SIEM-Export für IhrE-Mail-Security-Gateway.Ohne Datensilo.
Phishing-, Malware-, DLP-, Quarantäne- und Mailflow-Events aus MailGuard fließen als normalisierter Stream in Ihr SIEM. Per Pull-API, in CEF, LEEF, ECS oder JSON, an Splunk, Microsoft Sentinel, IBM QRadar oder Elastic.
Warum E-Mail-Security-Events ins SIEM gehören
E-Mail ist der häufigste Angriffsweg. Wer die Gateway-Verdicts nicht korreliert, sieht den Angriff erst zu spät.
Bedrohungen bleiben im Gateway-Silo
Phishing, BEC und Malware werden am Gateway erkannt, aber ohne Export erscheinen sie nie im zentralen SOC-Dashboard. Die Korrelation mit Endpoint-, Firewall- und Identity-Logs fehlt.
NIS2 und DSGVO verlangen Nachweise
NIS2 fordert Protokollierung und Nachweisbarkeit sicherheitsrelevanter Ereignisse, die DSGVO ein Verzeichnis nach Art. 30. Ohne durchgängigen Event-Export bleibt der Nachweis lückenhaft.
Proprietäre Exporte oder teure Add-ons
Viele Gateways liefern Logs nur über kostenpflichtige Enterprise-Stufen, unvollständige Formate oder einen US-Cloud-Umweg. Das erschwert die Anbindung und die Datenresidenz.
Push-Syslog ist fragil
Reines Syslog-Push über UDP verliert Events bei Lastspitzen und ist schwer durch Firewalls zu führen. Ein cursor-basierter Pull ist robuster und lückenlos.
Wie Conbool die Events ins SIEM bringt
Ein append-only Event-Stream, den jedes SIEM abholt. Kein Datensilo, kein Vendor-Lock-in.
1. Cursor-basierte Pull-API
Ihr SIEM oder Collector pollt einen authentifizierten HTTPS-Endpunkt und blättert per Cursor lückenlos durch neue Events. Firewall-freundlich, wiederaufsetzbar, mit 30-Tage-Fenster und Replay.
2. Vier Formate, jedes SIEM
CEF für Splunk und ArcSight, LEEF für IBM QRadar, ECS für Elastic und Kibana, JSON generisch. Pro Zugang wählbar, ohne dass Sie selbst konvertieren müssen.
3. Mandantenfähig und aus der EU
Jedes Event trägt die Mandanten-Zuordnung, sensible Felder lassen sich hashen oder entfernen. Verarbeitung in europäischen Rechenzentren, kein US-Cloud-Zwischenlayer.
Was der SIEM-Export liefert
In jeder MailGuard-Lizenz enthalten, kein Enterprise-Aufpreis.
Vollständige Event-Palette
Mailflow, Threat-Detection, Sandbox-Verdicts, DLP-Vorfälle, Quarantäne und Freigaben, Link-Klicks. Auf Wunsch auch SecureFiles- und SecureMail-Ereignisse.
CEF, LEEF, ECS, JSON
Alle vier Industriestandards nativ, pro API-Zugang einstellbar. Keine eigene Transformations-Pipeline nötig.
DSGVO-Modus für Payloads
Betreffzeilen und Adressen wahlweise im Klartext, als sha256-Hash oder entfernt. Korrelierbar bleibt es trotzdem.
Push per Webhook
Alternativ zum Polling sendet Conbool neue Events sofort HMAC-signiert an Ihre URL, mit Retry und Zeitstempel-Schutz gegen Replays.
Audit-Modus abgebildet
Jedes Verdict zeigt, ob es geblockt oder nur beobachtet wurde. So unterscheidet Ihr SOC echte Blocks von reiner Audit-Erkennung.
Konfigurierbare Aufbewahrung
Retention pro Mandant zwischen 7 und 365 Tagen, plus IP-Allowlist und Rate-Limit je Zugang für kontrollierten Zugriff.
Conbool gegen das übliche Gateway
Was ein SIEM-tauglicher Export können muss.
Conbool MailGuard | Übliches E-Mail-Gateway | |
|---|---|---|
| SIEM-Export inklusive | In jeder Lizenz enthalten | Oft nur teures Enterprise-Add-on |
| Formatabdeckung | CEF, LEEF, ECS, JSON | Häufig nur ein oder zwei Formate |
| Abrufmodell | Pull-API mit Cursor plus Webhook-Push | Oft nur Syslog-Push |
| Datenresidenz | EU-Hosting, EU-Rechtsraum | Häufig US-Cloud-Umweg |
| DSGVO-Modus für Events | Klartext, Hash oder Redaktion | Selten steuerbar |
| Mandantenfähigkeit | Pro-Mandant-Tagging und Retention | Meist global, nicht getrennt |
Stand 2026. Vergleichsangaben zu Drittanbietern auf Basis öffentlich verfügbarer Quellen zum Zeitpunkt der Veröffentlichung. Ohne Gewähr auf fortdauernde Richtigkeit.
FAQ zum SIEM-Export
An welche SIEM-Systeme lässt sich Conbool anbinden?
Welche Formate werden unterstützt?
Welche Ereignisse werden exportiert?
Ist der Export DSGVO-konform?
Kostet der SIEM-Export extra?
Warum Pull statt Push?
Verwandte Lösungen
E-Mail-Security-Events in Ihrem SIEM.
In jeder MailGuard-Lizenz enthalten. Aus der EU, mandantenfähig, revisionssicher.