init

deploy/prometheus/rules/siem-alerts.yml

@@ -0,0 +1,38 @@
+groups:
+  - name: siem-backend
+    rules:
+      - alert: SiemBackendDown
+        expr: up{job="siem-backend"} == 0
+        for: 2m
+        labels:
+          severity: critical
+        annotations:
+          summary: "SIEM backend nicht erreichbar"
+          description: "Prometheus kann das SIEM-Backend seit mindestens 2 Minuten nicht scrapen."
+
+      - alert: SiemHighDetections
+        expr: increase(eventcollector_detection_hits_total{severity="high"}[5m]) > 0
+        for: 1m
+        labels:
+          severity: high
+        annotations:
+          summary: "Neue High-Severity Detection"
+          description: "Es wurde mindestens eine neue High-Severity-Detection in den letzten 5 Minuten erzeugt."
+
+      - alert: SiemRuleErrors
+        expr: increase(eventcollector_rule_errors_total[5m]) > 0
+        for: 1m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Fehler in Detection-Regeln"
+          description: "Mindestens eine Detection-Regel hat in den letzten 5 Minuten einen Fehler erzeugt."
+
+      - alert: SiemTooFewActiveAgents
+        expr: eventcollector_active_agents < 1
+        for: 5m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Zu wenige aktive Agents"
+          description: "Es wurden weniger aktive Agents erkannt als erwartet."