Du får ett skrämmande e-postlarm – och sedan börjar rutinjobbet. Någon måste hitta mottagaren, skicka ett meddelande, kontrollera om det öppnades och skapa ett ärende. Det är långsamt och, ärligt talat, det är här uppföljningen ofta dör.
Det här drabbar säkerhetsansvariga först, men IT-chefer och driftteam känner av det också. Med den här automatiseringen för Slack Jira alerts blir rätt person notifierad snabbt, och incidenter med öppnade mejl blir Jira-ärenden utan att någon behöver agera sambandscentral.
Nedan ser du exakt hur flödet routar Sublime Security-larm till Slack och Jira, vilka resultat du kan förvänta dig och vad du behöver för att få det att rulla.
Så fungerar automatiseringen
Hela n8n-workflowen, från trigger till slutresultat:
n8n Workflow Template: Sublime Security till Slack + Jira, spåra snabbt
flowchart LR
subgraph sg0["Flow 1"]
direction LR
n0@{ icon: "mdi:swap-horizontal", form: "rounded", label: "has email been opened?", pos: "b", h: 48 }
n1["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/webhook.dark.svg' width='40' height='40' /></div><br/>Receive Sublime Security Alert"]
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>Get message details in Subli.."]
n3["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/jira.svg' width='40' height='40' /></div><br/>Jira Software"]
n4["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/httprequest.dark.svg' width='40' height='40' /></div><br/>lookup slack user by email"]
n5@{ icon: "mdi:swap-horizontal", form: "rounded", label: "user found?", pos: "b", h: 48 }
n6["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/slack.svg' width='40' height='40' /></div><br/>Found, notify user"]
n7@{ icon: "mdi:cog", form: "rounded", label: "Not Found, Do Nothing", pos: "b", h: 48 }
n8@{ icon: "mdi:cog", form: "rounded", label: "No, do nothing", pos: "b", h: 48 }
n9["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/code.svg' width='40' height='40' /></div><br/>Yes, prep flaggedRules table"]
n5 --> n6
n5 --> n7
n0 --> n9
n0 --> n8
n4 --> n5
n9 --> n3
n1 --> n2
n2 --> n0
n2 --> n4
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n0,n5 decision
class n1,n2,n4 api
class n9 code
classDef customIcon fill:none,stroke:none
class n1,n2,n3,n4,n6,n9 customIcon
Problemet: säkerhetslarm fastnar i “någon borde ta det här”
Sublime Security kan flagga potentiellt skadliga mejl, men larmet i sig stänger inte loopen. Någon måste fortfarande hämta meddelandedetaljer, lista ut vem som fick mejlet och säga vad personen ska göra. Sedan kommer den stora frågan: öppnades det? Om ja behöver du ett incidentspår i Jira med tillräcklig kontext för att kunna utreda. Om inte vill du ändå ha bevis på att det hanterades. Det värsta är kontextbytena. Slack, Jira, säkerhetskonsolen, kanske Gmail. Några minuter här och där blir snabbt ett konstant dropp av avbrott.
Det blir mycket på kort tid. Här är var det brukar fallera i verkliga team.
- Larm hamnar i en kanal, men ingen vet vem mottagaren är, så meddelandet pingar fel personer.
- Någon kopierar ämnesrad och avsändare till Jira för hand, vilket gör att detaljer tappas bort.
- Om mejlet öppnades blir eskaleringen ofta fördröjd eftersom “öppnat” inte kontrolleras konsekvent.
- När uppslagningen av Slack-användare misslyckas blir processen en manuell jakt i kataloger och inkorgar.
Lösningen: routa Sublime-larm till rätt person och skapa ärenden för öppnade incidenter
Den här n8n-workflowen gör ett Sublime Security-larm till en strukturerad och repeterbar incidenthanteringsrutin. Den startar i samma ögonblick som Sublime skickar ett webhook-larm med ett messageId. Workflowen hämtar omedelbart fullständiga meddelandedetaljer (ämne, avsändare, mottagare och reglerna som triggade flaggningen) via en HTTP-request. Därefter kör den två spår parallellt: ett spår försöker notifiera den faktiska mottagaren i Slack genom att slå upp personen via e-post, och det andra kontrollerar om mejlet öppnades med hjälp av Sublimes read_at-värde. Om det öppnades bygger workflowen en läsbar tabell över de flaggade reglerna och skapar ett Jira-ärende med utredningsdetaljerna. Om det inte öppnades hoppar den över Jira för att undvika brus.
Workflowen börjar med Sublimes inkommande webhook. Sedan berikar den larmet med meddelandedetaljer, och förgrenar sig därefter till Slack-notifiering och logik för “öppnat vs inte öppnat”. Till sist loggas öppnade incidenter som Jira-ärenden med den viktiga kontexten redan ifylld.
Det här får du: automatisering vs. resultat
| Det här automatiserar workflowen | Resultat du får |
|---|---|
|
|
Exempel: så här ser det ut i praktiken
Säg att du får runt 10 Sublime-larm i veckan. Manuell hantering kan innebära 10 minuter för att hämta meddelandedetaljer, 5 minuter för att hitta mottagaren och ytterligare 10 minuter för att skapa ett Jira-ärende om det verkar allvarligt – alltså cirka 25 minuter per larm (ungefär 4 timmar i veckan). Med den här workflowen sker triggringen direkt, Slack-notifieringen går automatiskt och Jira skapas bara för öppnade mejl. Din “mänskliga tid” blir en snabb granskning och uppföljning, ofta närmare 30 minuter totalt per vecka i stället för en hel eftermiddag.
Det här behöver du
- n8n-instans (testa n8n Cloud gratis)
- Alternativ för self-hosting om du föredrar det (Hostinger fungerar bra)
- Sublime Security för att skicka webhook-larm och messageIds.
- Slack för att notifiera mejlmottagaren (eller er SecOps-kanal).
- Jira Software för att logga incidenter med öppnade mejl som ärenden.
Kunskapsnivå: Medel. Du kopplar några konton, klistrar in API-tokens och testar med exempelpayloads för larm.
Vill du inte sätta upp det här själv? Prata med en automationsexpert (gratis 15-minuters konsultation).
Så fungerar det
Sublime triggar workflowen. När ett mejl flaggas POST:ar Sublime Security ett larm till n8n:s webhook, inklusive ett messageId som du kan använda för att hämta full kontext.
Meddelandedetaljer hämtas och normaliseras. n8n använder en HTTP Request-nod för att hämta ämnesrad, avsändare, mottagare, lässtatus och reglerna som triggade, och sätter sedan fält så att senare steg kan återanvända dem på ett strukturerat sätt.
Slack-notifieringen är riktad (när det går). Workflowen slår upp en Slack-användare via mottagarens e-postadress. Om användaren finns skickar den ett direktmeddelande som förklarar att mejlet har satts i karantän och utreds. Om användaren inte hittas tar workflowen en “no-op”-väg så att den varken spammar eller misslyckas.
Jira-eskalering sker bara för öppnade mejl. Om Sublime visar att mejlet öppnades (read_at finns), bygger ett litet kodsteg en läsbar tabell med flaggade regler och Jira-noden skapar ett ärende med kärndetaljerna redan ifyllda.
Du kan enkelt ändra vem som får notifieringen i Slack (mottagare vs kanal) och vad som kvalificerar för att skapa Jira (endast öppnade vs alla högallvarliga regler) utifrån dina behov. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementering
Steg 1: konfigurera webhook-triggern
Konfigurera den inkommande webhooken som tar emot karantänaviseringar från er säkerhetsplattform.
- Lägg till noden Inbound Security Webhook som trigger.
- Ställ in HTTP Method på
POST. - Ställ in Path på
3ea0b887-9caa-477e-b6e4-1d3edf72d11e. - Ställ in Authentication på
headerAuth. - Credential Required: Anslut era
httpHeaderAuth-uppgifter.
Steg 2: anslut uppslag mot säkerhets-API:t
Hämta fullständiga meddelandedetaljer från Sublime Security med meddelande-ID:t från webhookens payload.
- Lägg till Fetch Message Details efter Inbound Security Webhook.
- Ställ in URL till
=https://api.platform.sublimesecurity.com/v0/messages/{{ $json.body.data.messageId }}. - Ställ in Authentication på
genericCredentialTypeoch Generic Auth Type påhttpHeaderAuth. - Credential Required: Anslut era
httpHeaderAuth-uppgifter.
Execution Flow: Fetch Message Details skickar utdata parallellt till både Check If Opened och Find Slack User Email.
Steg 3: konfigurera villkorslogik och skapa Jira-ärende
Skapa bara ett Jira-ärende när det karantänsatta mejlet har öppnats, och bygg en regel-tabell för ärendets innehåll.
- I Check If Opened ställer ni in det booleska villkoret Value 1 till
={{ !!($json.read_at ?? false) }}och Value 2 tilltrue. - Koppla true-utgången från Check If Opened till Build Flagged Rules Table och false-utgången till Skip Jira Creation.
- I Build Flagged Rules Table ställer ni in Mode på
runOnceForEachItemoch klistrar in den tillhandahållna JavaScript Code för att bygga markdown-tabellen. - I Create Jira Issue ställer ni in Summary till
=Flagged email has been opened before quarantine | {{ $('Fetch Message Details').item.json.subject }}. - I Create Jira Issue ställer ni in Description till den tillhandahållna mallen med uttryck som
{{ $json["table"] }}och{{ $('Fetch Message Details').item.json["id"] }}. - Credential Required: Anslut era
jiraSoftwareCloudApi-uppgifter i Create Jira Issue.
⚠️ Vanlig fallgrop: Om Check If Opened är false kommer Create Jira Issue inte att köras. Säkerställ att källsystemet fyller i read_at när mejlet har öppnats.
Steg 4: konfigurera Slack-användaruppslag och aviseringar
Slå upp ägaren av brevlådan i Slack och avisera dem om karantänhändelsen.
- I Find Slack User Email ställer ni in URL till
https://slack.com/api/users.lookupByEmail. - Aktivera Send Query och ställ in frågeparametern email till
={{ $json.mailbox.email }}. - Ställ in Authentication på
predefinedCredentialTypeoch Node Credential Type påslackApi. - Credential Required: Anslut era
slackApi-uppgifter (ochslackOAuth2Apiom er workspace kräver OAuth2) i Find Slack User Email. - I Verify Slack User ställer ni in det booleska villkoret Value 1 till
={{ !!($json.user.id ?? false) }}och Value 2 tilltrue. - Koppla true-utgången från Verify Slack User till Notify User via Slack och false-utgången till No Slack User Action.
- I Notify User via Slack ställer ni in Select till
useroch User till={{ $json.user.id }}. - Ställ in Text till den tillhandahållna meddelandemallen som innehåller uttryck som
{{ $('Fetch Message Details').item.json["subject"] }}och{{ $('Fetch Message Details').item.json["id"] }}. - Credential Required: Anslut era
slackApi-uppgifter i Notify User via Slack.
Execution Flow: Find Slack User Email → Verify Slack User → Notify User via Slack (eller No Slack User Action om ingen användare hittas).
Steg 5: testa och aktivera ert workflow
Validera end-to-end-flödet från webhook-inhämtning till skapande i Jira och Slack-avisering.
- Använd Execute Workflow och skicka en exempel-POST-begäran till Inbound Security Webhook-URL:en som innehåller
body.data.messageIdochbody.data.flagged_rules. - Bekräfta att Fetch Message Details returnerar metadata för meddelandet som
subjectochread_at. - Verifiera att Check If Opened routar till Build Flagged Rules Table när
read_atfinns, och att Create Jira Issue skapar ett ärende med regel-tabellen. - Bekräfta att Find Slack User Email hittar användaren och att Notify User via Slack skickar meddelandet till rätt Slack-användar-ID.
- När ni är nöjda, slå på workflowet till Active för att aktivera livehantering av webhooks.
Vanliga fallgropar
- Slack-inloggningar kan gå ut eller kräva specifika behörigheter. Om saker slutar fungera, kontrollera först Slack-appens scopes och n8n:s testresultat för credentials.
- Om du använder Wait-noder eller extern rendering varierar processtiderna. Öka väntetiden om efterföljande noder fallerar på grund av tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in er tonalitet tidigt, annars kommer du att sitta och redigera utdata i all evighet.
Vanliga frågor
Cirka 30 minuter om du redan har åtkomst till Sublime, Slack och Jira redo.
Nej. Du kopplar främst konton och klistrar in rätt API-inloggningsuppgifter. Den enda “koden” här ingår redan för att formatera tabellen med flaggade regler.
Ja. n8n har ett gratis self-hosted-alternativ och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volymer. Du behöver också räkna in kostnader för dina planer i Sublime Security, Slack och Jira (API-åtkomst kan variera per workspace).
Två alternativ: n8n Cloud (hanterad, enklast att komma igång) eller self-hosting på en VPS. För self-hosting är Hostinger VPS prisvärd och klarar n8n bra. Self-hosting ger dig obegränsade körningar men kräver grundläggande serverdrift.
Ja, men då vill du ändra steget för Slack-notifiering. I stället för att slå upp en användare via e-post (logiken “Find Slack User Email” och “Verify Slack User”) kan du posta till en dedikerad kanal som #security-alerts med Slack-noden. Vanliga anpassningar är severity-baserad routing, att tagga en on-call-grupp och att bara skapa Jira-ärenden för specifika Sublime-regler.
Oftast handlar det om behörighetsscope eller en token som gått ut. Kontrollera Slack-credential i n8n igen, bekräfta att appen kan läsa användares e-postadresser för uppslagning och kör sedan en testkörning med en riktig mottagar-e-post från Sublime-payloaden. Om ditt workspace döljer e-postadresser kommer uppslagningen inte ge något resultat, vilket betyder att du bör byta till kanalbaserade notifieringar.
Väldigt många.
Ofta, ja, om du bryr dig om kontroll och tydlig förgrening. Den här workflowen har två parallella spår (Slack-notifiering plus logik för “öppnat vs inte öppnat”), och n8n hanterar den typen av flöde utan att det blir en röra av separata zaps och betalda paths. Self-hosting är också viktigt för SecOps-team som inte vill få prischocker per körning. Samtidigt kan Zapier eller Make gå snabbare för väldigt enkla upplägg av typen “skicka meddelande och skapa ärende”. Prata med en automationsexpert om du vill ha hjälp att välja.
När det här är live slutar säkerhetslarm vara en visklekskedja. Workflowen hanterar de repetitiva överlämningarna, och teamet får en snabbare och mer strukturerad väg från “flaggat” till “spårat och ägt”.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.