pult-siem
pult-siem — опциональный интеграционный сервис экспорта событий журнала аудита Пульта во внешнюю SIEM/SOC-систему (Syslog RFC 5424, полезная нагрузка CEF). Его разворачивают при интеграции с системой мониторинга безопасности; для таких сценариев компонент фактически обязателен.
Подготовка
-
Создайте в PostgreSQL базу данных для SIEM-модуля (например,
siem) и пользователя с правами на неё. БД SIEM не обязана находиться на том же инстансе PostgreSQL, что и основная БД Пульта — в примере ниже используется общий сервисpostgresqlв docker-сети. -
Убедитесь, что
pult-siemимеет доступ к основной БД Пульта (куда пишетpult-server) — параметрыZABBIX_POSTGRES_*. -
Подготовьте файл
.env_siemи переменные дляpult-web.
Сервис в docker-compose.yml
Добавьте сервис pult-siem в docker-compose.yml:
pult-siem:
image: registry.pult.chislitellab.ru:8123/releases/2.3.0/siem-redos8:7.4.9
container_name: pult-siem
restart: unless-stopped
ports:
- "18083:8000"
env_file:
- .env_siem
depends_on:
- postgresql
Порт 18083:8000 пробрасывает API SIEM на хост (18083 — внешний порт).
Пример .env_siem
# Настройки БД SIEM (может быть отдельный инстанс PostgreSQL)
MODULE_POSTGRES_HOST=postgresql
MODULE_POSTGRES_PORT=5432
MODULE_POSTGRES_DB=siem
MODULE_POSTGRES_USER=pult
MODULE_POSTGRES_PASSWORD=changeme
# Настройки основной БД Пульт (куда пишет pult-server)
ZABBIX_POSTGRES_HOST=postgresql
ZABBIX_POSTGRES_PORT=5432
ZABBIX_POSTGRES_DB=pult
ZABBIX_POSTGRES_USER=pult
ZABBIX_POSTGRES_PASSWORD=changeme
# Настройки сервиса SIEM
APP_HOST=0.0.0.0
APP_PORT=8000
JWT_SECRET=<jwt_secret>
JWT_ALGORITHM=HS256
ALLOW_ANON_AUTH=true
CORS_ALLOW_CREDENTIALS=true
CORS_ALLOWED_ORIGINS=["*"]
# CORS_ALLOWED_ORIGINS=["http://<external_pult-web_hostname>:<port>"]
AUDIT_NOTIFY_CHANNEL=audit_events
AUDIT_BATCH_SIZE=100
AUDIT_LOG_TABLE=auditlog
Настройка pult-web
Добавьте переменные в конфигурацию pult-web (файл .env_pultweb, env_file или блок environment):
# SIEM
SIEM_JWT_SECRET=<jwt_secret>
SIEM_API_URL=http://<external_host_ip>:18083
| Переменная | Описание |
|---|---|
SIEM_JWT_SECRET | Должен совпадать с JWT_SECRET в .env_siem для pult-siem |
SIEM_API_URL | Внешний URL SIEM: http://<IP_или_hostname_хоста>:18083 |
Важно:
SIEM_JWT_SECRET(вpult-web) иJWT_SECRET(в.env_siem) — одно и то же значение.
Запуск
docker compose up -d pult-siem pult-web
После изменения переменных окружения перезапустите затронутые сервисы:
docker compose up -d pult-siem pult-web
Активация модуля интеграции с SIEM в Web UI Пульта
Для активации модуля интеграции с SIEM перейдите в Администрирование → Общие → Модули.

Введите в поле Имя название модуля Управление интеграцией с SIEM, нажмите Применить и смените состояние модуля на «Активировано».
Если модуль не найден, нажмите Сканировать директорию.

Состояние модуля станет «Активировано».

В разделе Администрирование появится пункт Управление интеграцией с SIEM.
