SIP联动钉钉做消息推送配置指南

1.   配置步骤

1.1. 钉钉配置

登录钉钉，进入工作台，创建应用进入开发着后台，创建态势感知应用

获取应用标识和应用认证凭证

注意：只有【发送单聊消息】动作才需要AppKey和AppSecret

因为新增设备处为必填项，提供下列伪数据绕过正则校验即可。

钉钉创建企业内部机器人 - 发送单聊消息

进入钉钉管理后台 - 【应用管理】 - 【创建应用】，选择【应用功能】 - 【机器人与消息推送】

    进行机器人配置，配置完成后点击发布

   

   

    给应用申请企业机器人权限，申请企业内机器人发送消息权限

   

获取员工ID

企业内每个员工都有唯一的UserId，创建后不可修改。

管理员登录钉钉管理后台(dingtalk.com)，在通讯录页面单击员工姓名可查看员工的UserId

1.2.   SIP侧配置

1.2.1.   SIP侧配置

点击左上方用户名【系统设置】【联动响应】选择钉钉消息推送应用，填入实例名称，和钉钉新增应用对应得appkey和appsecret

添加后点击测试，测试连接成功

2.  动作配置

说明：并非所有动作都要说明，撤销类或查看状态类动作可在设置类动作中进行补充说明；

参考测试说明创建一个剧本来测试联动动作。

2.1.   发送单聊消息

2.1.1.  动作配置

1.登录态势感知选择处置中心，响应策略管理，新增钉钉消息推送策略

2.编辑新增策略，如图新增动作节点

3.配置动作参数点击确定

钉钉消息内容参数：

事件类型名称: ${event.type_name}

发生时间：${event.first_time}

受害者IP: ${event.suffer_ip}

攻击者IP: ${event.attack_ip}

攻击阶段: ${event.invasion_stage}

威胁等级: ${event.reliability}

攻击结果: ${event.attack_state}

4.配置策略点击确定

5.配置完成后选择保村并进行发布上线

注意事项：

1. 消息标题：应用推送消息的标题

2. 消息内容：消息内容，支持部分markdown语法，支持支持关键词datetime-文本-datetime转换时间戳(如果消息推送测试显示的是时间戳需要升级到SIP到3.0.77版本)

3. 员工列表：员工列表，请输入合法的钉钉UserID，形如000028500824276497，只允许数字

3.   附录

3.1. 测试说明

3.1.1.   SIP测试

1. SIP产品线在【处置中心】【响应策略管理】页面，点击【新增】创建策略

2. 策略设置选择【手动执行】，配置【安全事件】或【安全告警】来进行测试. 下图选择安全告警全部进行测试。

3. 配置动作， 参考动作配置

4. 配置完成后，点击【更新上线】

5. 在【处置中心】【威胁视角】【安全事件/安全告警】选择一条事件进行测试

6. 选择新增的剧本, 点击执行。

7. 在相同页面点击【联动记录】查看联动结果。

感谢楼主分享，实用性很高！！！

感谢分享，每天学习一点点，每天进步一点点。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

每天学习一点点，每天进步一点点

感谢分享                                            

感谢楼主分享，实用性很高！

每天学习一点点，每天进步一点点

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢楼主分享，实用性很高！！！