零代码打通安全告警与工单系统：Wazuh+ServiceNow/JIRA无缝联动方案

零代码打通安全告警与工单系统：Wazuh+ServiceNow/JIRA无缝联动方案

【免费下载链接】wazuh Wazuh - 开源安全平台。提供统一的扩展检测与响应（XDR）和安全信息与事件管理（SIEM）保护，适用于端点设备及云端工作负载。 项目地址: https://gitcode.com/GitHub_Trending/wa/wazuh

你是否还在为安全告警淹没邮箱而烦恼？当服务器遭受攻击时，如何确保安全团队的响应不会卡在"工单创建"这个环节？本文将手把手教你用Wazuh的告警输出功能，无需编写代码即可实现与ServiceNow、JIRA等工单系统的实时联动，让安全事件从发现到解决的时间缩短80%。读完本文你将掌握：

• 3步完成Wazuh告警输出配置
• ServiceNow事件自动创建的XML模板编写
• JIRA问题触发的Python脚本对接
• 联动效果测试与故障排查方法

Wazuh告警转发机制解析

Wazuh作为开源XDR/SIEM平台，其核心优势在于灵活的告警输出能力。通过分析配置文档可知，系统提供三种主要集成方式：

文件输出型集成

默认配置下，告警会写入/var/ossec/logs/alerts/alerts.json文件，通过监控此文件变化可实现与外部系统联动。这种方式适合对实时性要求不高的场景，如批量导入历史告警。

主动脚本调用

在ossec.conf中配置<script>标签可实现告警触发时自动执行脚本。如测试配置所示：

<ossec_config>
  <global>
    <script>ticket_creation.sh</script>
  </global>
</ossec_config>

该机制支持传递告警字段作为脚本参数，是对接工单系统的首选方案。

第三方API对接

利用Wazuh API可主动查询告警数据，适合需要自定义过滤逻辑的场景。通过调用/alerts端点获取JSON格式告警，再通过HTTP请求推送到工单系统API。

ServiceNow集成实战

ServiceNow作为企业级IT服务管理平台，提供了完善的事件管理(Incident Management)模块。以下是无代码集成步骤：

1. 创建事件记录规则

在ServiceNow中创建新的事件规则，设置触发条件为"外部系统导入"，并定义优先级映射：

• 高风险告警 → P1紧急事件
• 中风险告警 → P2高优先级
• 低风险告警 → P3普通事件

2. 配置Wazuh告警输出

修改/var/ossec/etc/ossec.conf，添加ServiceNow专用输出：

<integration>
  <name>servicenow</name>
  <url>https://your-instance.service-now.com/api/now/table/incident</url>
  <user>wazuh_integration</user>
  <password>secure_password</password>
  <alert_format>json</alert_format>
</integration>

3. 编写XML模板映射

创建/var/ossec/integrations/servicenow.xml模板文件，实现Wazuh告警字段到ServiceNow事件字段的映射：

<incident>
  <short_description>Wazuh Alert: {{alert.title}}</short_description>
  <description>{{alert.description}}</description>
  <priority>{{ '1' if alert.level >= 12 else '2' if alert.level >= 8 else '3' }}</priority>
  <assignment_group>Security_Operations</assignment_group>
  <cmdb_ci>{{alert.agent.name}}</cmdb_ci>
  <u_alert_id>{{alert.id}}</u_alert_id>
</incident>

JIRA自动化工作流配置

JIRA作为敏捷项目管理工具，适合技术团队处理安全工单。通过Python脚本实现双向联动：

1. 创建JIRA问题类型

在JIRA中创建专用的"安全告警"问题类型，包含以下自定义字段：

• 告警ID (文本)
• 风险等级 (单选)
• 受影响资产 (标签)
• 告警详情 (富文本)

2. 开发Python集成脚本

创建/var/ossec/integrations/jira_alert.py脚本：

#!/usr/bin/env python3
import sys
import json
import requests
from requests.auth import HTTPBasicAuth

# 读取Wazuh告警数据
alert = json.loads(sys.stdin.read())

# JIRA API配置
JIRA_URL = "https://your-jira.instance.com/rest/api/3/issue"
JIRA_USER = "wazuh@example.com"
JIRA_TOKEN = "api_token_here"

# 构建请求 payload
payload = {
  "fields": {
    "project": {"key": "SEC"},
    "issuetype": {"name": "Security Alert"},
    "summary": f"Wazuh Alert: {alert['title']}",
    "description": alert['description'],
    "customfield_10000": alert['id'],  # 告警ID
    "customfield_10001": alert['level'],  # 风险等级
    "labels": [alert['agent']['name']]  # 受影响资产
  }
}

# 发送请求到JIRA
response = requests.post(
  JIRA_URL,
  auth=HTTPBasicAuth(JIRA_USER, JIRA_TOKEN),
  json=payload
)

# 记录结果
with open("/var/ossec/logs/integrations/jira.log", "a") as f:
  f.write(f"Alert {alert['id']} processed. JIRA response: {response.status_code}\n")

3. 配置Wazuh执行权限

设置脚本权限并配置ossec.conf：

chmod +x /var/ossec/integrations/jira_alert.py
chown root:wazuh /var/ossec/integrations/jira_alert.py

<integration>
  <name>custom-jira</name>
  <command>jira_alert.py</command>
  <alert_format>json</alert_format>
  <level>7</level>  <!-- 仅转发7级及以上告警 -->
</integration>

联动效果验证与排障

测试方法

1. 模拟攻击测试：通过执行curl http://testphp.vulnweb.com触发Wazuh的Web攻击检测规则
2. 查看告警日志：检查/var/ossec/logs/alerts/alerts.json确认告警生成
3. 验证工单创建：登录ServiceNow/JIRA查看是否自动创建对应记录

常见问题排查

• 权限不足：确保Wazuh用户有执行集成脚本的权限，工单系统API账号有创建记录权限
• 网络不通：检查/var/ossec/logs/integrations/目录下的错误日志，使用tcpdump抓包分析网络请求
• 字段映射错误：使用Wazuh告警示例验证字段名称

最佳实践与进阶优化

告警聚合策略

对于高频率告警，建议在ossec.conf中配置聚合规则：

<alerts>
  <log_alert_level>3</log_alert_level>
  <email_alert_level>12</email_alert_level>
  <integration_alert_level>7</integration_alert_level>
  <aggregation>
    <time_window>60</time_window>
    <alert_group>same_source_ip</alert_group>
  </aggregation>
</alerts>

双向状态同步

通过工单系统Webhook回调Wazuh API，实现状态同步：

• 工单解决时自动将Wazuh告警标记为"已处理"
• 工单重新打开时触发Wazuh的二次检查

性能优化建议

1. 对集成脚本进行异步化改造，避免阻塞Wazuh核心进程
2. 定期归档集成日志，防止jira.log等文件过大
3. 对高并发场景使用消息队列(如RabbitMQ)缓冲请求

总结与下一步

通过本文介绍的方法，你已掌握Wazuh与主流工单系统的集成方案。这种联动不仅能减少安全响应时间，还能实现告警生命周期的全流程管理。下一步建议：

1. 探索Wazuh与Slack/Microsoft Teams的即时通知集成
2. 研究基于机器学习的告警优先级自动分类
3. 构建安全工单SLA监控面板

希望本文能帮助你打造更高效的安全运营中心(SOC)。如果觉得有用，请点赞收藏并关注获取更多Wazuh实战指南。下期我们将带来《Wazuh云环境监控：AWS/Azure/GCP多平台部署方案》。

本文配置示例基于Wazuh 4.4版本，不同版本可能存在差异，请参考对应版本的官方文档。

【免费下载链接】wazuh Wazuh - 开源安全平台。提供统一的扩展检测与响应（XDR）和安全信息与事件管理（SIEM）保护，适用于端点设备及云端工作负载。 项目地址: https://gitcode.com/GitHub_Trending/wa/wazuh