Queremos integrar os logs da Cortex com nosso SIEM (Splunk/Sentinel). Como?
1 Answers
A Cortex suporta exportação de logs em tempo real para os principais SIEMs:
Plataformas suportadas:
- Splunk (via HEC — HTTP Event Collector)
- Microsoft Sentinel (via Log Analytics)
- Elastic Stack (via API)
- Datadog (via API)
- IBM QRadar, Sumo Logic, CrowdStrike
- Genérico: Syslog / CEF, Kafka, webhook
Configuração em Admin → Integrações → SIEM:
- Escolha plataforma
- Preencha URL/token de endpoint
- Selecione eventos a exportar (default: todos)
- Configure mapeamento de campos (se necessário)
- Teste envio
Eventos recomendados para monitorar:
- Login/logout, acessos negados
- Filtros LGPD/DLP acionados
- Criação/modificação de agentes publicados
- Picos anômalos de uso (indicador de abuso)
- Ações admin (criação de key, mudança de permissões)
Formato padrão: JSON estruturado com request_id, timestamp, user, event_type, metadados específicos.
📖 Documentação completa na Wiki: