通过 Webhook 机制，系统可将安全智能体的研判结果实时推送至飞书、企业微信等主流办公协作平台，确保告警事件的关键信息能够及时同步，帮助安全运营人员快速发现和响应安全事件。本小节介绍如何将威胁告警消息推送到飞书群组。

前提条件

你已将相关安全产品数据源接入安全智能体，接入相关操作请参见通过 Logstash 同步数据源。

步骤一 在飞书群组内添加自定义机器人

如你已经在飞书群组内添加了用于接收告警的飞书机器人，可以跳过此步骤。

1. 进入飞书目标群组，在群组右上角点击···按钮，并单击设置。
   
2. 在右侧设置界面，单击群机器人。
   
3. 在群机器人界面单击添加机器人。
4. 单击自定义机器人。
   
5. 设置自定义机器人的头像、名称和描述，并单击添加。
   

步骤二 获取机器人 Webhook 地址和签名密钥

添加自定义机器人后，飞书平台会自动生成机器人 Webhook 地址和签名校验密钥。

获取 Webhook 地址

获取签名校验密钥

在安全设置区域，选择签名校验。系统默认提供了一个密钥。你也可以点击重置，更换密钥。

步骤三 添加飞书通知机器人到安全智能体

1. 登录火山引擎安全智能体控制台。

2. 在页面左侧导航栏，选择设置中心 > 数据接入。

3. 单击添加通知机器人。

4. 配置相关参数。

   配置	参数
   通知平台	选择飞书。
   机器人名称	自定义通知机器人的名称，用于区分不同的通知机器人。 该名称可以与步骤一 在飞书群组内添加自定义机器人中配置的名称一致，也可以是自定义的名称。
   Webhook 地址	在工作群内添加自定义飞书机器人时，飞书自动生成对应的 Webhook 地址，格式如下：https://open.feishu.cn/open-apis/bot/v2/hook/xxxxxxxxxxxxxxxxx， 获取方式参考获取 Webhook 地址。
   密钥	可选配置，用于向飞书发送请求时验证签名，保证数据来源可靠。 获取方式参考获取签名校验密钥。
   通知范围	根据研判结果类型，设置飞书机器人的通知范围。例如仅关注存在攻击风险的告警，则选择已攻陷和攻击尝试。

   

步骤四 测试机器人效果

配置完成后，可单击发送测试通知，校验通知机器人是否正常工作。如测试正常，请单击确定完成添加。

以下为测试通知效果示例。

通知效果说明

添加完成后，通知机器人即为启用状态，安全智能体会根据通知范围将研判完成的安全事件推送至机器人所在群组。你也可以在通知设置列表随时测试、编辑、删除或禁用机器人。