Anpassung von Prometheus, Grafana und Backend auf Anomalieerkennung.

2026-04-24 21:38:25 +02:00
parent cdee259fb1
commit 3447af8d44
5 changed files with 1502 additions and 32 deletions
--- a/deploy/prometheus/rules/siem-alerts.yml
+++ b/deploy/prometheus/rules/siem-alerts.yml
@@ -1,5 +1,5 @@
 groups:
-  - name: siem-backend
+  - name: siem-backend-availability
    rules:
      - alert: SiemBackendDown
        expr: up{job="siem-backend"} == 0
@@ -10,6 +10,26 @@ groups:
          summary: "SIEM backend nicht erreichbar"
          description: "Prometheus kann das SIEM-Backend seit mindestens 2 Minuten nicht scrapen."

+      - alert: SiemNoIngestEvents
+        expr: sum(rate(eventcollector_ingest_events_total[15m])) == 0
+        for: 15m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Keine eingehenden SIEM Events"
+          description: "Seit mindestens 15 Minuten wurden keine Events mehr ingestiert."
+
+      - alert: SiemTooFewActiveAgents
+        expr: eventcollector_active_agents < 1
+        for: 5m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Zu wenige aktive Agents"
+          description: "Es wurden weniger aktive Agents erkannt als erwartet."
+
+  - name: siem-backend-detections
+    rules:
      - alert: SiemHighDetections
        expr: increase(eventcollector_detection_hits_total{severity="high"}[5m]) > 0
        for: 1m
@@ -19,6 +39,33 @@ groups:
          summary: "Neue High-Severity Detection"
          description: "Es wurde mindestens eine neue High-Severity-Detection in den letzten 5 Minuten erzeugt."

+      - alert: SiemManyMediumDetections
+        expr: sum(increase(eventcollector_detection_hits_total{severity="medium"}[15m])) > 10
+        for: 2m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Viele Medium-Detections"
+          description: "Es wurden mehr als 10 Medium-Detections in 15 Minuten erzeugt."
+
+      - alert: SiemBaselineHighAnomaly
+        expr: eventcollector_anomaly_score{rule="baseline_event_rate_anomaly"} >= 5
+        for: 2m
+        labels:
+          severity: high
+        annotations:
+          summary: "Hohe Baseline-Anomalie"
+          description: "Host {{ $labels.host }} hat einen hohen Baseline-Z-Score: {{ $value }}."
+
+      - alert: SiemBaselineMediumAnomaly
+        expr: eventcollector_anomaly_score{rule="baseline_event_rate_anomaly"} >= 3
+        for: 5m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Baseline-Anomalie"
+          description: "Host {{ $labels.host }} hat einen erhöhten Baseline-Z-Score: {{ $value }}."
+
      - alert: SiemRuleErrors
        expr: increase(eventcollector_rule_errors_total[5m]) > 0
        for: 1m
@@ -28,11 +75,51 @@ groups:
          summary: "Fehler in Detection-Regeln"
          description: "Mindestens eine Detection-Regel hat in den letzten 5 Minuten einen Fehler erzeugt."

-      - alert: SiemTooFewActiveAgents
-        expr: eventcollector_active_agents < 1
+  - name: siem-backend-ingest
+    rules:
+      - alert: SiemIngestRejected
+        expr: sum(increase(eventcollector_ingest_rejected_total[5m])) > 0
+        for: 1m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Ingest Requests abgelehnt"
+          description: "In den letzten 5 Minuten wurden Ingest Requests abgelehnt."
+
+      - alert: SiemDBInsertFailures
+        expr: increase(eventcollector_db_insert_failures_total[5m]) > 0
+        for: 1m
+        labels:
+          severity: high
+        annotations:
+          summary: "DB Insert Fehler"
+          description: "Das SIEM-Backend konnte Events nicht in die Datenbank schreiben."
+
+      - alert: SiemHighIngestRate
+        expr: sum(rate(eventcollector_ingest_events_total[5m])) > 500
        for: 5m
        labels:
          severity: warning
        annotations:
-          summary: "Zu wenige aktive Agents"
-          description: "Es wurden weniger aktive Agents erkannt als erwartet."
+          summary: "Sehr hohe Eventrate"
+          description: "Die Eventrate liegt seit 5 Minuten über 500 Events/s."
+
+  - name: siem-backend-baseline
+    rules:
+      - alert: SiemBaselineNotEnoughSamples
+        expr: eventcollector_baseline_sample_count > 0 and eventcollector_baseline_sample_count < 24
+        for: 30m
+        labels:
+          severity: info
+        annotations:
+          summary: "Baseline lernt noch"
+          description: "Für {{ $labels.host }} / {{ $labels.channel }} / {{ $labels.event_id }} gibt es erst {{ $value }} Samples."
+
+      - alert: SiemBaselineCurrentFarAboveAverage
+        expr: eventcollector_baseline_avg_count > 0 and (eventcollector_baseline_current_count / eventcollector_baseline_avg_count) > 10
+        for: 2m
+        labels:
+          severity: warning
+        annotations:
+          summary: "Eventrate deutlich über Baseline"
+          description: "{{ $labels.host }} / {{ $labels.channel }} / {{ $labels.event_id }} liegt mehr als 10x über Durchschnitt."