Webhooks erklärt: Was sind Webhooks? Wie funktionieren sie?

Kombinieren Sie die Leistungsfähigkeit von Webhooks und APIs, um Ihre Sicherheitsautomatisierungs-Engine auf ein neues Level zu heben.

Was sind Webhooks?

Webhooks: Sie haben diesen allgegenwärtigen Begriff in der Welt der Webanwendungen und modernen Technologien wahrscheinlich schon einmal gehört. Doch was genau sind Webhooks und wie tragen sie zur Lösung von Sicherheitsproblemen bei? Falls Sie Webhooks noch nicht in Ihrer Anwendung verwenden, sollten Sie sich diese Gelegenheit nicht entgehen lassen. Sicherheitsautomatisierung, Vielleicht möchten Sie prüfen, welche Lösungen diese nützliche Datenstrategie unterstützen.

Bevor wir uns jedoch mit den Details von Webhooks befassen, lohnt es sich, kurz über zwei Möglichkeiten zu sprechen, wie man Funktionen verschiedener Anwendungen in seine Sicherheitsarchitektur integrieren kann.

APIs und Webhooks

Beide Technologien ermöglichen es, Informationen aus einer Softwareanwendung zu erhalten, allerdings ist der Informationsfluss bei der jeweils anderen im Wesentlichen umgekehrt.

Mit APIs (Programmierschnittstellen), der Empfänger fordert Informationen von der Anwendung an und erhält eine Antwort. Diese Anfragen können mithilfe von Lösungen wie beispielsweise geplanten oder sogar automatisierten Abfragen auf Basis benutzerdefinierter Logik ausgeführt werden. Swimlane-Turbine. Diese Kommunikationsmethodik wird oft als Umfragen, APIs sind eine unglaublich nützliche Möglichkeit, Informationen zum gewünschten Zeitpunkt abzurufen oder die Sicherheitsreaktionsfunktionen einer Anwendung zu nutzen.

Webhooks, Beginnen Sie hingegen mit der Ereignisquelle. Wenn in einer Anwendung, die Webhooks unterstützt, ein Ereignis eintritt, kann eine Anfrage per HTTP-Anfrage an ein definiertes Ziel gesendet werden. Dadurch erhalten Sie die Daten, sobald das Ereignis eintritt und die Anwendung die Anfrage sendet.

Für die Sicherheitsautomatisierung ist dies ein Wendepunkt. Webhooks automatisieren die Welt der Anwendungsschnittstellen.

API-Polling vs. Webhooks in der Sicherheit

Wenn Ihre Sicherheitsautomatisierung so strukturiert ist, dass sie durch Ereignisse ausgelöst wird, sobald diese in Ihren Anwendungen auftreten, rücken Sie die Automatisierung näher an den Auslöser heran, was Ihre Sicherheitslage drastisch verbessert. Genau das ist es, was Aktives Sensing-Gewebe Bei Swimlane Turbine dreht sich alles darum. Betrachtet man dies auf einer Zeitleiste (unten), wird es viel deutlicher.

Mit API-Abfrage, Es gibt potenzielle Lücken, in denen Ereignisse auftreten können, ohne dass die Zielanwendung davon Kenntnis hat. Das Risiko in diesen Fällen sollte durch eine Erhöhung der Anfragefrequenz vom Zielsystem gemindert, aber nie vollständig beseitigt werden.

Wenn beispielsweise Ihre Endpoint Detection and Response (EDR)-Lösung schädliche Aktivitäten auf einem Endpunkt erkennt, müssen Sicherheitsteams dies so schnell wie möglich erfahren. Bei API-Polling kann es vorkommen, dass ein Ereignis, das unmittelbar nach einer Anfrage aufgetreten ist, verpasst wird und erst bei der Anforderung des nächsten Ereignis-Batches von der EDR-Lösung oder dem SIEM festgestellt wird, dass weitere Ereignisse folgten.

Mit Webhooks, Der Aufwand für die Verwaltung eines Anforderungszeitplans entfällt, da Ereignisse an das Ziel gesendet werden, sobald die Quelle das Ereignis als Webhook-Nachricht ausgibt.

In unserem Beispiel zur Endpunkterkennung wird, sobald schädliche Aktivitäten erkannt und protokolliert werden, ein Ereignis an das konfigurierte Ziel gesendet. Dadurch wird die Lücke zwischen Anfragen geschlossen und die Bündelung von Ereignissen vermieden, die zu verpassten oder verzögerten Erkennungen führen kann.

Die Schließung von Sicherheitslücken bedeutet schnellere Reaktionszeiten, was Ihre wichtigsten Sicherheitskennzahlen wie MTTD und MTTR verbessert. Einfach ausgedrückt: Je schneller man das Schlechte dorthin bringen kann, wo es hingehört, desto eher kann man es angehen.

(Wenn Sie mehr über Webhooks und deren Ursprung erfahren möchten: Jeff Lindsey prägte den Begriff ursprünglich im Jahr 2007. Schauen Sie sich dazu die Website an.) archivierte Version ihres Originalartikels.)

Wir stellen vor: Turbine Webhook Triggers

Mit Turbine wird die Integration von Webhooks in Ihre Playbooks zum Kinderspiel. Als integrierte Funktion von Playbooks genügen wenige Klicks und eine Beschreibung, um einen aktiven Webhook-Trigger zu erstellen, der auf Ereignisse reagiert – ohne zusätzliche Konnektoren oder Konfigurationen. Sehen Sie selbst: Unten finden Sie ein Beispiel.

Sobald Sie Ihren Webhook-Trigger erstellt haben, können Sie beliebige Daten per HTTP-POST-Anfrage senden, um Ihr Playbook auszulösen und die Daten der Anfrage sogar Playbook-Aktionen zuzuordnen. Anschließend können Sie die automatisch generierte Webhook-URL in Ihrer Quellanwendung verwenden und diese so konfigurieren, dass Ereignisse in Echtzeit an Turbine gesendet werden.

Webhooks in Turbine-Playbooks unterstützen auch die Authentifizierung. So können Sie Kompatibilität und Compliance mit Ihrer gesamten Sicherheitsanwendungsarchitektur gewährleisten, ohne auf den Komfort der Turbine-Webhooks verzichten zu müssen.

APIs und Webhooks: Das Power-Duo für Sicherheitsautomatisierung

Welcher Weg ist also der richtige für Sie? Zum Glück ist die Antwort einfach: Sowohl APIs als auch Webhooks sind leistungsstarke (und notwendige) Werkzeuge, die in Ihrem Toolset für die Sicherheitsautomatisierung eingesetzt werden sollten.

Bei der Erstellung Ihrer Automatisierung sollten Sie überlegen, ob diese durch Echtzeitereignisse ausgelöst werden soll. In diesem Fall ist die Auslösung der Automatisierung anhand eines Ereignisstroms mithilfe einfacher Tools wie Webhooks eine hervorragende Strategie und sollte API-Abfragen vorgezogen werden. Benötigen Sie keine Echtzeit-Aktualisierungen, unterstützt die Technologie dies nicht oder möchten Sie die Datenabfrage lieber planen, ist die API-Abfrage die bessere Wahl.

Letztendlich ermöglicht die Kombination der durch Webhooks ermöglichten Erkennungsverbesserungen mit den leistungsstarken Reaktionsfunktionen der APIs über Turbine-Konnektoren den Aufbau eines wirklich reaktionsschnellen Systems zur Ereigniserkennung und -behebung und verbessert Ihre Sicherheitslage erheblich – mit Turbine als Ihrem Partner. Kraftvervielfacher für XDR.

Swimlane-Turbine: Ihr XDR-Kraftverstärker

Laden Sie unser Whitepaper herunter, um mehr darüber zu erfahren, wie Swimlane Turbine Ihre Leistungsfähigkeit steigert.

Herunterladen