Assinantes de webhook
Envie eventos de execução + descoberta para qualquer endpoint HTTPS (Slack, PagerDuty, ferramentas internas do SOC). Plano Pro ou superior; a quota fica ao lado de scheduled_runs no catálogo.
Pontos-chave
- Assinantes têm escopo de tenant: um webhook só dispara para execuções do tenant dono.
- Todo payload é assinado com HMAC-SHA256 usando o secret por linha do assinante. Verifique antes de confiar.
- Entrega tem retry com backoff exponencial (4 tentativas em ~15 minutos) antes do assinante ser marcado como degradado.
- Eventos suportados: run.completed, run.failed, finding.critical, finding.high. Até 10 eventos por assinante.
01
O que chega no seu endpoint
- POST com body JSON. Headers incluem X-DID-Event, X-DID-Tenant, X-DID-Signature-256.
- Shape do body espelha o contrato da API (RunSummary / Finding): o mesmo schema que você consulta em /v1/runs.
- trace_id propaga para um sistema downstream poder correlacionar de volta à execução que disparou a chamada.
02
Recomendações operacionais
- Sempre verifique o HMAC antes de persistir. Descarte em caso de mismatch.
- ACK 2xx em até 10 segundos. Se seu handler é lento, enfileire o trabalho e ACK primeiro.
- Assine finding.critical só se você paga em cima dele. Ingestão SIEM em volume é melhor servida por run.completed.