Saltar al contenido

Agente de Alerta de Seguridad de Jitterbit

Descripción General

El Agente de Alerta de Seguridad de Jitterbit (Agente de Alerta de Seguridad) es un agente de IA proporcionado a través de Jitterbit Marketplace que está diseñado para reducir el volumen de alertas de seguridad redundantes, acelerar la respuesta a amenazas y mejorar la calidad de las decisiones en la pila de seguridad de su organización. Este agente actúa como un plano de control de seguridad asistido: recibe eventos de seguridad de Wazuh y Tenable a través de webhooks de API, utiliza IA para analizar y clasificar cada evento, y entrega notificaciones estructuradas a través de Slack y correo electrónico.

Cuando se detecta un evento de seguridad, el agente analiza la carga útil entrante, la dirige al manejador apropiado y envía el evento a un LLM para su análisis. El LLM normaliza la severidad, enmascara datos sensibles, clasifica el evento como un informe de incidente, alerta o resumen, y produce contenido de notificación formateado. Luego, el agente verifica Jitterbit Cloud Datastore para deduplicar eventos antes de publicar una notificación en Slack y enviar una alerta por correo electrónico a los destinatarios configurados. Un flujo de trabajo programado elimina automáticamente los registros de Cloud Datastore que tienen más de siete días para mantener un estado limpio.

El agente realiza las siguientes tareas:

  • Recibe cargas útiles de eventos de seguridad de Wazuh y Tenable a través de puntos finales de webhook de API.
  • Dirige eventos al manejador apropiado según el sistema de origen.
  • Utiliza IA para normalizar la severidad del evento, enmascarar datos sensibles y clasificar eventos como informes de incidentes, alertas o resúmenes.
  • Deduplica eventos utilizando Cloud Datastore para reducir las notificaciones repetidas para el mismo evento.
  • Envía alertas de seguridad estructuradas a través de Slack y correo electrónico.
  • Elimina automáticamente los registros de Cloud Datastore que tienen más de siete días.

Este documento explica cómo configurar y operar este agente de IA. Cubre arquitectura, requisitos previos y pasos para instalar, configurar y operar el agente de IA.

Arquitectura del agente de IA

Este agente de IA opera como un procesador de eventos de seguridad sin cabeza, activado por plataformas externas de monitoreo de seguridad. Un evento de seguridad típico se maneja de la siguiente manera:

  1. Un evento de seguridad en Wazuh o Tenable activa una solicitud POST al servicio API personalizado de Jitterbit del agente (/wazuh o /tenable).
  2. La operación API Request Handler analiza la fuente del evento del parámetro de consulta eventresource de la solicitud, y una operación Event Trigger dirige la solicitud al manejador de eventos de Wazuh o Tenable.
  3. La operación AI Manager coordina con el flujo de trabajo Main - AI Agent Logic para preparar la carga útil del evento y enviarla a un LLM.
  4. El LLM analiza el evento, normaliza su gravedad (Baja, Media, Alta o Crítica), aplica enmascaramiento de datos sensibles, clasifica el tipo de evento y devuelve una respuesta estructurada que contiene contenido formateado tanto para la notificación de Slack como para la alerta por correo electrónico.
  5. El Main Workflow verifica Cloud Datastore para determinar si este evento ya ha sido registrado.
  6. Si el evento es nuevo, se inserta un registro en Cloud Datastore. Si el evento ya existe, se incrementa su conteo de deduplicación.
  7. Se envía una notificación de Slack y una alerta por correo electrónico a los destinatarios configurados.
  8. En un horario diario, un flujo de trabajo de limpieza elimina los registros de Cloud Datastore que tienen más de siete días.

Diagrama de flujo de trabajo

El siguiente diagrama muestra el flujo de trabajo principal de manejo de solicitudes para el Agente de Alerta de Seguridad.

--- config: flowchart: padding: 20 nodeSpacing: 80 --- flowchart LR classDef default fill:white, stroke:black, stroke-width:3px, rx:15px, ry:15px WAZUH[Wazuh] TENABLE[Tenable] JSP@{ shape: hex, label: "
Security Alert
Agent" } LLM[fas:fa-brain
LLM] CDS@{ shape: hex, label: "fas:fa-database
Cloud Datastore" } SLACK[fab:fa-slack
Slack] EMAIL[fas:fa-envelope
Email] SCHED@{ shape: delay, label: "Operation schedule
(daily)" } WAZUH -->|1. Security event| JSP TENABLE -->|1. Security event| JSP JSP <-->|2. Analyze event| LLM JSP <-->|3. Deduplicate event| CDS JSP -->|4. Post notification| SLACK JSP -->|5. Send alert| EMAIL SCHED -->|6. Cleanup trigger| JSP

Requisitos previos

Necesitas los siguientes componentes para usar este agente de IA.

Componentes de Harmony

Debes tener una licencia de Jitterbit Harmony con acceso a los siguientes componentes:

Puntos finales compatibles

El agente de IA se conecta a los siguientes puntos finales. Puedes acomodar otros sistemas modificando las configuraciones de los puntos finales y los flujos de trabajo del proyecto.

Modelo de lenguaje grande (LLM)

El agente de IA utiliza OpenAI como proveedor de LLM para el análisis de eventos de seguridad y la generación de notificaciones. Para usar OpenAI, debes tener una cuenta de OpenAI con una clave API.

Consejo

Para seleccionar niveles de precios según tus requisitos específicos y el uso anticipado, consulta precios de OpenAI.

Fuentes de eventos de seguridad

El agente acepta cargas útiles de eventos de seguridad a través de POST desde las siguientes plataformas:

  • Wazuh: El agente expone un punto final API /wazuh. Wazuh debe configurarse para enviar eventos de seguridad a la URL del servicio de este punto final.
  • Tenable: El agente expone un punto final API /tenable. Tenable debe configurarse para enviar eventos de seguridad a la URL del servicio de este punto final.

Ambas API se crean en Crear las API personalizadas de Jitterbit.

Slack

El agente entrega notificaciones de seguridad a un canal de Slack. Debes tener un espacio de trabajo de Slack y un bot de Slack con un Token OAuth de Usuario Bot válido.

Correo electrónico

El agente entrega alertas de seguridad por correo electrónico utilizando SMTP. Debes tener acceso a un servidor SMTP y credenciales válidas para la cuenta utilizada para enviar notificaciones.

Almacenamiento en la nube

El agente utiliza Jitterbit Cloud Datastore para mantener el estado de deduplicación de eventos y almacenar cargas útiles de respuesta para referencia futura. Cloud Datastore es parte de la plataforma Jitterbit Harmony y no requiere una cuenta de servicio separada.

Instalación, configuración y operación

Sigue estos pasos para instalar, configurar y operar este agente de IA:

  1. Descargar e instalar el proyecto
  2. Obtener credenciales de OpenAI
  3. Preparar Cloud Datastore
  4. Configurar el bot de Slack
  5. Configurar variables del proyecto
  6. Probar conexiones
  7. Desplegar el proyecto
  8. Crear las API personalizadas de Jitterbit
  9. Revisar flujos de trabajo del proyecto
  10. Activar los flujos de trabajo del proyecto

Para obtener orientación sobre la resolución de problemas, consulte Resolución de problemas.

Descargar e instalar el proyecto

Siga estos pasos para instalar el proyecto de Studio para el agente de IA:

  1. Inicie sesión en el portal de Harmony en https://login.jitterbit.com y abra Marketplace.

  2. Localice el agente de IA llamado Jitterbit Security Alert Agent. Para localizar el agente, utilice la barra de búsqueda o, en el panel de Filtros bajo Tipo, seleccione Agente de IA para limitar la visualización a los agentes de IA.

  3. Haga clic en el enlace de Documentación del agente para abrir su documentación en una pestaña separada. Mantenga la pestaña abierta para consultarla después de iniciar el proyecto.

  4. Haga clic en Iniciar Proyecto para abrir un cuadro de diálogo de configuración.

    Nota

    Si aún no ha comprado el agente de IA, se mostrará Obtener agente en su lugar. Haga clic en él para abrir un cuadro de diálogo informativo, luego haga clic en Enviar para que un representante se comunique con usted sobre la compra del agente de IA.

  5. En el cuadro de diálogo Crear un Nuevo Proyecto, seleccione un entorno donde se creará el proyecto de Studio, luego haga clic en Crear Proyecto.

  6. Después de que el cuadro de diálogo de progreso indique que el proyecto ha sido creado, utilice el enlace del cuadro de diálogo Ir a Studio o abra el proyecto directamente desde la página de Proyectos de Studio.

Obtener credenciales de OpenAI

Para utilizar OpenAI como proveedor de LLM, debe tener una cuenta de OpenAI con una clave API activa:

  1. Inicie sesión en OpenAI y navegue a Claves API.
  2. Cree una nueva clave API y conservela para su uso en las variables del proyecto de OpenAI.
  3. Anote la URL base para la API de OpenAI (típicamente https://api.openai.com/v1) y el modelo que pretende utilizar para el análisis de eventos de seguridad (por ejemplo, gpt-4o).

Preparar Cloud Datastore

Crear un almacenamiento de claves en Jitterbit Cloud Datastore llamado AI Security con los siguientes campos personalizados:

Nombre del campo Tipo Requerido
count Texto No
message Texto Grande No

Los campos Key, AlternativeKey y Value están presentes por defecto y no necesitan ser añadidos.

Retén el token de acceso de Cloud Datastore para usar en las variables del proyecto de Cloud Datastore.

Configurar el bot de Slack

Sigue estos pasos para configurar Slack para notificaciones de seguridad:

  1. En tu espacio de trabajo de Slack, crea o identifica una aplicación de Slack para usar en el envío de notificaciones. Para crear una nueva aplicación, consulta la documentación de la API de Slack.

  2. Asegúrate de que la aplicación tenga el alcance OAuth chat:write para enviar mensajes a los canales.

  3. Instala la aplicación en tu espacio de trabajo.

  4. Obtén el token del bot y reténlo para la variable del proyecto slack.oauth.access.token.

  5. Identifica o crea el canal de Slack donde se deben publicar las notificaciones de seguridad y anota el nombre del canal.

Configurar variables del proyecto

En el proyecto de Studio instalado desde Marketplace, establece valores para las siguientes variables del proyecto.

Para configurar las variables del proyecto, utiliza el menú de acciones del proyecto y selecciona Variables del Proyecto para abrir el panel de configuración.

OpenAI

Nombre de la variable Descripción
openai.apiKey Clave API para autenticarte con el servicio de OpenAI.
openai.base.url URL base para la API de OpenAI (por ejemplo, https://api.openai.com/v1).
gpt.model El modelo de OpenAI a utilizar para el análisis de eventos de seguridad (por ejemplo, gpt-5).

Slack

Nombre de la variable Descripción
slack.channel.name El nombre del canal de Slack donde se publican las notificaciones de seguridad.
slack.oauth.access.token El Token OAuth de Usuario Bot para la aplicación de Slack utilizada para enviar notificaciones.

Correo electrónico

Nombre de variable Descripción
email.to Dirección de correo electrónico del destinatario para las notificaciones de alerta de seguridad.
email.from Dirección de correo electrónico del remitente utilizada en las notificaciones de seguridad salientes.
email.smtp.host Nombre del servidor SMTP utilizado para enviar notificaciones (por ejemplo, smtp.gmail.com).
email.smtp.username Nombre de usuario para la cuenta SMTP utilizada para enviar notificaciones.
email.smtp.password Contraseña para la cuenta SMTP utilizada para enviar notificaciones.

Almacenamiento en la nube

Nombre de variable Descripción
cloud.datastore.access.token Token de acceso para Jitterbit Cloud Datastore, utilizado para la deduplicación de eventos y el almacenamiento de cargas útiles.

Probar conexiones

Probar las configuraciones de los puntos finales para verificar la conectividad utilizando los valores de variables del proyecto definidos.

Para probar conexiones, ve a la pestaña Puntos finales y conectores del proyecto en la paleta de componentes de diseño, pasa el cursor sobre cada punto final y haz clic en Probar.

Desplegar el proyecto

Desplegar el proyecto de Studio.

Para desplegar el proyecto, utiliza el menú de acciones del proyecto y selecciona Desplegar.

Crear las API personalizadas de Jitterbit

Crear dos API personalizadas utilizando el Administrador de API para exponer los puntos de entrada de manejo de eventos del agente a Wazuh y Tenable. Ambas API activan la misma operación API Request Handler; el parámetro de consulta eventresource en cada solicitud determina qué manejador de la plataforma de seguridad se ejecuta.

API personalizada de Wazuh

Configura y publica una API personalizada para Wazuh con los siguientes parámetros:

Configuración Valor
Ruta /wazuh
Operación Manejador de Solicitudes API
Method POST
Tipo de respuesta Variable del Sistema

Después de publicar, conserva la URL del servicio. Configura Wazuh para enviar eventos de seguridad a esta URL mediante el método POST, incluyendo el parámetro de consulta eventresource=wazuh.

API personalizada de Tenable

Configura y publica una API personalizada para Tenable con los siguientes parámetros:

Configuración Valor
Ruta /tenable
Operación Manejador de Solicitudes API
Method POST
Tipo de respuesta Variable del Sistema

Después de publicar, conserva la URL del servicio. Configura Tenable para enviar eventos de seguridad a esta URL mediante el método POST, incluyendo el parámetro de consulta eventresource=tenable.

Revisar flujos de trabajo del proyecto

El proyecto de Studio contiene cuatro flujos de trabajo que implementan la funcionalidad del Agente de Alertas de Seguridad, organizados en dos grupos funcionales.

Procesamiento de eventos

Flujo de trabajo Descripción
Flujo de Trabajo de Entrada Principal - Solicitud API Recibe solicitudes API entrantes de Wazuh y Tenable y las dirige al manejador de eventos apropiado.
Principal - Lógica del Agente de IA Orquesta la interacción con LLM para el análisis de eventos de seguridad.
Flujo de Trabajo Principal Procesa los eventos de seguridad dirigidos, realiza deduplicación y envía notificaciones.

Mantenimiento

Flujo de trabajo Descripción
Eliminar clave de 7 días o más Elimina registros de Cloud Datastore que tengan más de siete días.
Flujo de trabajo de entrada principal - Solicitud de API

Este flujo de trabajo maneja todas las solicitudes de API entrantes de plataformas de seguridad externas. La operación Manejador de Solicitudes de API analiza la carga útil del evento y extrae la fuente del evento del parámetro de consulta eventresource de la solicitud. Luego, una operación Disparador de Eventos dirige la ejecución al manejador apropiado: los eventos de Wazuh se envían a Ejecución de Eventos de Wazuh y los eventos de Tenable se envían a Ejecución de Eventos de Tenable. La operación Administrador de IA coordina las llamadas subsiguientes al flujo de trabajo Principal - Lógica del Agente de IA.

Principal - Lógica del Agente de IA

Este flujo de trabajo gestiona el ciclo de vida completo de la interacción con el LLM para un evento de seguridad. La operación Controlador de Lógica de IA delega al script Controlador de solicitud de OpenAI, que construye un aviso de sistema estructurado y un aviso de usuario que instruyen al LLM sobre la normalización de severidad, enmascaramiento de datos sensibles y requisitos de formato de salida. Preparar Carga Útil de OpenAI y Enviar Carga Útil de OpenAI preparan y envían la solicitud. Analizar Respuesta de OpenAI extrae la salida JSON estructurada del LLM, y Analizar Respuesta de IA procesa el resultado en el contenido final utilizado tanto para la notificación de Slack como para la alerta por correo electrónico.

Flujo de trabajo principal

Este flujo de trabajo procesa un evento de seguridad después de que ha sido analizado por el LLM. La operación Verificar si el EventID existe en Cloud Datastore consulta Cloud Datastore para buscar el ID de evento actual. La operación EventID Existe evalúa el resultado utilizando el paso Decisión EventID Existe: si se encuentra el ID de evento (Y), Actualizar EventID incrementa el conteo de deduplicación a través de Actualizar Conteo de EventID en Cloud Datastore; si no se encuentra (N), Insertar EventID agrega un nuevo registro a través de Insertar EventID en Cloud Datastore. Después de la deduplicación, Publicar Respuesta en Slack envía la notificación formateada de Slack y Publicar Notificación por Correo Electrónico envía la alerta por correo electrónico.

Eliminar clave de 7 días o más antigua

Este flujo de trabajo se ejecuta en un horario diario para mantener la higiene de Cloud Datastore. La operación Eliminar clave de 7 días o más antigua utiliza el script Eliminar clave para calcular la fecha siete días antes y itera a través de las claves de Cloud Datastore página por página mediante la operación Consultar todas las claves. La operación Analizar respuesta de clave identifica los registros que tienen más de siete días, y el script Eliminar clave los elimina.

Activar los flujos de trabajo del proyecto

El Agente de Alerta de Seguridad es impulsado por eventos. Los flujos de trabajo principales de procesamiento de eventos se activan automáticamente cuando Wazuh o Tenable envían eventos de seguridad a las API personalizadas de Jitterbit creadas en Crear las API personalizadas de Jitterbit.

Nota

El horario de operación no se incluye en la exportación del proyecto y debe configurarse manualmente en Studio después de la implementación. La operación Eliminar clave de 7 días o más antigua debe programarse para ejecutarse una vez al día.

Todos los demás flujos de trabajo son activados por operaciones ascendentes y no están destinados a ejecutarse de forma independiente.

Solución de problemas

Si encuentras problemas, revisa los siguientes registros para obtener información detallada sobre la solución de problemas:

Para asistencia adicional, contacta a soporte de Jitterbit.