Перейти к содержанию

Интеграция с SIEM

AegisAI экспортирует события безопасности во внешние SIEM-системы для централизованного мониторинга и compliance.

Обзор

Экспортёр SIEM работает внутри процесса API. События батчируются и отправляются асинхронно — аутентификация и API-запросы не блокируются.

Источники событий

Домен Примеры
Пользователи login, logout, SSO login, login_failed, смена ролей
API-ключи создание, отзыв
Политики CRUD, нарушения
Агенты регистрация, обновление
WebSocket anomaly.detected, hitl.resolved

Форматы

Формат SIEM_FORMAT Назначение
Syslog RFC 5424 syslog Универсальный SIEM
CEF cef ArcSight, QRadar
LEEF leef IBM QRadar
JSONL jsonl Splunk HEC, ELK

Настройка

SIEM_ENABLED=true
SIEM_FORMAT=jsonl
SIEM_TRANSPORT=auto
SIEM_BATCH_SIZE=100
SIEM_BATCH_TIMEOUT=5
SIEM_CONNECT_TIMEOUT=5.0

Splunk HEC

SPLUNK_HEC_URL=https://splunk.example.com:8088/services/collector/event
SPLUNK_HEC_TOKEN=your-hec-token

Elasticsearch

ELK_URL=https://elasticsearch.example.com:9200
ELK_INDEX=aegisai-%Y.%m.%d

Placeholder URL

Не включайте SIEM с несуществующими хостами (https://splunk:8088 без сервиса Splunk). Используйте SIEM_ENABLED=false до настройки реального destination.

API (Admin)

Требуется JWT Super Admin или X-Admin-Key.

# Статус
curl https://aegisai.example.com/api/v1/siem/status \
  -H "X-Admin-Key: <admin-api-key>"

# Тестовое событие
curl -X POST https://aegisai.example.com/api/v1/siem/test \
  -H "X-Admin-Key: <admin-api-key>"

Производительность

  • События auth/audit отправляются fire-and-forget
  • Сетевые запросы выполняются вне batch lock
  • Login не блокируется при недоступном SIEM

Нагрузочное тестирование

./scripts/run_load_test.sh

См. также