Recevoir des notifications
Configurez Slack, Microsoft Teams, des webhooks personnalisés et l'email pour que les alertes Stealed atterrissent là où votre équipe travaille.
Stealed livre chaque alerte simultanément sur tous les canaux que vous attachez à un monitor. Vous configurez les canaux une fois au niveau de l'organisation et les réutilisez à travers les monitors.
Ouvrez Monitoring → Channels et cliquez sur New channel.
Slack
Les canaux Slack utilisent l'intégration OAuth Slack officielle. L'application Slack Stealed publie les alertes en tant que bot avec un format de message personnalisé.
Setup
- Cliquez sur New channel → Slack.
- Cliquez sur Install on Slack. Vous êtes redirigé vers le flux OAuth Slack.
- Choisissez le workspace et le canal où les alertes doivent atterrir. Le bot Stealed est ajouté au canal choisi.
- De retour dans Stealed, nommez le canal (par exemple
#sec-alerts) et sauvegardez.
Format de message
Chaque alerte se rend comme un message Slack avec :
- Un en-tête d'avertissement rouge pour la sévérité
critical, ambre pourhigh, bleu pour informationnel - Le nom du monitor et le matched count
- Un lien direct vers l'événement dans le dashboard Stealed
- Mentions de l'assignee s'il est déjà pris
- Boutons d'action rapide : Acknowledge, Open in Stealed
Microsoft Teams
Les canaux Teams utilisent des URL de webhook entrant. Vous générez le webhook côté Teams, puis vous le collez dans Stealed.
Setup
- Dans Microsoft Teams, ouvrez le canal cible, puis ... → Connectors → Incoming Webhook.
- Configurez le connecteur (nom, icône optionnelle), copiez l'URL générée.
- Dans Stealed, New channel → Microsoft Teams, collez l'URL, nommez le canal et sauvegardez.
- Utilisez le bouton Test connection pour envoyer un message d'exemple. Vous devriez le voir apparaître dans Teams en quelques secondes.
Format de message
Teams rend les alertes Stealed comme des Adaptive Cards avec le même contenu que Slack : sévérité, nom du monitor, matched count, lien vers l'événement.
Webhook personnalisé
Si votre logique de routage d'alerte vit en dehors de Slack et Teams (PagerDuty, Opsgenie, votre propre bot, etc.), utilisez un webhook personnalisé.
Setup
- New channel → Webhook.
- Fournissez une URL HTTPS qui accepte un POST JSON.
- Optionnellement, fournissez un secret partagé. Si défini, Stealed
signe chaque payload avec HMAC-SHA256 dans l'en-tête
X-Stealed-Signature. - Sauvegardez et cliquez sur Test connection. Stealed envoie un payload d'exemple et vous devriez voir une réponse 2xx.
Payload
{
"event_id": "evt_01JN5W9...",
"monitor_id": "mon_01HX2K...",
"monitor_name": "Acme - Stealer logs",
"severity": "critical",
"trigger_at": "2026-04-24T14:02:35Z",
"matched_count": 147,
"delta_count": 23,
"type": "trigger",
"url": "https://app.stealed.io/events/evt_01JN5W9..."
}Le champ type est l'un de : trigger, renotify, comment.
Signature
Si vous définissez un secret partagé, chaque requête inclut :
X-Stealed-Signature: t=1745842955,v1=<hex_hmac>Calculez hmac_sha256(secret, "{t}.{body}") et comparez à v1.
Rejetez la requête si elles diffèrent ou si t est plus ancien que 5
minutes.
Les canaux email acceptent une liste de destinataires. Chaque alerte est envoyée comme un email HTML avec un fallback texte brut.
Setup
- New channel → Email.
- Saisissez une liste d'adresses email séparées par des virgules.
- Choisissez optionnellement un nom d'expéditeur par défaut (par défaut "Stealed Alerts").
- Sauvegardez.
Vous pouvez avoir plusieurs canaux email (par exemple
[email protected] pour l'équipe sécurité, [email protected] pour la
rotation d'astreinte).
Attacher un canal à un monitor
Une fois qu'un canal existe, attachez-le depuis la configuration du monitor. Un même canal peut être attaché à plusieurs monitors. Un même monitor peut avoir plusieurs canaux.
Retirer un canal d'un monitor stoppe l'arrivée de nouvelles alertes mais ne supprime PAS le canal.
La suite
- Gestion d'incident : ce qui se passe après que l'alerte est arrivée.
- Re-notification : contrôler la cadence des rappels.