Lösung · SIEM & SOC

SIEM-Export für IhrE-Mail-Security-Gateway.Ohne Datensilo.

Phishing-, Malware-, DLP-, Quarantäne- und Mailflow-Events aus MailGuard fließen als normalisierter Stream in Ihr SIEM. Per Pull-API, in CEF, LEEF, ECS oder JSON, an Splunk, Microsoft Sentinel, IBM QRadar oder Elastic.

Warum E-Mail-Security-Events ins SIEM gehören

E-Mail ist der häufigste Angriffsweg. Wer die Gateway-Verdicts nicht korreliert, sieht den Angriff erst zu spät.

Bedrohungen bleiben im Gateway-Silo

Phishing, BEC und Malware werden am Gateway erkannt, aber ohne Export erscheinen sie nie im zentralen SOC-Dashboard. Die Korrelation mit Endpoint-, Firewall- und Identity-Logs fehlt.

NIS2 und DSGVO verlangen Nachweise

NIS2 fordert Protokollierung und Nachweisbarkeit sicherheitsrelevanter Ereignisse, die DSGVO ein Verzeichnis nach Art. 30. Ohne durchgängigen Event-Export bleibt der Nachweis lückenhaft.

Proprietäre Exporte oder teure Add-ons

Viele Gateways liefern Logs nur über kostenpflichtige Enterprise-Stufen, unvollständige Formate oder einen US-Cloud-Umweg. Das erschwert die Anbindung und die Datenresidenz.

Push-Syslog ist fragil

Reines Syslog-Push über UDP verliert Events bei Lastspitzen und ist schwer durch Firewalls zu führen. Ein cursor-basierter Pull ist robuster und lückenlos.

Wie Conbool die Events ins SIEM bringt

Ein append-only Event-Stream, den jedes SIEM abholt. Kein Datensilo, kein Vendor-Lock-in.

1. Cursor-basierte Pull-API

Ihr SIEM oder Collector pollt einen authentifizierten HTTPS-Endpunkt und blättert per Cursor lückenlos durch neue Events. Firewall-freundlich, wiederaufsetzbar, mit 30-Tage-Fenster und Replay.

2. Vier Formate, jedes SIEM

CEF für Splunk und ArcSight, LEEF für IBM QRadar, ECS für Elastic und Kibana, JSON generisch. Pro Zugang wählbar, ohne dass Sie selbst konvertieren müssen.

3. Mandantenfähig und aus der EU

Jedes Event trägt die Mandanten-Zuordnung, sensible Felder lassen sich hashen oder entfernen. Verarbeitung in europäischen Rechenzentren, kein US-Cloud-Zwischenlayer.

Was der SIEM-Export liefert

In jeder MailGuard-Lizenz enthalten, kein Enterprise-Aufpreis.

Vollständige Event-Palette

Mailflow, Threat-Detection, Sandbox-Verdicts, DLP-Vorfälle, Quarantäne und Freigaben, Link-Klicks. Auf Wunsch auch SecureFiles- und SecureMail-Ereignisse.

CEF, LEEF, ECS, JSON

Alle vier Industriestandards nativ, pro API-Zugang einstellbar. Keine eigene Transformations-Pipeline nötig.

DSGVO-Modus für Payloads

Betreffzeilen und Adressen wahlweise im Klartext, als sha256-Hash oder entfernt. Korrelierbar bleibt es trotzdem.

Push per Webhook

Alternativ zum Polling sendet Conbool neue Events sofort HMAC-signiert an Ihre URL, mit Retry und Zeitstempel-Schutz gegen Replays.

Audit-Modus abgebildet

Jedes Verdict zeigt, ob es geblockt oder nur beobachtet wurde. So unterscheidet Ihr SOC echte Blocks von reiner Audit-Erkennung.

Konfigurierbare Aufbewahrung

Retention pro Mandant zwischen 7 und 365 Tagen, plus IP-Allowlist und Rate-Limit je Zugang für kontrollierten Zugriff.

Conbool gegen das übliche Gateway

Was ein SIEM-tauglicher Export können muss.

 
Conbool MailGuard
Übliches E-Mail-Gateway
SIEM-Export inklusive
In jeder Lizenz enthalten
Oft nur teures Enterprise-Add-on
Formatabdeckung
CEF, LEEF, ECS, JSON
Häufig nur ein oder zwei Formate
Abrufmodell
Pull-API mit Cursor plus Webhook-Push
Oft nur Syslog-Push
Datenresidenz
EU-Hosting, EU-Rechtsraum
Häufig US-Cloud-Umweg
DSGVO-Modus für Events
Klartext, Hash oder Redaktion
Selten steuerbar
Mandantenfähigkeit
Pro-Mandant-Tagging und Retention
Meist global, nicht getrennt

Stand 2026. Vergleichsangaben zu Drittanbietern auf Basis öffentlich verfügbarer Quellen zum Zeitpunkt der Veröffentlichung. Ohne Gewähr auf fortdauernde Richtigkeit.

FAQ zum SIEM-Export

An welche SIEM-Systeme lässt sich Conbool anbinden?
An praktisch jedes SIEM, das einen authentifizierten HTTPS-Endpunkt pollen kann. Splunk, Microsoft Sentinel, IBM QRadar und Elastic werden über ihre Standard-Collector angebunden, generische Ziele über curl oder einen Cron-Job. Alternativ sendet Conbool die Events per Webhook-Push.
Welche Formate werden unterstützt?
CEF für Splunk und ArcSight, LEEF für IBM QRadar, ECS für Elastic und Kibana sowie JSON generisch. Das Format ist pro API-Zugang wählbar, eine eigene Konvertierung ist nicht nötig.
Welche Ereignisse werden exportiert?
Mailflow-Status, Threat-Detection, Sandbox-Ergebnisse, DLP-Vorfälle, Quarantäne und Freigaben sowie Link-Klicks aus MailGuard. Bei entsprechender Lizenz zusätzlich SecureFiles-Datei-Ereignisse und SecureMail-Portal-Ereignisse.
Ist der Export DSGVO-konform?
Ja. Die Verarbeitung erfolgt in europäischen Rechenzentren ohne US-Cloud-Zwischenlayer. Sensible Felder wie Betreff und Adressen lassen sich pro Mandant im Klartext übertragen, als sha256-Hash oder vollständig entfernen. Ein Recht-auf-Vergessen-Endpunkt entfernt Spuren gezielt.
Kostet der SIEM-Export extra?
Nein. Der SIEM-Export ist Teil von MailGuard und in der Lizenz enthalten, ohne Enterprise-Aufpreis.
Warum Pull statt Push?
Ein cursor-basierter Pull ist firewall-freundlich, wiederaufsetzbar und verliert keine Events bei Lastspitzen. Wer Push bevorzugt, nutzt zusätzlich den HMAC-signierten Webhook mit Retry.

Verwandte Lösungen

E-Mail-Security-Events in Ihrem SIEM.

In jeder MailGuard-Lizenz enthalten. Aus der EU, mandantenfähig, revisionssicher.