Integration

SIEM / Splunk Connector

Export von Sicherheitsereignissen, Incident-Daten und Audit-Logs an SIEM-Systeme. Unterstützt CEF, JSON und Rohformat für Splunk, QRadar und Azure Sentinel.

Hinweis: Diese Dokumentation beschreibt den geplanten SIEM-Connector. Die Implementierung befindet sich in der Entwicklungsphase. Anforderungen und Formate können sich bis zur Produktivfreigabe ändern.

Übersicht

Der SIEM-Connector exportiert folgende Ereignistypen aus der Resilience Platform in Echtzeit oder als Batch-Export:

Sicherheitsvorfälle

Klassifizierte Incidents mit Severity, Timestamp, betroffenen Assets und Massnahmen

Audit-Logs

Alle konfigurationsrelevanten Änderungen, Zugriffe und Freigaben mit Nutzerkontext

Health-Checks

Plattform-Health-Ereignisse: Verfügbarkeit, SSL, Disk, Guardian-Status

Findings

Prüfungsfeststellungen, offene Massnahmen und Risikobewertungen

Log-Formate

Der Connector unterstützt drei Ausgabeformate:

CEF (Common Event Format)

Standardformat für SIEM-Integrationen. Kompatibel mit Splunk, QRadar, ArcSight und Azure Sentinel.

CEF:0|Resilience Platform|Security Module|1.0|100|Incident Report|5
dvc=10.0.0.1 start=2026-06-14T10:00:00Z
msg=Ransomware-Angriff auf kwF-System
cs1Label=incidentType cs1=Ransomware
cs2Label=severity cs2=Major
cs3Label=status cs3=open
cs4Label=asset cs4=PROD-DB-001
cs5Label=owner cs5=cert@institut.de

JSON Structured

Strukturiertes JSON für moderne SIEM-Plattformen und Eigenentwicklungen.

{
  "eventType": "incident",
  "severity": "Major",
  "timestamp": "2026-06-14T10:00:00Z",
  "source": "Resilience Platform",
  "incidentType": "Ransomware",
  "asset": "PROD-DB-001",
  "status": "open",
  "owner": "cert@institut.de",
  "message": "Ransomware-Angriff auf kwF-System"
}

Syslog / Rohformat

Einfaches Syslog-Format für Legacy-Systeme und einfache Log-Aggregation.

Jun 14 10:00:00 resilience-platform incident[1234]: [Major] Ransomware-Angriff auf kwF-System | Asset=PROD-DB-001 | Status=open

Splunk-Konfiguration

1. HTTP Event Collector (HEC) einrichten: Splunk → Einstellungen → Datenaufnahme → HTTP Event Collector → Neuen Token erstellen

2. Connector konfigurieren: Plattform → Integrationen → SIEM → HEC-URL und Token eintragen

3. Ereignistypen wählen: Incidents, Audit-Logs, Health-Checks, Findings einzeln aktivierbar

4. Test-Event senden: Verbindung prüfen mit einem Beispiel-Event

Splunk Query Beispiel:

index=resilience source="resilience-platform"
| stats count by severity
| sort -count

index=resilience "Ransomware"
| table _time, severity, incidentType, asset, status
| sort -_time

Event-Referenz

Ereignis	Severity	CEF-ID	Beschreibung
Incident (Major)	high	100	Kritischer Sicherheitsvorfall
Incident (Significant)	medium	101	Wesentlicher Vorfall
Finding (Critical)	high	200	Kritische Prüfungsfeststellung
Health Check (Warning)	medium	300	Plattform-Warnung (SSL, Disk)
Audit Log	info	400	Konfigurationsänderung
Webhook Failure	medium	500	Webhook-Übermittlung fehlgeschlagen

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-06-14

Splunk HTTP Event Collector Dokumentation Stand: Abruf 2026-06-14
ArcSight CEF Common Event Format Stand: Abruf 2026-06-14
Azure Monitor Data Collection Rules Stand: Abruf 2026-06-14

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.