzahl erhöht.
  7. Eine Slack-Benachrichtigung und ein E-Mail-Alarm werden an konfigurierte Empfänger gesendet.
  8. In einem täglichen Zeitplan entfernt ein Bereinigungs-Workflow Cloud Datastore-Datensätze, die älter als sieben Tage sind.

Workflow-Diagramm

Das folgende Diagramm zeigt den Haupt-Request-Handling-Workflow für den Sicherheitsalarm-Agenten.

--- config: flowchart: padding: 20 nodeSpacing: 80 --- flowchart LR classDef default fill:white, stroke:black, stroke-width:3px, rx:15px, ry:15px WAZUH[Wazuh] TENABLE[Tenable] JSP@{ shape: hex, label: "
Security Alert
Agent" } LLM[fas:fa-brain
LLM] CDS@{ shape: hex, label: "fas:fa-database
Cloud Datastore" } SLACK[fab:fa-slack
Slack] EMAIL[fas:fa-envelope
Email] SCHED@{ shape: delay, label: "Operation schedule
(daily)" } WAZUH -->|1. Security event| JSP TENABLE -->|1. Security event| JSP JSP <-->|2. Analyze event| LLM JSP <-->|3. Deduplicate event| CDS JSP -->|4. Post notification| SLACK JSP -->|5. Send alert| EMAIL SCHED -->|6. Cleanup trigger| JSP

Voraussetzungen

Sie benötigen die folgenden Komponenten, um diesen KI-Agenten zu verwenden.

Harmony-Komponenten

Sie müssen über eine Jitterbit Harmony-Lizenz mit Zugriff auf die folgenden Komponenten verfügen:

Unterstützte Endpunkte

Der KI-Agent verbindet sich mit den folgenden Endpunkten. Sie können andere Systeme integrieren, indem Sie die Endpunktkonfigurationen und Workflows des Projekts anpassen.

Großes Sprachmodell (LLM)

Der KI-Agent verwendet OpenAI als LLM-Anbieter für die Analyse von Sicherheitsereignissen und die Generierung von Benachrichtigungen. Um OpenAI zu nutzen, müssen Sie ein OpenAI-Konto mit einem API-Schlüssel haben.

Tipp

Um Preiskategorien basierend auf Ihren spezifischen Anforderungen und der erwarteten Nutzung auszuwählen, siehe OpenAI-Preise.

Sicherheitsereignisquellen

Der Agent akzeptiert Sicherheitsereignis-Payloads über POST von den folgenden Plattformen:

  • Wazuh: Der Agent stellt einen /wazuh API-Endpunkt zur Verfügung. Wazuh muss so konfiguriert werden, dass Sicherheitsereignisse an die Dienst-URL dieses Endpunkts gesendet werden.
  • Tenable: Der Agent stellt einen /tenable API-Endpunkt zur Verfügung. Tenable muss so konfiguriert werden, dass Sicherheitsereignisse an die Dienst-URL dieses Endpunkts gesendet werden.

Beide APIs werden in Erstellen der Jitterbit benutzerdefinierten APIs erstellt.

Slack

Der Agent liefert Sicherheitsbenachrichtigungen an einen Slack-Kanal. Sie müssen über einen Slack-Arbeitsbereich und einen Slack-Bot mit einem gültigen Bot User OAuth Token verfügen.

E-Mail

Der Agent liefert Sicherheitswarnungen per E-Mail über SMTP. Sie müssen Zugriff auf einen SMTP-Server und gültige Anmeldeinformationen für das Konto haben, das zum Senden von Benachrichtigungen verwendet wird.

Cloud Datastore

Der Agent verwendet Jitterbit Cloud Datastore, um den Status der Ereignis-Deduplizierung aufrechtzuerhalten und Antwort-Payloads für zukünftige Referenzen zu speichern. Cloud Datastore ist Teil der Jitterbit Harmony-Plattform und erfordert kein separates Dienstkonto.

Installation, Konfiguration und Betrieb

Befolgen Sie diese Schritte, um diesen KI-Agenten zu installieren, zu konfigurieren und zu betreiben:

  1. Projekt herunterladen und installieren
  2. OpenAI-Anmeldeinformationen erhalten
  3. Cloud Datastore vorbereiten
  4. Slack-Bot konfigurieren
  5. Projektvariablen konfigurieren
  6. Verbindungen testen
  7. Projekt bereitstellen
  8. Jitterbit benutzerdefinierte APIs erstellen
  9. Projekt-Workflows überprüfen
  10. Projekt-Workflows auslösen

Für Troubleshooting-Anleitungen siehe Fehlerbehebung.

Projekt herunterladen und installieren

Befolge diese Schritte, um das Studio-Projekt für den KI-Agenten zu installieren:

  1. Melde dich im Harmony-Portal unter https://login.jitterbit.com an und öffne Marketplace.

  2. Suche den KI-Agenten mit dem Namen Jitterbit Security Alert Agent. Um den Agenten zu finden, benutze die Suchleiste oder wähle im Bereich Filter unter Typ KI-Agent aus, um die Anzeige auf KI-Agenten zu beschränken.

  3. Klicke auf den Link Dokumentation des Agenten, um dessen Dokumentation in einem separaten Tab zu öffnen. Halte den Tab geöffnet, um später darauf zurückzugreifen.

  4. Klicke auf Projekt starten, um einen Konfigurationsdialog zu öffnen.

    Hinweis

    Wenn du den KI-Agenten noch nicht gekauft hast, wird stattdessen Agent erhalten angezeigt. Klicke darauf, um einen Informationsdialog zu öffnen, und klicke dann auf Absenden, damit ein Vertreter dich bezüglich des Kaufs des KI-Agenten kontaktiert.

  5. Wähle im Dialog Neues Projekt erstellen eine Umgebung aus, in der das Studio-Projekt erstellt werden soll, und klicke dann auf Projekt erstellen.

  6. Nachdem der Fortschrittsdialog anzeigt, dass das Projekt erstellt wurde, benutze den Dialoglink Gehe zu Studio oder öffne das Projekt direkt von der Studio-Seite Projekte aus.

OpenAI-Anmeldeinformationen erhalten

Um OpenAI als LLM-Anbieter zu verwenden, musst du ein OpenAI-Konto mit einem aktiven API-Schlüssel haben:

  1. Melde dich bei OpenAI an und navigiere zu API keys.
  2. Erstelle einen neuen API-Schlüssel und bewahre ihn für die Verwendung in den OpenAI-Projektvariablen auf.
  3. Notiere die Basis-URL für die OpenAI-API (typischerweise https://api.openai.com/v1) und das Modell, das du für die Analyse von Sicherheitsereignissen verwenden möchtest (zum Beispiel gpt-4o).

Cloud-Datenspeicher vorbereiten

Erstelle einen Schlüssel-Speicher im Jitterbit Cloud Datastore mit dem Namen AI Security und den folgenden benutzerdefinierten Feldern:

Feldname Typ Erforderlich
count Text Nein
message Großer Text Nein

Die Felder Key, AlternativeKey und Value sind standardmäßig vorhanden und müssen nicht hinzugefügt werden.

Behalten Sie das Cloud Datastore-Zugriffstoken zur Verwendung in den Cloud Datastore-Projektvariablen.

Konfigurieren Sie den Slack-Bot

Befolgen Sie diese Schritte, um Slack für Sicherheitsbenachrichtigungen zu konfigurieren:

  1. Erstellen oder identifizieren Sie in Ihrem Slack-Arbeitsbereich eine Slack-App, die für das Posten von Benachrichtigungen verwendet werden soll. Um eine neue App zu erstellen, siehe die Slack API-Dokumentation.

  2. Stellen Sie sicher, dass die App den OAuth-Bereich chat:write hat, um Nachrichten an Kanäle zu posten.

  3. Installieren Sie die App in Ihrem Arbeitsbereich.

  4. Erhalten Sie das Bot-Token und behalten Sie es für die Projektvariable slack.oauth.access.token.

  5. Identifizieren oder erstellen Sie den Slack-Kanal, in dem Sicherheitsbenachrichtigungen gepostet werden sollen, und notieren Sie den Kanalnamen.

Projektvariablen konfigurieren

Im Studio-Projekt, das aus dem Marketplace installiert wurde, setzen Sie Werte für die folgenden Projektvariablen.

Um Projektvariablen zu konfigurieren, verwenden Sie das Aktionsmenü des Projekts und wählen Sie Projektvariablen aus, um die Konfigurationsschublade zu öffnen.

OpenAI

Variablenname Beschreibung
openai.apiKey API-Schlüssel zur Authentifizierung beim OpenAI-Dienst.
openai.base.url Basis-URL für die OpenAI-API (zum Beispiel https://api.openai.com/v1).
gpt.model Das OpenAI-Modell, das für die Analyse von Sicherheitsereignissen verwendet werden soll (zum Beispiel gpt-5).

Slack

Variablenname Beschreibung
slack.channel.name Der Name des Slack-Kanals, in dem Sicherheitsbenachrichtigungen gepostet werden.
slack.oauth.access.token Das Bot-Benutzer-OAuth-Token für die Slack-App, die zum Posten von Benachrichtigungen verwendet wird.

E-Mail

Variablenname Beschreibung
email.to E-Mail-Adresse des Empfängers für Sicherheitswarnbenachrichtigungen.
email.from E-Mail-Adresse des Absenders, die in ausgehenden Sicherheitsbenachrichtigungen verwendet wird.
email.smtp.host Hostname des SMTP-Servers, der zum Senden von Benachrichtigungen verwendet wird (zum Beispiel smtp.gmail.com).
email.smtp.username Benutzername für das SMTP-Konto, das zum Senden von Benachrichtigungen verwendet wird.
email.smtp.password Passwort für das SMTP-Konto, das zum Senden von Benachrichtigungen verwendet wird.

Cloud Datastore

Variablenname Beschreibung
cloud.datastore.access.token Zugriffstoken für Jitterbit Cloud Datastore, das für die Ereignis-Deduplizierung und die Speicherung von Payloads verwendet wird.

Verbindungen testen

Teste die Endpunktkonfigurationen, um die Konnektivität mit den definierten Projektvariablenwerten zu überprüfen.

Um Verbindungen zu testen, gehe zum Projektendpunkte und Connectoren-Tab der Design-Komponentenpalette, fahre mit der Maus über jeden Endpunkt und klicke auf Test.

Projekt bereitstellen

Stelle das Studio-Projekt bereit.

Um das Projekt bereitzustellen, verwende das Aktionsmenü des Projekts und wähle Bereitstellen.

Erstelle die benutzerdefinierten Jitterbit-APIs

Erstelle zwei benutzerdefinierte APIs, um die Ereignisverarbeitungsendpunkte des Agents für Wazuh und Tenable verfügbar zu machen. Beide APIs lösen die gleiche API Request Handler-Operation aus; der eventresource-Abfrageparameter in jeder Anfrage bestimmt, welcher Handler der Sicherheitsplattform ausgeführt wird.

Wazuh benutzerdefinierte API

Konfigurieren und veröffentlichen Sie eine benutzerdefinierte API für Wazuh mit den folgenden Parametern:

Einstellung Wert
Pfad /wazuh
Operation API Request Handler
Methode POST
Antworttyp System Variable

Nach der Veröffentlichung behalten Sie die Dienst-URL. Konfigurieren Sie Wazuh, um Sicherheitsereignisse an diese URL zu POSTen, einschließlich des Abfrageparameters eventresource=wazuh.

Tenable benutzerdefinierte API

Konfigurieren und veröffentlichen Sie eine benutzerdefinierte API für Tenable mit den folgenden Parametern:

Einstellung Wert
Pfad /tenable
Operation API Request Handler
Methode POST
Antworttyp System Variable

Nach der Veröffentlichung behalten Sie die Dienst-URL. Konfigurieren Sie Tenable, um Sicherheitsereignisse an diese URL zu POSTen, einschließlich des Abfrageparameters eventresource=tenable.

Überprüfen der Projekt-Workflows

Das Studio-Projekt enthält vier Workflows, die die Funktionalität des Sicherheitswarnagenten implementieren, organisiert in zwei funktionale Gruppen.

Ereignisverarbeitung

Workflow Beschreibung
Haupt-Einstiegs-Workflow - API-Anfrage Empfängt eingehende API-Anfragen von Wazuh und Tenable und leitet sie an den entsprechenden Ereignishandler weiter.
Haupt - KI-Agenten-Logik Orchestriert die Interaktion mit LLM zur Analyse von Sicherheitsereignissen.
Haupt-Workflow Verarbeitet weitergeleitete Sicherheitsereignisse, führt eine Duplikatsprüfung durch und sendet Benachrichtigungen.

Wartung

Workflow Beschreibung
Lösche Schlüssel, die älter als 7 Tage sind Entfernt Cloud Datastore-Datensätze, die älter als sieben Tage sind.
Haupt-Eintrag-Workflow - API-Anfrage

Dieser Workflow verarbeitet alle eingehenden API-Anfragen von externen Sicherheitsplattformen. Der API Request Handler-Vorgang analysiert die Ereignislast und extrahiert die Ereignisquelle aus dem eventresource-Abfrageparameter der Anfrage. Ein Event Trigger-Vorgang leitet die Ausführung dann an den entsprechenden Handler weiter: Wazuh-Ereignisse werden an die Wazuh Event Execution weitergeleitet und Tenable-Ereignisse an die Tenable Event Execution. Der AI Manager-Vorgang koordiniert nachfolgende Aufrufe des Haupt - AI Agent Logic-Workflows.

Haupt - AI Agent Logic

Dieser Workflow verwaltet den gesamten Lebenszyklus der LLM-Interaktion für ein Sicherheitsereignis. Der AI Logic Controller-Vorgang delegiert an das OpenAI prompt controller-Skript, das einen strukturierten System-Prompt und Benutzer-Prompt erstellt, die das LLM zu Normalisierung der Schwere, Maskierung sensibler Daten und Anforderungen an das Ausgabeformat anleiten. Prep OpenAI Payload und Send OpenAI Payload bereiten die Anfrage vor und reichen sie ein. Parse OpenAI Response extrahiert die strukturierte JSON-Ausgabe des LLM, und Parse AI Response verarbeitet das Ergebnis nach, um den endgültigen Inhalt für die Slack-Benachrichtigung und die E-Mail-Benachrichtigung zu verwenden.

Haupt-Workflow

Dieser Workflow verarbeitet ein Sicherheitsereignis, nachdem es vom LLM analysiert wurde. Der Check If EventID Exist in Cloud Datastore-Vorgang fragt Cloud Datastore ab, um die aktuelle Ereignis-ID zu suchen. Der EventID Exists-Vorgang bewertet dann das Ergebnis mit dem Schritt Decision EventID Exists: Wenn die Ereignis-ID gefunden wird (Y), erhöht Update EventID die Duplikationsanzahl über Update EventID Count in Cloud Datastore; wenn sie nicht gefunden wird (N), fügt Insert EventID einen neuen Datensatz über Insert EventID to Cloud Datastore hinzu. Nach der Duplikation sendet Post Response to Slack die formatierte Slack-Benachrichtigung und Post Notification Email sendet die E-Mail-Benachrichtigung.

Löschen von Schlüsseln, die älter als 7 Tage sind

Dieser Workflow läuft nach einem täglichen Zeitplan, um die Hygiene des Cloud Datastore aufrechtzuerhalten. Die Operation Löschen von Schlüsseln, die älter als 7 Tage sind verwendet das Skript Schlüssel löschen, um das Datum von vor sieben Tagen zu berechnen und durch die Schlüssel des Cloud Datastore seitenweise über die Operation Alle Schlüssel abfragen zu iterieren. Die Operation Schlüsselantwort analysieren identifiziert Datensätze, die älter als sieben Tage sind, und das Skript Schlüssel löschen entfernt sie.

Triggern der Projekt-Workflows

Der Sicherheitswarnagent ist ereignisgesteuert. Die Haupt-Workflow-Prozesse zur Ereignisverarbeitung werden automatisch ausgelöst, wenn Wazuh oder Tenable Sicherheitsereignisse an die von Jitterbit erstellten benutzerdefinierten APIs POSTen, die in Erstellen der benutzerdefinierten Jitterbit-APIs beschrieben sind.

Hinweis

Betriebszeitpläne sind nicht im Projektexport enthalten und müssen nach der Bereitstellung manuell im Studio konfiguriert werden. Die Operation Löschen von Schlüsseln, die älter als 7 Tage sind muss so geplant werden, dass sie einmal pro Tag ausgeführt wird.

Alle anderen Workflows werden durch vorgelagerte Operationen ausgelöst und sind nicht dafür gedacht, unabhängig ausgeführt zu werden.

Fehlersuche

Wenn Sie auf Probleme stoßen, überprüfen Sie die folgenden Protokolle für detaillierte Informationen zur Fehlersuche:

Für zusätzliche Unterstützung kontaktieren Sie Jitterbit-Support.