Integração SIEM

Envie eventos de segurança para o Splunk HEC ou qualquer endpoint HTTP personalizado.

Envie eventos de segurança em tempo real para o seu SIEM para monitoramento centralizado e conformidade.

Integrações Compatíveis

Plataforma	Método
Splunk	HTTP Event Collector (HEC)
Custom HTTP	Qualquer endpoint HTTP/HTTPS

Configuração

Abra Settings → Integrations (apenas organizações enterprise) ou navegue diretamente para a página Enterprise Configuration.
O card SIEM mostra qual domínio você está configurando.
Habilite SIEM Integration.
Selecione seu SIEM Type (Splunk (HEC) ou Custom HTTP Endpoint).
Configure as definições do endpoint (veja abaixo).
Salve a configuração.

Configuração do Splunk HEC

Campo	Descrição
HEC URL	Seu endpoint Splunk HEC (por exemplo, `https://splunk.example.com:8088/services/collector`)
HEC Token	Token de autenticação para o HEC
Index	Índice Splunk de destino (padrão: `main`)

Configuração do Custom HTTP Endpoint

Para sistemas SIEM que não são Splunk ou integrações personalizadas:

Campo	Descrição	Padrão
Endpoint URL	URL HTTP/HTTPS de destino para enviar eventos	-
HTTP Method	POST, PUT ou PATCH	POST
Custom Headers	Objeto JSON de cabeçalhos HTTP (por exemplo, para autenticação)	`{"Content-Type": "application/json"}`
Timeout	Timeout da requisição em segundos	10
Verify SSL	Se deve validar certificados SSL	Habilitado
Include Metadata	Envelopa eventos com campos source/sourcetype/index	Habilitado

Formato do Payload Custom HTTP

Quando Include Metadata está habilitado, os eventos são enviados como:

{
  "event": {
    "type": "tool_call",
    "timestamp": "2026-01-19T10:30:00.000Z",
    "session_id": "abc-123",
    "tool_name": "filesystem.read_file",
    "parameters": { "path": "/etc/config" },
    "status": "ok",
    "duration_ms": 45.2
  },
  "source": "edison-watch",
  "sourcetype": "cef",
  "index": "main"
}

Quando Include Metadata está desabilitado, apenas o objeto de evento bruto é enviado.

Modos de Stream

Modo	Valor	Descrição
All	`all`	Envia todas as chamadas de ferramenta e eventos de segurança
Security Only	`security_only`	Envia apenas eventos relacionados à segurança (bloqueios, mudanças de status, flags da lethal trifecta)

Tipos de Evento

O Edison Watch envia atividade por sessão:

Tool Calls: Metadata de cada ação (timestamp, usuário, nome da ferramenta, duração).
Eventos de Segurança: Mudanças de flag (Trifecta) e violações de ACL.
Approvals: Registros de auditoria das decisões de human-in-the-loop.
Ações Administrativas: Alterações de configuração e atualizações de papéis de usuário.

Common Event Format (CEF)

Eventos Splunk HEC são enviados como strings CEF (Common Event Format):

CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=success

Desempenho e Confiabilidade

Assíncrono: Os eventos são enviados em uma tarefa fire-and-forget, de modo que o streaming SIEM não está no caminho crítico da execução da ferramenta.
Best effort: Se o endpoint SIEM estiver inacessível ou mal configurado, eventos podem ser descartados (o Edison Watch registra o erro).

Precisa de ajuda para configurar a integração SIEM? Envie um e-mail para [email protected].

Integração SIEM

On this page