Havaittavuus
Suoratoista kaikki tapahtumat SIEM:iisi, allekirjoitettuina ja todennettavina.
Auditointi- ja tietoturvatapahtumat lähetetään reaaliajassa Splunkiin, Datadogiin, Elasticiin, Microsoft Sentineliin, S3 WORM:iin tai tavalliseen syslogiin. Jokainen tapahtuma kääritään allekirjoitettuun JWT-kirjekuoreen mTLS:n yli. Uudelleenyhdistäminen toistaa mahdolliset aukot; tyhjennyspysäytys toimii hallitusti.
Synaptyx
Splunk
Datadog
Elastic
Sentinel
S3 WORM
Syslog
Miten se toimii
1
Tapahtuma lähetetään
Auditointirivi allekirjoitetaan ja lähetetään SIEM-lähetyspalveluun.
2
Kääritty JWT:hen
Tapahtuma + auditointikirjoitus kääritty JWS-kirjekuoreen, yksi avain per kohde.
3
Lähetetty mTLS:n yli
Molemminpuolinen TLS kohteeseen. Ei selväkielistä, ei API-avain siirron aikana.
4
Toisto uudelleenyhdistämisessä
Aukot toistetaan automaattisesti pysyvästä puskurista.
Syvät sukellukset
Allekirjoitetut kirjekuoret
Kohteesi todentaa JWS-allekirjoituksen julkisella avaimellamme - tapahtumia ei voi väärentää siirron aikana, ja SIEM:isi voi todistaa alkuperän auditoinnin aikana.
Toimitusvakuudet
Vähintään kerran idempotentteilla ID:illä. Takaisinpaine kun kohteesi hidastuu. Tyhjennysmoodissa huuhdellaan odottavat ja pysäytytään siististi.
WORM / vaatimustenmukaisuuden kohteet
S3 Object Lock governance- tai compliance-tilassa muuttumattomaan tallennukseen - tilintarkastajat saavat säilytystodisteen suoraan.
Määritä kohde
config · yaml
sinks:
- name: splunk-prod
kind: splunk_hec
endpoint: https://splunk.acme.internal:8088
mtls:
cert_ref: vault://platform/splunk/client-cert
filters:
- action_prefix: audit.session → include
- action_prefix: audit.vault → include
- jsonpath: $.actor.role == "viewer" → exclude
delivery:
format: ecs
batch: 100
backoff: 2s → 30s
SIEM:isi on totuuden lähde - me vain syötämme sitä, allekirjoitettuina.
Kun tietoturvaloukkauksen selvittely alkaa, tilintarkastaja käyttää allekirjoitettuja tietueita - omiamme, ei meidän. Olemme kuriiri.
Vertailu
| Synaptyx | Webhookit (allekirjoittamattomat) | Manuaalinen lokivienti | |
|---|---|---|---|
| Reaaliaikainen toimitus | mTLS push | allekirjoittamaton POST | vain erissä |
| Allekirjoitetut kirjekuoret | JWS - kohdekohtainen avain | ei | ei |
| Toisto uudelleenyhdistämisessä | pysyvä puskuri | pudotetaan vikaantuessa | ei sovellettavissa |
| Useita kohteita | kaikki samanaikaisesti | yksi URL | manuaalisesti |
| WORM-vaatimustenmukaisuus | S3 Object Lock (Enterprise) | ei | ei |
UKK
Tapahtumat puskuroidaan paikallisesti (oletuksena 30 päivää) ja toistetaan uudelleenyhdistämisessä idempotentteilla ID:illä. Ohjaustaso jatkaa toimintaansa.
Kyllä. Yleinen kokoonpano on Splunk SOC:lle + S3 WORM vaatimustenmukaisuudelle + Datadog kehitykselle - kaikki samasta tapahtumavirrasta itsenäisillä suodatussäännöillä.
ECS (Elastic Common Schema) oletuksena; raw_json, CEF, LEEF ja syslog-variantit ovat myös saatavilla kohdekohtaisesti. Kohdekohtaisesti on saatavilla myös OCSF-variantti ja mukautetut kenttäkartoitukset YAML-muunnoksen kautta.
Kohdekohtaiset suodatussäännöt tukevat jsonpath - sensurointi. PII-kentät voidaan poistaa ennen kuin ne saavuttavat matalamman luottamuksen kohteet.
Valmis hallitsemaan tekoäly-infrastruktuuriasi?
Pyydä pääsyä minuuteissa - tai kerro meille air-gap-käyttöönotostasi.