Интеграция с SIEM¶
AegisAI экспортирует события безопасности во внешние SIEM-системы для централизованного мониторинга и compliance.
Обзор¶
Экспортёр SIEM работает внутри процесса API. События батчируются и отправляются асинхронно — аутентификация и API-запросы не блокируются.
Источники событий¶
| Домен | Примеры |
|---|---|
| Пользователи | login, logout, SSO login, login_failed, смена ролей |
| API-ключи | создание, отзыв |
| Политики | CRUD, нарушения |
| Агенты | регистрация, обновление |
| WebSocket | anomaly.detected, hitl.resolved |
Форматы¶
| Формат | SIEM_FORMAT |
Назначение |
|---|---|---|
| Syslog RFC 5424 | syslog |
Универсальный SIEM |
| CEF | cef |
ArcSight, QRadar |
| LEEF | leef |
IBM QRadar |
| JSONL | jsonl |
Splunk HEC, ELK |
Настройка¶
SIEM_ENABLED=true
SIEM_FORMAT=jsonl
SIEM_TRANSPORT=auto
SIEM_BATCH_SIZE=100
SIEM_BATCH_TIMEOUT=5
SIEM_CONNECT_TIMEOUT=5.0
Splunk HEC¶
SPLUNK_HEC_URL=https://splunk.example.com:8088/services/collector/event
SPLUNK_HEC_TOKEN=your-hec-token
Elasticsearch¶
Placeholder URL
Не включайте SIEM с несуществующими хостами (https://splunk:8088 без сервиса Splunk). Используйте SIEM_ENABLED=false до настройки реального destination.
API (Admin)¶
Требуется JWT Super Admin или X-Admin-Key.
# Статус
curl https://aegisai.example.com/api/v1/siem/status \
-H "X-Admin-Key: <admin-api-key>"
# Тестовое событие
curl -X POST https://aegisai.example.com/api/v1/siem/test \
-H "X-Admin-Key: <admin-api-key>"
Производительность¶
- События auth/audit отправляются fire-and-forget
- Сетевые запросы выполняются вне batch lock
- Login не блокируется при недоступном SIEM