Webhook 알람 채널

개요

웹훅 알람 채널은 Argus 탐지 이벤트를 서명된 JSON 페이로드로 모든 HTTPS 엔드포인트에 전달합니다. PagerDuty, Opsgenie, Discord, Microsoft Teams, 또는 자체 SOAR 파이프라인으로 알림을 라우팅할 때 사용하세요.

사전 요구사항

• POST 요청을 수락하는 HTTPS 엔드포인트
• 선택: HMAC-SHA256 서명 검증용 공유 시크릿
• Cremit Argus 계정

단계별 설정

Step 1: Argus에서 Add Alarm Channel 열기

• Argus > Alarm > Add Alarm Channel
• Webhook 탭 선택

Step 2: 채널 설정

• Name: 채널에 설명적인 라벨 지정 (예: '#security-alerts via Opsgenie')
• Description: 수신 팀에 대한 선택적 메모
• Endpoint URL: HTTPS 엔드포인트 붙여넣기
• Signing secret: 선택적 시크릿 제공 시 Argus가 원본 본문에 HMAC-SHA256으로 서명

Step 3: 페이로드 포맷과 라우팅 설정

Argus는 표준 JSON 스키마를 기본 제공하고, 일반 대상용 프리셋 변환도 지원합니다.

• 기본: Argus 표준 스키마 (심각도, 소스, 시크릿 타입, 위치, 로테이션 힌트)
• 프리셋: Slack Block Kit 호환, Microsoft Teams 카드, Discord embed, PagerDuty Events API v2
• 선택적 필터: critical 심각도만 또는 특정 소스만 전송

Step 4: 테스트 후 생성

• Send Test Event 클릭으로 Argus가 샘플 페이로드를 엔드포인트로 전송
• 다운스트림에서 수신 확인, 서명 활성화 시 서명 검증
• Create Channel 클릭

설정 확인

통합이 올바르게 구성되었는지 확인하는 방법:

• 테스트 이벤트가 엔드포인트에서 HTTP 2xx 반환
• 수신 시스템에 테스트 이벤트가 올바르게 표시됨
• 서명 활성화 시 엔드포인트가 HMAC-SHA256 서명 검증 성공
• 실제 탐지가 Argus에서 발생 후 몇 초 내 엔드포인트에 도착

문제 해결

문제: 엔드포인트가 5xx를 반환하고 Argus가 채널을 Unhealthy로 표시합니다.

• 해결: Argus가 exponential backoff로 재시도하고 5회 실패 후 dead-letter queue로 이동합니다. 수신 측을 고친 후 DLQ에서 Retry 클릭으로 재전송하세요.

문제: 수신 측에서 서명 검증이 실패합니다.

• 해결: 파싱된 폼이 아닌 원본 요청 본문에 서명하세요. HMAC-SHA256, hex 인코딩을 사용합니다. 서명은 X-Cremit-Signature 헤더로 전송됩니다.

핵심 이점

• 모든 HTTPS 엔드포인트와 호환, 벤더 종속 없음
• 일반 다운스트림 대상을 위한 프리셋 변환이 기본 제공
• 선택적 HMAC 서명으로 수신자가 소스를 신뢰할 수 있음
• DLQ와 재시도 semantics로 일시적 장애 시 탐지 유실 방지