SIEM Integration

สตรีม security event ไปยัง Splunk HEC หรือ HTTP endpoint แบบกำหนดเอง

สตรีม security event แบบเรียลไทม์ไปยัง SIEM ของคุณสำหรับการตรวจสอบแบบรวมศูนย์และการปฏิบัติตามข้อกำหนด

การรวมระบบที่รองรับ

แพลตฟอร์ม	วิธี
Splunk	HTTP Event Collector (HEC)
Custom HTTP	HTTP/HTTPS endpoint ใดๆ

การกำหนดค่า

เปิด Settings → Integrations (เฉพาะองค์กร enterprise) หรือไปที่หน้า Enterprise Configuration โดยตรง
การ์ด SIEM แสดงโดเมนที่คุณกำลังกำหนดค่า
เปิดใช้งาน SIEM Integration
เลือก SIEM Type ของคุณ (Splunk (HEC) หรือ Custom HTTP Endpoint)
กำหนดค่า endpoint (ดูด้านล่าง)
บันทึกการกำหนดค่า

การกำหนดค่า Splunk HEC

ฟิลด์	คำอธิบาย
HEC URL	Splunk HEC endpoint ของคุณ (เช่น `https://splunk.example.com:8088/services/collector`)
HEC Token	Authentication token สำหรับ HEC
Index	Splunk index เป้าหมาย (ค่าเริ่มต้น: `main`)

การกำหนดค่า Custom HTTP Endpoint

สำหรับระบบ SIEM ที่ไม่ใช่ Splunk หรือการรวมระบบแบบกำหนดเอง:

ฟิลด์	คำอธิบาย	ค่าเริ่มต้น
Endpoint URL	HTTP/HTTPS URL เป้าหมายที่จะส่ง event	-
HTTP Method	POST, PUT หรือ PATCH	POST
Custom Headers	JSON object ของ HTTP header (เช่น สำหรับการรับรองความถูกต้อง)	`{"Content-Type": "application/json"}`
Timeout	Request timeout เป็นวินาที	10
Verify SSL	ตรวจสอบ SSL certificate หรือไม่	Enabled
Include Metadata	ห่อ event ด้วยฟิลด์ source/sourcetype/index	Enabled

รูปแบบ Payload ของ Custom HTTP

เมื่อเปิดใช้งาน Include Metadata event จะถูกส่งเป็น:

{
  "event": {
    "type": "tool_call",
    "timestamp": "2026-01-19T10:30:00.000Z",
    "session_id": "abc-123",
    "tool_name": "filesystem.read_file",
    "parameters": { "path": "/etc/config" },
    "status": "ok",
    "duration_ms": 45.2
  },
  "source": "edison-watch",
  "sourcetype": "cef",
  "index": "main"
}

เมื่อปิดใช้งาน Include Metadata จะส่งเฉพาะ raw event object เท่านั้น

Stream Modes

โหมด	ค่า	คำอธิบาย
All	`all`	สตรีม tool call และ security event ทั้งหมด
Security Only	`security_only`	สตรีมเฉพาะ event ที่เกี่ยวข้องกับความปลอดภัย (การบล็อก การเปลี่ยนแปลงสถานะ แฟล็ก lethal trifecta)

ประเภทของ Event

Edison Watch สตรีมกิจกรรมต่อเซสชัน:

Tool Calls: Metadata สำหรับทุก action (timestamp, user, tool name, duration)
Security Events: การเปลี่ยนแปลงแฟล็ก (Trifecta) และการละเมิด ACL
Approvals: บันทึก audit ของการตัดสินใจ human-in-the-loop
Admin Actions: การเปลี่ยนแปลงการกำหนดค่าและการอัปเดตบทบาทผู้ใช้

Common Event Format (CEF)

Event ของ Splunk HEC ถูกส่งเป็นสตริง CEF (Common Event Format):

CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=success

ประสิทธิภาพและความเชื่อถือได้

Asynchronous: Event ถูกส่งในงาน fire-and-forget ดังนั้น SIEM streaming จะไม่อยู่บน critical path ของการทำงานของเครื่องมือ
Best effort: หาก SIEM endpoint ไม่สามารถเข้าถึงได้หรือกำหนดค่าผิด event อาจถูกทิ้ง (Edison Watch บันทึก error)

ต้องการความช่วยเหลือในการตั้งค่า SIEM integration หรือไม่? ส่งอีเมลถึง [email protected]

SIEM Integration

On this page