Explication des webhooks : Que sont les webhooks ? Comment fonctionnent-ils ?

Combinez la puissance des webhooks et des API pour booster votre moteur d'automatisation de la sécurité.

Que sont les webhooks ?

Webhooks : vous avez peut-être déjà entendu parler de ce terme omniprésent dans le monde des applications web et des technologies modernes, mais que sont-ils exactement et comment contribuent-ils à résoudre les problèmes de sécurité ? Si vous n’utilisez pas encore de webhooks dans votre application… automatisation de la sécurité, Vous pourriez vouloir vérifier quelles solutions prennent en charge cette stratégie de données utile.

Mais avant de nous plonger dans les détails des webhooks, il convient de prendre un moment pour parler de deux façons d'intégrer les fonctionnalités de diverses applications dans votre pile de sécurité.

API et webhooks

Ces deux technologies permettent d'obtenir des informations à partir d'une application logicielle, mais le flux d'informations est essentiellement inversé dans l'autre.

Avec Apis (interfaces de programmation d'applications), le récepteur demande des informations à l'application et reçoit une réponse. Ces requêtes peuvent être planifiées, voire automatisées, selon une logique personnalisée grâce à des solutions telles que Turbine de couloir de nage. Cette méthodologie de communication est souvent appelée vote, et c'est assez courant. Les API sont un moyen incroyablement utile d'obtenir des informations quand on le souhaite, ou d'agir grâce aux capacités de réponse de sécurité d'une application.

Webhooks, En revanche, commencez par la source de l'événement. Lorsqu'un événement se produit dans une application compatible avec les webhooks, une requête HTTP est envoyée à une destination définie. Vous recevez ainsi les données dès que l'événement se produit et que l'application envoie la requête.

En matière d'automatisation de la sécurité, c'est une véritable révolution. Les webhooks automatisent l'univers des interfaces applicatives.

Interrogation d'API vs Webhooks en matière de sécurité

Lorsque votre automatisation de sécurité est structurée pour se déclencher par des événements survenant dans vos applications, vous la rapprochez de leur point d'origine, ce qui améliore considérablement votre niveau de sécurité. C'est ce que… Tissu à détection active Swimlane Turbine est entièrement dédié à cela. Sur une chronologie (ci-dessous), cela devient beaucoup plus évident.

Avec Interrogation de l'API, Il existe des failles potentielles où des événements peuvent survenir sans que l'application de destination en soit informée. Dans ces cas, le risque peut être atténué en augmentant la fréquence des requêtes provenant du système de destination, mais il ne sera jamais totalement éliminé.

Par exemple, si votre solution EDR (Endpoint Detection and Response) détecte une activité malveillante sur un terminal, les équipes de sécurité doivent en être informées au plus vite. Avec l'interrogation régulière d'API, il est possible de manquer un événement survenu immédiatement après une requête, pour ensuite constater que d'autres événements se sont produits lors de la prochaine requête auprès de la solution EDR ou du SIEM.

Avec Webhooks, la gestion d'un calendrier de requêtes n'est pas nécessaire, car les événements seront envoyés à la destination dès que la source émettra l'événement sous forme de message webhook.

Dans notre exemple de détection de points de terminaison, dès qu'une activité malveillante est détectée et consignée, un événement est envoyé à la destination configurée. Ceci réduit le délai entre les requêtes et élimine le regroupement des événements, source potentielle de détections manquées ou retardées.

La réduction des écarts se traduit par des temps de réponse plus rapides, ce qui améliore vos indicateurs clés de sécurité tels que le MTTD et le MTTR. En clair : Plus vite vous enverrez le problème là où il doit être, plus vite vous pourrez le régler.

(Si vous souhaitez en savoir plus sur les webhooks et leur origine, sachez que Jeff Lindsey a inventé ce terme en 2007. Consultez la documentation.) version archivée de leur article original.)

Présentation : Déclencheurs Webhook Turbine

Turbine simplifie l'intégration des webhooks à vos playbooks. Fonctionnalité intégrée, quelques clics et une description suffisent pour créer un déclencheur webhook actif qui écoutera les événements ; aucun connecteur ni configuration supplémentaire n'est requis. Découvrez-le en action ci-dessous.

Une fois votre déclencheur webhook créé, vous pouvez envoyer des données via une requête HTTP POST standard pour déclencher votre playbook et même associer les données de la requête aux actions du playbook. Vous pouvez ensuite utiliser l'URL du webhook générée automatiquement dans votre application source et la configurer pour qu'elle envoie des événements à Turbine dès leur survenue.

Les webhooks des playbooks Turbine prennent également en charge l'authentification. Vous pouvez ainsi garantir la compatibilité et la conformité avec l'ensemble de votre pile applicative de sécurité sans sacrifier la simplicité d'utilisation des webhooks Turbine.

API et webhooks : le duo de choc de l’automatisation de la sécurité

Alors, quelle est la meilleure solution pour vous ? Heureusement, la réponse est simple : les API et les webhooks sont deux outils puissants (et indispensables) qui devraient faire partie de votre suite d’outils d’automatisation de la sécurité.

Lors de la conception de votre automatisation, demandez-vous si elle doit être déclenchée en temps réel, au fur et à mesure que des événements se produisent. Dans ce cas, le déclenchement de l'automatisation à partir d'un flux d'événements via des outils simples tels que les webhooks est une excellente stratégie, à privilégier par rapport à l'interrogation d'API. En revanche, si vous n'avez pas besoin de mises à jour en temps réel, si la technologie ne le permet pas, ou si vous préférez planifier la récupération des données, l'interrogation d'API est préférable.

En combinant les améliorations de détection permises par les webhooks et les puissantes capacités de réponse offertes par les API via les connecteurs Turbine, vous pouvez créer un système de détection et de correction d'événements véritablement réactif et améliorer considérablement votre niveau de sécurité, avec Turbine comme solution. Multiplicateur de force pour XDR.

Turbine de couloir de nage : votre multiplicateur de force XDR

Téléchargez notre livre blanc pour en savoir plus sur la façon dont Swimlane Turbine multiplie vos forces.

Télécharger