OpenSearch Security Analytics 알럿 웹훅 수신기. 수집 시점에 인리치하고 검색 UI 를 제공한다.

25 endpoints · 7 그룹

개요

osawebhook 은 OpenSearch Security Analytics(SAP)의 디텍터·TI 모니터·상관관계 알럿을 웹훅으로 받아, 수집 시점에 인리치(파인딩 + Sigma 룰 + 원시 OCSF 문서)해 Postgres 와 자체 OpenSearch 인덱스에 저장하고, 검색 UI 와 관리 기능(Sigma 룰·알림 채널·로그 타입)을 제공합니다. 운영은 EKS 클러스터 — 패밀리의 .35 데모 서버가 아닙니다.

API 그룹

상세 스키마는 오리진 /api/openapi.json 이 SoT(OpenAPI 3.1, 서버 zod 검증기에서 도출 — 스펙=구현 동기 보장).

그룹역할
ingestsigma 진짜 push 웹훅(body 는 id 만) · threat_intel/correlation pull 트리거(POST 마다 최근 N 분 폴링) — 전부 dedupeKey 멱등
read알럿 목록(q 풀텍스트/무q PG 최신·페이징·tenant/vendor 필터) · 집계(stats) · 단건(cuid 또는 SAP osId)
rulesSA Sigma 룰 목록/상세/등록/수정/삭제 (SA rules API 프록시)
channelsOpenSearch 알림 채널 configs CRUD (Notifications 프록시)
logtypesSA 로그 타입 목록/등록/삭제 (룰 category 데이터소스)
healthlivez(liveness) · health(readiness)

인증

변이(ingest 웹훅 · rules/channels/logtypes 쓰기)는 WEBHOOK_SECRET 을 Authorization: Bearer <secret> 또는 x-webhook-secret 헤더로 요구합니다. 조회 API·문서 페이지는 무인증(단일사용자 데모 전제) — 정식 인증은 별도 이슈로 추적됩니다.

접근 도메인

환경URL접근 조건
운영(EKS)osawebhook.defenderx.sentrixsolution.com오피스 IP 만 허용(인그레스 제한) — 공개 인터넷에서 안 열림
스테이징stag-osa.in-bridge.com.35 pm2 osawebhook :42020 — 라이브(사내망, health postgres·opensearch 그린 실측 2026-07-07). 문서 4종 이 도메인에서 열람 가능
로컬(개발 Mac)osa.in-bridge.com개발 Mac 전용 — /etc/hosts 127.0.0.1 + local-nginx → :42020

배포는 deploy.sh 대상이 아닙니다 — Docker 이미지로 EKS(defenderx-prod-hanssem, ns ib-guard)에 배포됩니다. 클러스터 내부 웹훅 URL: http://osawebhook.ib-guard.svc.cluster.local:3000.