SIEM Integration

Envía eventos de seguridad a Splunk HEC o a cualquier endpoint HTTP personalizado.

Envía eventos de seguridad en tiempo real a tu SIEM para monitoreo centralizado y cumplimiento.

Integraciones Compatibles

Plataforma	Método
Splunk	HTTP Event Collector (HEC)
Custom HTTP	Cualquier endpoint HTTP/HTTPS

Configuración

Abre Settings → Integrations (solo orgs enterprise) o navega directamente a la página Enterprise Configuration.
La tarjeta SIEM muestra qué dominio estás configurando.
Habilita SIEM Integration.
Selecciona tu SIEM Type (Splunk (HEC) o Custom HTTP Endpoint).
Configura los ajustes del endpoint (ver abajo).
Guarda la configuración.

Configuración de Splunk HEC

Campo	Descripción
HEC URL	Tu endpoint HEC de Splunk (p. ej. `https://splunk.example.com:8088/services/collector`)
HEC Token	Token de autenticación para HEC
Index	Índice de Splunk de destino (predeterminado: `main`)

Configuración de Custom HTTP Endpoint

Para sistemas SIEM que no son Splunk o integraciones personalizadas:

Campo	Descripción	Predeterminado
Endpoint URL	URL HTTP/HTTPS de destino a la que enviar eventos	-
HTTP Method	POST, PUT o PATCH	POST
Custom Headers	Objeto JSON de encabezados HTTP (p. ej. para autenticación)	`{"Content-Type": "application/json"}`
Timeout	Tiempo de espera de la solicitud en segundos	10
Verify SSL	Si validar los certificados SSL	Habilitado
Include Metadata	Envolver eventos con los campos source/sourcetype/index	Habilitado

Formato de Payload HTTP Personalizado

Cuando Include Metadata está habilitado, los eventos se envían así:

{
  "event": {
    "type": "tool_call",
    "timestamp": "2026-01-19T10:30:00.000Z",
    "session_id": "abc-123",
    "tool_name": "filesystem.read_file",
    "parameters": { "path": "/etc/config" },
    "status": "ok",
    "duration_ms": 45.2
  },
  "source": "edison-watch",
  "sourcetype": "cef",
  "index": "main"
}

Cuando Include Metadata está deshabilitado, solo se envía el objeto de evento sin procesar.

Modos de Transmisión

Modo	Valor	Descripción
All	`all`	Transmite todas las llamadas a herramientas y eventos de seguridad
Security Only	`security_only`	Transmite solo los eventos relacionados con seguridad (bloqueos, cambios de estado, indicadores del lethal trifecta)

Tipos de Eventos

Edison Watch transmite actividad por sesión:

Tool Calls: Metadatos de cada acción (timestamp, usuario, nombre de la herramienta, duración).
Security Events: Cambios de indicadores (Trifecta) y violaciones de ACL.
Approvals: Registros de auditoría de decisiones human-in-the-loop.
Admin Actions: Cambios de configuración y actualizaciones de roles de usuario.

Common Event Format (CEF)

Los eventos de Splunk HEC se envían como cadenas CEF (Common Event Format):

CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=success

Rendimiento y Fiabilidad

Asincrónico: Los eventos se envían en una tarea fire-and-forget, por lo que la transmisión a SIEM no está en la ruta crítica de la ejecución de herramientas.
Best effort: Si el endpoint SIEM no está disponible o está mal configurado, los eventos pueden perderse (Edison Watch registra el error).

¿Necesitas ayuda para configurar la integración con SIEM? Escribe a [email protected].

SIEM Integration

On this page