groups:
  - name: siem-backend
    rules:
      - alert: SiemBackendDown
        expr: up{job="siem-backend"} == 0
        for: 2m
        labels:
          severity: critical
        annotations:
          summary: "SIEM backend nicht erreichbar"
          description: "Prometheus kann das SIEM-Backend seit mindestens 2 Minuten nicht scrapen."

      - alert: SiemHighDetections
        expr: increase(eventcollector_detection_hits_total{severity="high"}[5m]) > 0
        for: 1m
        labels:
          severity: high
        annotations:
          summary: "Neue High-Severity Detection"
          description: "Es wurde mindestens eine neue High-Severity-Detection in den letzten 5 Minuten erzeugt."

      - alert: SiemRuleErrors
        expr: increase(eventcollector_rule_errors_total[5m]) > 0
        for: 1m
        labels:
          severity: warning
        annotations:
          summary: "Fehler in Detection-Regeln"
          description: "Mindestens eine Detection-Regel hat in den letzten 5 Minuten einen Fehler erzeugt."

      - alert: SiemTooFewActiveAgents
        expr: eventcollector_active_agents < 1
        for: 5m
        labels:
          severity: warning
        annotations:
          summary: "Zu wenige aktive Agents"
          description: "Es wurden weniger aktive Agents erkannt als erwartet."