.. _siem:

Integración con SIEM
====================

WOCU-Monitoring incorpora capacidades avanzadas para la adaptación,
normalización y exportación de logs de seguridad, facilitando su
integración con plataformas SIEM (*Security Information and Event
Management*). Esta funcionalidad permite que los eventos generados por
la herramienta sean transformados a formatos estandarizados, asegurando
su correcta interpretación y explotación por sistemas externos de
ciberseguridad.

La integración con SIEM refuerza el cumplimiento de políticas de
seguridad corporativas, permitiendo la correlación de eventos,
detección temprana de amenazas y auditoría centralizada dentro de un
ecosistema unificado.

td-agent
--------

Este servicio toma una fuente (archivo, puerto, etc.), la procesa y envía
los datos a un destino (base de datos, archivo, endpoint, etc.).

Se utilizan varios archivos de configuración para definir el flujo de trabajo.

auditlogs2endpoint
""""""""""""""""""

.. image:: ../images/administrator_guide/7_101_siem_netflow.png
    :align: center
    :scale: 80%

Este archivo de configuración lee los siguientes archivos y envía los datos a
un endpoint externo (normalmente un SIEM):

    * ``wocu_aggregator_user_db_audit.log``
    * ``wocu_import-tool_user_db_audit.log``
    * ``wocu_user_audit.log``

Para utilizarlo, es necesario configurar las siguientes variables de WOCU-Monitoring
en la sección ``wocu-aggregator`` (``/etc/wocu/wocu.yml``):

    * ``siem_sender_enabled``
    * ``siem_http_method``
    * ``siem_token``
    * ``siem_url``

.. Note::

    Más información sobre variables en: :ref:`settings_conf`.