SIEM Integration
สตรีม security event ไปยัง Splunk HEC หรือ HTTP endpoint แบบกำหนดเอง
สตรีม security event แบบเรียลไทม์ไปยัง SIEM ของคุณสำหรับการตรวจสอบแบบรวมศูนย์และการปฏิบัติตามข้อกำหนด
การรวมระบบที่รองรับ
| แพลตฟอร์ม | วิธี |
|---|---|
| Splunk | HTTP Event Collector (HEC) |
| Custom HTTP | HTTP/HTTPS endpoint ใดๆ |
การกำหนดค่า
- เปิด Settings → Integrations (เฉพาะองค์กร enterprise) หรือไปที่หน้า Enterprise Configuration โดยตรง
- การ์ด SIEM แสดงโดเมนที่คุณกำลังกำหนดค่า
- เปิดใช้งาน SIEM Integration
- เลือก SIEM Type ของคุณ (Splunk (HEC) หรือ Custom HTTP Endpoint)
- กำหนดค่า endpoint (ดูด้านล่าง)
- บันทึกการกำหนดค่า
การกำหนดค่า Splunk HEC
| ฟิลด์ | คำอธิบาย |
|---|---|
| HEC URL | Splunk HEC endpoint ของคุณ (เช่น https://splunk.example.com:8088/services/collector) |
| HEC Token | Authentication token สำหรับ HEC |
| Index | Splunk index เป้าหมาย (ค่าเริ่มต้น: main) |
การกำหนดค่า Custom HTTP Endpoint
สำหรับระบบ SIEM ที่ไม่ใช่ Splunk หรือการรวมระบบแบบกำหนดเอง:
| ฟิลด์ | คำอธิบาย | ค่าเริ่มต้น |
|---|---|---|
| Endpoint URL | HTTP/HTTPS URL เป้าหมายที่จะส่ง event | - |
| HTTP Method | POST, PUT หรือ PATCH | POST |
| Custom Headers | JSON object ของ HTTP header (เช่น สำหรับการรับรองความถูกต้อง) | {"Content-Type": "application/json"} |
| Timeout | Request timeout เป็นวินาที | 10 |
| Verify SSL | ตรวจสอบ SSL certificate หรือไม่ | Enabled |
| Include Metadata | ห่อ event ด้วยฟิลด์ source/sourcetype/index | Enabled |
รูปแบบ Payload ของ Custom HTTP
เมื่อเปิดใช้งาน Include Metadata event จะถูกส่งเป็น:
{
"event": {
"type": "tool_call",
"timestamp": "2026-01-19T10:30:00.000Z",
"session_id": "abc-123",
"tool_name": "filesystem.read_file",
"parameters": { "path": "/etc/config" },
"status": "ok",
"duration_ms": 45.2
},
"source": "edison-watch",
"sourcetype": "cef",
"index": "main"
}เมื่อปิดใช้งาน Include Metadata จะส่งเฉพาะ raw event object เท่านั้น
Stream Modes
| โหมด | ค่า | คำอธิบาย |
|---|---|---|
| All | all | สตรีม tool call และ security event ทั้งหมด |
| Security Only | security_only | สตรีมเฉพาะ event ที่เกี่ยวข้องกับความปลอดภัย (การบล็อก การเปลี่ยนแปลงสถานะ แฟล็ก lethal trifecta) |
ประเภทของ Event
Edison Watch สตรีมกิจกรรมต่อเซสชัน:
- Tool Calls: Metadata สำหรับทุก action (timestamp, user, tool name, duration)
- Security Events: การเปลี่ยนแปลงแฟล็ก (Trifecta) และการละเมิด ACL
- Approvals: บันทึก audit ของการตัดสินใจ human-in-the-loop
- Admin Actions: การเปลี่ยนแปลงการกำหนดค่าและการอัปเดตบทบาทผู้ใช้
Common Event Format (CEF)
Event ของ Splunk HEC ถูกส่งเป็นสตริง CEF (Common Event Format):
CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=successประสิทธิภาพและความเชื่อถือได้
- Asynchronous: Event ถูกส่งในงาน fire-and-forget ดังนั้น SIEM streaming จะไม่อยู่บน critical path ของการทำงานของเครื่องมือ
- Best effort: หาก SIEM endpoint ไม่สามารถเข้าถึงได้หรือกำหนดค่าผิด event อาจถูกทิ้ง (Edison Watch บันทึก error)
ต้องการความช่วยเหลือในการตั้งค่า SIEM integration หรือไม่? ส่งอีเมลถึง [email protected]