Ir para o conteúdo

Agente de Alerta de Segurança Jitterbit

Visão Geral

O Agente de Alerta de Segurança Jitterbit (Agente de Alerta de Segurança) é um agente de IA fornecido através do Jitterbit Marketplace que foi projetado para reduzir o volume de alertas de segurança redundantes, acelerar a resposta a ameaças e melhorar a qualidade das decisões em toda a pilha de segurança da sua organização. Este agente atua como um plano de controle de segurança assistivo: ele recebe eventos de segurança do Wazuh e do Tenable via webhooks de API, utiliza IA para analisar e classificar cada evento e entrega notificações estruturadas através do Slack e e-mail.

Quando um evento de segurança é detectado, o agente analisa a carga útil recebida, a direciona para o manipulador apropriado e envia o evento para um LLM para análise. O LLM normaliza a severidade, mascara dados sensíveis, classifica o evento como um relatório de incidente, alerta ou resumo, e produz conteúdo de notificação formatado. O agente então verifica o Jitterbit Cloud Datastore para deduplicar eventos antes de postar uma notificação no Slack e enviar um alerta por e-mail para os destinatários configurados. Um fluxo de trabalho agendado remove automaticamente registros do Cloud Datastore com mais de sete dias para manter um estado limpo.

O agente realiza as seguintes tarefas:

  • Recebe cargas úteis de eventos de segurança do Wazuh e do Tenable via endpoints de webhook de API.
  • Direciona eventos para o manipulador apropriado com base no sistema de origem.
  • Utiliza IA para normalizar a severidade dos eventos, mascarar dados sensíveis e classificar eventos como relatórios de incidentes, alertas ou resumos.
  • Deduplica eventos usando o Cloud Datastore para reduzir notificações repetidas para o mesmo evento.
  • Envia alertas de segurança estruturados via Slack e e-mail.
  • Remove automaticamente registros do Cloud Datastore com mais de sete dias.

Este documento explica como configurar e operar este agente de IA. Ele abrange arquitetura, pré-requisitos e etapas para instalar, configurar e operar o agente de IA.

Arquitetura do agente de IA

Este agente de IA opera como um processador de eventos de segurança sem interface, acionado por plataformas externas de monitoramento de segurança. Um evento de segurança típico é tratado da seguinte forma:

  1. Um evento de segurança no Wazuh ou Tenable aciona uma solicitação POST para o serviço de API personalizada do agente Jitterbit (/wazuh ou /tenable).
  2. A operação API Request Handler analisa a fonte do evento a partir do parâmetro de consulta eventresource da solicitação, e uma operação Event Trigger direciona a solicitação para o manipulador de eventos do Wazuh ou Tenable.
  3. A operação AI Manager coordena com o fluxo de trabalho Main - AI Agent Logic para preparar a carga útil do evento e enviá-la a um LLM.
  4. O LLM analisa o evento, normaliza sua severidade (Baixo, Médio, Alto ou Crítico), aplica mascaramento de dados sensíveis, classifica o tipo de evento e retorna uma resposta estruturada contendo conteúdo formatado tanto para a notificação do Slack quanto para o alerta por e-mail.
  5. O Main Workflow verifica o Cloud Datastore para determinar se este evento já foi registrado.
  6. Se o evento for novo, um registro é inserido no Cloud Datastore. Se o evento já existir, sua contagem de deduplicação é incrementada.
  7. Uma notificação do Slack e um alerta por e-mail são enviados para os destinatários configurados.
  8. Em uma programação diária, um fluxo de trabalho de limpeza remove registros do Cloud Datastore com mais de sete dias.

Diagrama do fluxo de trabalho

O diagrama a seguir mostra o fluxo de trabalho principal de manipulação de solicitações para o Agente de Alerta de Segurança.

--- config: flowchart: padding: 20 nodeSpacing: 80 --- flowchart LR classDef default fill:white, stroke:black, stroke-width:3px, rx:15px, ry:15px WAZUH[Wazuh] TENABLE[Tenable] JSP@{ shape: hex, label: "
Security Alert
Agent" } LLM[fas:fa-brain
LLM] CDS@{ shape: hex, label: "fas:fa-database
Cloud Datastore" } SLACK[fab:fa-slack
Slack] EMAIL[fas:fa-envelope
Email] SCHED@{ shape: delay, label: "Operation schedule
(daily)" } WAZUH -->|1. Security event| JSP TENABLE -->|1. Security event| JSP JSP <-->|2. Analyze event| LLM JSP <-->|3. Deduplicate event| CDS JSP -->|4. Post notification| SLACK JSP -->|5. Send alert| EMAIL SCHED -->|6. Cleanup trigger| JSP

Pré-requisitos

Você precisa dos seguintes componentes para usar este agente de IA.

Componentes do Harmony

Você deve ter uma licença do Jitterbit Harmony com acesso aos seguintes componentes:

Endpoints suportados

O agente de IA conecta-se aos seguintes endpoints. É possível acomodar outros sistemas modificando as configurações de endpoint e fluxos de trabalho do projeto.

Modelo de linguagem grande (LLM)

O agente de IA utiliza OpenAI como provedor de LLM para análise de eventos de segurança e geração de notificações. Para usar o OpenAI, é necessário ter uma conta no OpenAI com uma chave de API.

Dica

Para selecionar faixas de preços com base em seus requisitos específicos e uso antecipado, consulte preços do OpenAI.

Fontes de eventos de segurança

O agente aceita cargas de eventos de segurança via POST das seguintes plataformas:

  • Wazuh: O agente expõe um endpoint de API /wazuh. O Wazuh deve ser configurado para enviar eventos de segurança para a URL do serviço deste endpoint.
  • Tenable: O agente expõe um endpoint de API /tenable. O Tenable deve ser configurado para enviar eventos de segurança para a URL do serviço deste endpoint.

Ambas as APIs são criadas em Criar as APIs personalizadas do Jitterbit.

Slack

O agente entrega notificações de segurança a um canal do Slack. É necessário ter um espaço de trabalho do Slack e um bot do Slack com um Token OAuth de Usuário Bot válido.

Email

O agente entrega alertas de segurança via email usando SMTP. É necessário ter acesso a um servidor SMTP e credenciais válidas para a conta usada para enviar notificações.

Cloud Datastore

O agente utiliza o Jitterbit Cloud Datastore para manter o estado de deduplicação de eventos e armazenar cargas de resposta para referência futura. O Cloud Datastore é parte da plataforma Jitterbit Harmony e não requer uma conta de serviço separada.

Instalação, configuração e operação

Siga estas etapas para instalar, configurar e operar este agente de IA:

  1. Baixar e instalar o projeto
  2. Obter credenciais do OpenAI
  3. Preparar o Cloud Datastore
  4. Configurar o bot do Slack
  5. Configurar variáveis do projeto
  6. Testar conexões
  7. Implantar o projeto
  8. Criar as APIs personalizadas do Jitterbit
  9. Revisar fluxos de trabalho do projeto
  10. Acionar os fluxos de trabalho do projeto

Para orientações de solução de problemas, consulte Solução de Problemas.

Baixar e instalar o projeto

Siga estas etapas para instalar o projeto do Studio para o agente de IA:

  1. Faça login no portal Harmony em https://login.jitterbit.com e abra o Marketplace.

  2. Localize o agente de IA chamado Agente de Alerta de Segurança Jitterbit. Para localizar o agente, use a barra de pesquisa ou, no painel Filtros sob Tipo, selecione Agente de IA para limitar a exibição a agentes de IA.

  3. Clique no link Documentação do agente para abrir sua documentação em uma nova aba. Mantenha a aba aberta para consultar depois de iniciar o projeto.

  4. Clique em Iniciar Projeto para abrir uma caixa de diálogo de configuração.

    Nota

    Se você ainda não comprou o agente de IA, Obter agente é exibido em vez disso. Clique nele para abrir uma caixa de diálogo informativa, em seguida, clique em Enviar para que um representante entre em contato com você sobre a compra do agente de IA.

  5. Na caixa de diálogo Criar um Novo Projeto, selecione um ambiente onde o projeto do Studio será criado, em seguida, clique em Criar Projeto.

  6. Após a caixa de diálogo de progresso indicar que o projeto foi criado, use o link da caixa de diálogo Ir para o Studio ou abra o projeto diretamente na página de Projetos do Studio.

Obter credenciais do OpenAI

Para usar o OpenAI como o provedor de LLM, você deve ter uma conta no OpenAI com uma chave de API ativa:

  1. Faça login no OpenAI e navegue até Chaves de API.
  2. Crie uma nova chave de API e mantenha-a para uso nas variáveis do projeto OpenAI.
  3. Anote a URL base para a API do OpenAI (normalmente https://api.openai.com/v1) e o modelo que você pretende usar para análise de eventos de segurança (por exemplo, gpt-4o).

Preparar o Cloud Datastore

Crie um armazenamento de chaves no Jitterbit Cloud Datastore chamado AI Security com os seguintes campos personalizados:

Nome do campo Tipo Obrigatório
count Texto Não
message Texto Grande Não

Os campos Key, AlternativeKey e Value estão presentes por padrão e não precisam ser adicionados.

Mantenha o token de acesso do Cloud Datastore para uso nas variáveis de projeto do Cloud Datastore.

Configurar o bot do Slack

Siga estas etapas para configurar o Slack para notificações de segurança:

  1. No seu espaço de trabalho do Slack, crie ou identifique um aplicativo do Slack para usar no envio de notificações. Para criar um novo aplicativo, consulte a documentação da API do Slack.

  2. Certifique-se de que o aplicativo tenha o escopo OAuth chat:write para enviar mensagens para canais.

  3. Instale o aplicativo no seu espaço de trabalho.

  4. Obtenha o token do bot e mantenha-o para a variável de projeto slack.oauth.access.token variável de projeto.

  5. Identifique ou crie o canal do Slack onde as notificações de segurança devem ser postadas e anote o nome do canal.

Configurar variáveis de projeto

No projeto do Studio instalado a partir do Marketplace, defina valores para as seguintes variáveis de projeto.

Para configurar variáveis de projeto, use o menu de ações do projeto e selecione Variáveis de Projeto para abrir o painel de configuração.

OpenAI

Nome da variável Descrição
openai.apiKey Chave da API para autenticação com o serviço OpenAI.
openai.base.url URL base para a API OpenAI (por exemplo, https://api.openai.com/v1).
gpt.model O modelo OpenAI a ser usado para análise de eventos de segurança (por exemplo, gpt-5).

Slack

Nome da variável Descrição
slack.channel.name O nome do canal do Slack onde as notificações de segurança são postadas.
slack.oauth.access.token O Token OAuth do Bot User para o aplicativo do Slack usado para enviar notificações.

Email

Nome da variável Descrição
email.to Endereço de e-mail do destinatário para notificações de alerta de segurança.
email.from Endereço de e-mail do remetente usado nas notificações de segurança enviadas.
email.smtp.host Nome do host do servidor SMTP usado para enviar notificações (por exemplo, smtp.gmail.com).
email.smtp.username Nome de usuário da conta SMTP usada para enviar notificações.
email.smtp.password Senha da conta SMTP usada para enviar notificações.

Cloud Datastore

Nome da variável Descrição
cloud.datastore.access.token Token de acesso para o Jitterbit Cloud Datastore, usado para deduplicação de eventos e armazenamento de payload.

Testar conexões

Teste as configurações de endpoint para verificar a conectividade usando os valores de variáveis de projeto definidos.

Para testar conexões, vá para a aba Endpoints e conectores do projeto no painel de componentes de design, passe o mouse sobre cada endpoint e clique em Testar.

Implantar o projeto

Implante o projeto do Studio.

Para implantar o projeto, use o menu de ações do projeto e selecione Implantar.

Criar as APIs personalizadas do Jitterbit

Criar duas APIs personalizadas usando o API Manager para expor os pontos de entrada de manipulação de eventos do agente para Wazuh e Tenable. Ambas as APIs acionam a mesma operação API Request Handler; o parâmetro de consulta eventresource em cada solicitação determina qual manipulador da plataforma de segurança será executado.

API personalizada do Wazuh

Configure e publique uma API personalizada para o Wazuh com os seguintes parâmetros:

Configuração Valor
Caminho /wazuh
Operação Manipulador de Solicitações da API
Method POST
Tipo de resposta Variável do Sistema

Após a publicação, mantenha a URL do serviço. Configure o Wazuh para enviar eventos de segurança para esta URL, incluindo o parâmetro de consulta eventresource=wazuh.

API personalizada do Tenable

Configure e publique uma API personalizada para o Tenable com os seguintes parâmetros:

Configuração Valor
Caminho /tenable
Operação Manipulador de Solicitações da API
Method POST
Tipo de resposta Variável do Sistema

Após a publicação, mantenha a URL do serviço. Configure o Tenable para enviar eventos de segurança para esta URL, incluindo o parâmetro de consulta eventresource=tenable.

Revisar fluxos de trabalho do projeto

O projeto Studio contém quatro fluxos de trabalho que implementam a funcionalidade do Agente de Alerta de Segurança, organizados em dois grupos funcionais.

Processamento de eventos

Fluxo de Trabalho Descrição
Fluxo de Trabalho de Entrada Principal - Solicitação da API Recebe solicitações de API recebidas do Wazuh e do Tenable e as direciona para o manipulador de eventos apropriado.
Principal - Lógica do Agente de IA Orquestra a interação do LLM para análise de eventos de segurança.
Fluxo de Trabalho Principal Processa eventos de segurança direcionados, realiza deduplicação e envia notificações.

Manutenção

Fluxo de Trabalho Descrição
Excluir Chave com Mais de 7 Dias Remove registros do Cloud Datastore com mais de sete dias.
Fluxo de Trabalho de Entrada Principal - Solicitação de API

Este fluxo de trabalho lida com todas as solicitações de API recebidas de plataformas de segurança externas. A operação Manipulador de Solicitação de API analisa a carga do evento e extrai a fonte do evento do parâmetro de consulta eventresource da solicitação. Uma operação Gatilho de Evento então direciona a execução para o manipulador apropriado: eventos do Wazuh são encaminhados para Execução de Evento Wazuh e eventos do Tenable são encaminhados para Execução de Evento Tenable. A operação Gerenciador de IA coordena chamadas subsequentes para o fluxo de trabalho Principal - Lógica do Agente de IA.

Principal - Lógica do Agente de IA

Este fluxo de trabalho gerencia todo o ciclo de vida da interação com LLM para um evento de segurança. A operação Controlador de Lógica de IA delega ao script controlador de prompt OpenAI, que constrói um prompt de sistema estruturado e um prompt de usuário que instruem o LLM sobre normalização de severidade, mascaramento de dados sensíveis e requisitos de formato de saída. Preparar Carga Útil OpenAI e Enviar Carga Útil OpenAI preparam e submetem a solicitação. Analisar Resposta OpenAI extrai a saída JSON estruturada do LLM, e Analisar Resposta de IA processa o resultado na versão final usada tanto para a notificação do Slack quanto para o alerta por e-mail.

Fluxo de Trabalho Principal

Este fluxo de trabalho processa um evento de segurança após ter sido analisado pelo LLM. A operação Verificar se o EventID Existe no Cloud Datastore consulta o Cloud Datastore para procurar o ID do evento atual. A operação EventID Existe então avalia o resultado usando a etapa Decisão EventID Existe: se o ID do evento for encontrado (Y), Atualizar EventID incrementa a contagem de deduplicação via Atualizar Contagem de EventID no Cloud Datastore; se não for encontrado (N), Inserir EventID adiciona um novo registro via Inserir EventID no Cloud Datastore. Após a deduplicação, Postar Resposta no Slack envia a notificação formatada do Slack e Postar Notificação por E-mail envia o alerta por e-mail.

Excluir Chave com Mais de 7 Dias

Este fluxo de trabalho é executado em uma programação diária para manter a higiene do Cloud Datastore. A operação Excluir Chave com Mais de 7 Dias utiliza o script Excluir Chave para calcular a data sete dias antes e itera pelas chaves do Cloud Datastore página por página através da operação Consultar todas as Chaves. A operação Analisar Resposta da Chave identifica registros com mais de sete dias, e o script Excluir Chave os remove.

Acionar os fluxos de trabalho do projeto

O Agente de Alerta de Segurança é acionado por eventos. Os principais fluxos de trabalho de processamento de eventos são acionados automaticamente quando o Wazuh ou o Tenable POST eventos de segurança nas APIs personalizadas do Jitterbit criadas em Criar as APIs personalizadas do Jitterbit.

Nota

Programação da operação não está incluída na exportação do projeto e deve ser configurada manualmente no Studio após a implantação. A operação Excluir Chave com Mais de 7 Dias deve ser agendada para ser executada uma vez por dia.

Todos os outros fluxos de trabalho são acionados por operações anteriores e não são destinados a serem executados de forma independente.

Solução de Problemas

Se você encontrar problemas, revise os seguintes logs para informações detalhadas de solução de problemas:

Para assistência adicional, entre em contato com o suporte do Jitterbit.