Наблюдаемость
Передавайте каждое событие в ваш SIEM - подписанным и проверяемым.
События аудита и безопасности передаются в реальном времени в Splunk, Datadog, Elastic, Microsoft Sentinel, S3 WORM или обычный syslog. Каждое событие упаковано в подписанный JWT-конверт поверх mTLS. При переподключении пробелы воспроизводятся повторно; остановка проходит корректно.
Synaptyx
Splunk
Datadog
Elastic
Sentinel
S3 WORM
Syslog
Как это работает
1
Событие сгенерировано
Запись аудита подписывается и передаётся отправителю в SIEM.
2
Упаковка в JWT
Событие + подпись аудита упакованы в JWS-конверт с ключом для каждого получателя.
3
Отправка поверх mTLS
Взаимный TLS к вашему приёмнику. Никакого открытого текста, никаких API-ключей в передаче.
4
Повтор при переподключении
Пробелы автоматически воспроизводятся из надёжного буфера.
Подробнее
Подписанные конверты
Ваш приёмник проверяет подпись JWS нашим pubkey - события невозможно подделать в передаче, а ваш SIEM может доказать происхождение во время аудита.
Гарантии доставки
Доставка не менее одного раза с идемпотентными ID. Обратное давление при замедлении приёмника. Режим слива выгружает ожидающие события и корректно останавливается.
Приёмники WORM / комплаенс
S3 Object Lock в режиме governance или compliance для неизменяемого хранения - аудиторы сразу получают доказательство хранения.
Настройка приёмника
config · yaml
sinks:
- name: splunk-prod
kind: splunk_hec
endpoint: https://splunk.acme.internal:8088
mtls:
cert_ref: vault://platform/splunk/client-cert
filters:
- action_prefix: audit.session → include
- action_prefix: audit.vault → include
- jsonpath: $.actor.role == "viewer" → exclude
delivery:
format: ecs
batch: 100
backoff: 2s → 30s
Ваш SIEM - это источник истины, мы лишь снабжаем его подписанными данными.
Когда поступит запрос по факту взлома, аудитор использует ваши подписанные записи, а не наши. Мы - курьер.
Сравнение
| Synaptyx | Вебхуки (без подписи) | Ручной экспорт логов | |
|---|---|---|---|
| Доставка в реальном времени | push по mTLS | POST без подписи | только пакетами |
| Подписанные конверты | JWS · ключ на приёмник | нет | нет |
| Повтор при переподключении | надёжный буфер | потеря при сбое | неприменимо |
| Несколько приёмников | все одновременно | один URL | вручную |
| Комплаенс WORM | S3 Object Lock (Enterprise) | нет | нет |
Частые вопросы
События буферизуются локально (по умолчанию 30 дней) и воспроизводятся при переподключении с идемпотентными ID. Управляющая плоскость продолжает работать.
Да. Типичная схема - Splunk для SOC + S3 WORM для комплаенса + Datadog для инженеров, всё из одного потока событий с независимыми правилами фильтрации.
По умолчанию ECS (Elastic Common Schema); для каждого приёмника также доступны raw_json, CEF, LEEF и syslog. Также для каждого приёмника доступен вариант OCSF и пользовательские сопоставления полей через YAML-преобразование.
Правила фильтрации для каждого приёмника поддерживают jsonpath → redact. Поля с PII можно убрать до того, как они попадут в менее доверенные приёмники.
Готовы управлять своей AI-инфраструктурой?
Запросите доступ за пару минут - или обсудите с нами вашу установку в air-gap.