Integración SIEM

Transmite eventos de seguridad a Splunk HEC o cualquier punto final HTTP personalizado.

Transmite eventos de seguridad en tiempo real a tu SIEM para monitoreo centralizado y cumplimiento.

Integraciones Soportadas

Plataforma	Método
Splunk	HTTP Event Collector (HEC)
HTTP Personalizado	Cualquier punto final HTTP/HTTPS

Configuración

Ve a Configuración Externa en el panel de control.
La tarjeta SIEM muestra qué dominio estás configurando.
Habilita Integración SIEM.
Selecciona tu Tipo de SIEM (Splunk HEC o Punto final HTTP Personalizado).
Configura los ajustes del punto final (ver abajo).
Guarda la configuración.

Configuración Splunk HEC

Campo	Descripción
HEC URL	Tu punto final Splunk HEC (ej., `https://splunk.example.com:8088/services/collector`)
HEC Token	Token de autenticación para HEC
Index	Índice Splunk objetivo (predeterminado: `main`)

Configuración de Punto Final HTTP Personalizado

Para sistemas SIEM no-Splunk o integraciones personalizadas:

Campo	Descripción	Predeterminado
URL del Punto Final	URL HTTP/HTTPS objetivo para enviar eventos	-
Método HTTP	POST, PUT o PATCH	POST
Encabezados Personalizados	Objeto JSON de encabezados HTTP (ej., para autenticación)	`{"Content-Type": "application/json"}`
Tiempo de Espera	Tiempo de espera de solicitud en segundos	10
Verificar SSL	Si validar certificados SSL	Habilitado
Incluir Metadatos	Envolver eventos con campos fuente/tipofuente/índice	Habilitado

Formato de Carga Útil HTTP Personalizado

Cuando Incluir Metadatos está habilitado, los eventos se envían como:

{
  "event": {
    "type": "tool_call",
    "timestamp": "2026-01-19T10:30:00.000Z",
    "session_id": "abc-123",
    "tool_name": "filesystem.read_file",
    "parameters": { "path": "/etc/config" },
    "status": "ok",
    "duration_ms": 45.2
  },
  "source": "edison-watch",
  "sourcetype": "cef",
  "index": "main"
}

Cuando Incluir Metadatos está deshabilitado, solo se envía el objeto de evento crudo.

Modos de Transmisión

Modo	Descripción
Todo	Transmite todas las llamadas a herramientas y eventos de seguridad
Solo Seguridad	Transmite solo eventos relacionados con la seguridad (bloqueos, cambios de estado, banderas de trifecta letal)

Tipos de Eventos

Edison Watch transmite actividad por sesión:

Llamadas a Herramientas: Metadatos para cada acción (marca de tiempo, usuario, nombre de herramienta, duración).
Eventos de Seguridad: Cambios de bandera (Trifecta) y violaciones de ACL.
Aprobaciones: Registros de auditoría de decisiones humano-en-el-bucle.
Acciones de Administrador: Cambios de configuración y actualizaciones de roles de usuario.

Formato de Evento Común (CEF)

Los eventos Splunk HEC se envían como cadenas CEF (Common Event Format):

CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=success

Rendimiento y Confiabilidad

Asíncrono: Los eventos se envían en una tarea de disparar y olvidar para que la transmisión SIEM no esté en la ruta crítica de ejecución de la herramienta.
Mejor esfuerzo: Si el punto final SIEM es inalcanzable o está mal configurado, los eventos pueden perderse (Edison Watch registra el error).

¿Necesitas ayuda configurando la integración SIEM? Envía un correo a [email protected].

Integración SIEM

On this page