Siirry sisältöön
Synaptyx
Havaittavuus

Suoratoista kaikki tapahtumat SIEM:iisi, allekirjoitettuina ja todennettavina.

Auditointi- ja tietoturvatapahtumat lähetetään reaaliajassa Splunkiin, Datadogiin, Elasticiin, Microsoft Sentineliin, S3 WORM:iin tai tavalliseen syslogiin. Jokainen tapahtuma kääritään allekirjoitettuun JWT-kirjekuoreen mTLS:n yli. Uudelleenyhdistäminen toistaa mahdolliset aukot; tyhjennyspysäytys toimii hallitusti.

Synaptyx
Splunk
Datadog
Elastic
Sentinel
S3 WORM
Syslog

Miten se toimii

1
Tapahtuma lähetetään
Auditointirivi allekirjoitetaan ja lähetetään SIEM-lähetyspalveluun.
2
Kääritty JWT:hen
Tapahtuma + auditointikirjoitus kääritty JWS-kirjekuoreen, yksi avain per kohde.
3
Lähetetty mTLS:n yli
Molemminpuolinen TLS kohteeseen. Ei selväkielistä, ei API-avain siirron aikana.
4
Toisto uudelleenyhdistämisessä
Aukot toistetaan automaattisesti pysyvästä puskurista.

Syvät sukellukset

Allekirjoitetut kirjekuoret
Kohteesi todentaa JWS-allekirjoituksen julkisella avaimellamme - tapahtumia ei voi väärentää siirron aikana, ja SIEM:isi voi todistaa alkuperän auditoinnin aikana.
Toimitusvakuudet
Vähintään kerran idempotentteilla ID:illä. Takaisinpaine kun kohteesi hidastuu. Tyhjennysmoodissa huuhdellaan odottavat ja pysäytytään siististi.
WORM / vaatimustenmukaisuuden kohteet
S3 Object Lock governance- tai compliance-tilassa muuttumattomaan tallennukseen - tilintarkastajat saavat säilytystodisteen suoraan.

Määritä kohde

config · yaml
sinks: - name: splunk-prod kind: splunk_hec endpoint: https://splunk.acme.internal:8088 mtls: cert_ref: vault://platform/splunk/client-cert filters: - action_prefix: audit.session include - action_prefix: audit.vault include - jsonpath: $.actor.role == "viewer" exclude delivery: format: ecs batch: 100 backoff: 2s → 30s

SIEM:isi on totuuden lähde - me vain syötämme sitä, allekirjoitettuina.

Kun tietoturvaloukkauksen selvittely alkaa, tilintarkastaja käyttää allekirjoitettuja tietueita - omiamme, ei meidän. Olemme kuriiri.

Vertailu

SynaptyxWebhookit (allekirjoittamattomat)Manuaalinen lokivienti
Reaaliaikainen toimitusmTLS pushallekirjoittamaton POSTvain erissä
Allekirjoitetut kirjekuoretJWS - kohdekohtainen avaineiei
Toisto uudelleenyhdistämisessäpysyvä puskuripudotetaan vikaantuessaei sovellettavissa
Useita kohteitakaikki samanaikaisestiyksi URLmanuaalisesti
WORM-vaatimustenmukaisuusS3 Object Lock (Enterprise)eiei

UKK

Tapahtumat puskuroidaan paikallisesti (oletuksena 30 päivää) ja toistetaan uudelleenyhdistämisessä idempotentteilla ID:illä. Ohjaustaso jatkaa toimintaansa.
Kyllä. Yleinen kokoonpano on Splunk SOC:lle + S3 WORM vaatimustenmukaisuudelle + Datadog kehitykselle - kaikki samasta tapahtumavirrasta itsenäisillä suodatussäännöillä.
ECS (Elastic Common Schema) oletuksena; raw_json, CEF, LEEF ja syslog-variantit ovat myös saatavilla kohdekohtaisesti. Kohdekohtaisesti on saatavilla myös OCSF-variantti ja mukautetut kenttäkartoitukset YAML-muunnoksen kautta.
Kohdekohtaiset suodatussäännöt tukevat jsonpath - sensurointi. PII-kentät voidaan poistaa ennen kuin ne saavuttavat matalamman luottamuksen kohteet.

Valmis hallitsemaan tekoäly-infrastruktuuriasi?

Pyydä pääsyä minuuteissa - tai kerro meille air-gap-käyttöönotostasi.

Aloita