SIEM Export
Экспорт audit log в SIEM системы: CEF, LEEF, Syslog, JSON
🔧 Business и выше
Обзор
FlowLink может экспортировать все audit события в стандартных форматах SIEM систем. Это позволяет интегрировать security events в существующий SOC workflow — RuSIEM, Splunk, Elastic SIEM, IBM QRadar, ArcSight.
Форматы
CEF— Common Event FormatСтандарт HP/HPE, широко поддерживается
Системы: ArcSight, Splunk, Elastic SIEM
LEEF— Log Event Extended FormatФормат IBM, компактный JSON-like
Системы: IBM QRadar
syslog— RFC 5424 SyslogRFC 5424, TCP/UDP, поддержка severity
Системы: RuSIEM, rsyslog, syslog-ng
json— Raw JSONСтруктурированный JSON, максимум данных
Системы: Elasticsearch, Logstash, Fluentd
Экспорт через API
bash
# CEF формат (для ArcSight/Splunk) curl "https://relay.example.com/api/audit/export?format=cef&since=24h" \ -H "Authorization: Bearer $TOKEN" # Syslog формат (для RuSIEM/rsyslog) curl "https://relay.example.com/api/audit/export?format=syslog&since=1h" \ -H "Authorization: Bearer $TOKEN" # JSON с фильтрами curl "https://relay.example.com/api/audit/export?format=json&since=7d&event_type=CommandBlocked" \ -H "Authorization: Bearer $TOKEN"
Автоматическая отправка
Настройте Webhook с SIEM форматом для автоматической отправки событий в реальном времени:
bash
curl -X POST https://relay.example.com/api/orgs/${ORG_ID}/webhooks \
-H "Authorization: Bearer $TOKEN" \
-d '{
"url": "https://siem.example.com/api/events",
"format": "cef",
"events": ["command_blocked", "command_executed", "injection_detected"],
"secret": "whk_your_hmac_secret"
}'Пример CEF события
text
CEF:0|FlowLink|Shield|1.0|CommandBlocked|Dangerous command blocked|8|src=10.0.1.5 suser=claude-agent duser=root msg=rm -rf /tmp/app cn1=riskScore cn1Label=RiskScore cn2=shieldLevel cn2Label=ShieldLevel
Фильтрация событий
event_typeCommandExecuted, CommandBlocked, InjectionDetected, etc.agent_idФильтр по агентуsince1h, 24h, 7d, 30dseveritylow, medium, high, critical