16 – AI Status & Control Panel

Projekt: IceDataEmphasise Version: 1.0 Datum: 2026-02-17 Auto-Refresh: 30s

Service-Endpunkte

Daten-Pipeline: Schritt fuer Schritt7 Schritte vom Dateneingang bis zur SIEM-Verarbeitung

1 Datenfluss-Monitor

Schritt 1 von 7
Docker Logs Windows Edge Linux Edge Journal/Syslog Cribl Stream universal_classifier Ollama AI + Rules SIEM ALL Ops Splunk HEC 10.10.0.66:8088 Elasticsearch :9200 / Kibana MinIO S3 :9100 Archiv

Cribl Live-Flow

In Cribl oeffnen ↗
-
Events (24h)
-
SIEM (24h)
-
Operational (24h)
-
Edge Nodes

Quellen-Details (24h)

QuelleTypEvents (24h)SIEMOpsStatus
Laden...

2 SIEM-Discovery (ES-First)

Schritt 2 von 7 Alle ES-Quellen → SIEM-Potenzial finden → Ein-Klick-Aktivierung

Analysiert alle Quellen im ES Data Lake und findet Events mit ungenutztem SIEM-Potenzial. Per Ein-Klick: Pipeline-Regel aktivieren + Splunk-Dashboard erstellen + Kibana-Dashboard erstellen.
Architektur: ALLE Events → ES (Data Lake), SIEM-Events → ES + Splunk (Dual-Write)

Klicke "SIEM-Discovery starten" um alle ES-Quellen auf SIEM-Potenzial zu analysieren.

3 Klassifikations-Uebersicht

Schritt 3 von 7
-
Gesamt-Events
-
SIEM Events
-
Operational Events

Klassifikations-Methode

rule_based-
ollama_ai-
fallback-

Top Classification Reasons

ReasonAnzahlAnteil
Laden...

4 Klassifizierte Events

Schritt 4 von 7
ZeitstempelContainerLog-AuszugKlassifikationMethode
Laden...
-

5 Ops→SIEM Reklassifikation

Schritt 5 von 7 Operational Events auf SIEM-Relevanz pruefen

Zieht eine Stichprobe von classification=='operational' Events und laesst Ollama pruefen, ob darunter SIEM-relevante Events sind, die falsch klassifiziert wurden.

Noch keine Reklassifikation durchgefuehrt. Klicke "Stichprobe analysieren".

6 CIM-Analyse & Datenmodelle

Schritt 6 von 7 KI-gestuetzte Feldextraktion & CIM-Mapping

Analysiert Sample-Events aus Elasticsearch per Ollama-KI und schlaegt CIM-konforme Feldextraktionen vor. Die erkannten Felder koennen direkt als Splunk-Konfiguration (props/transforms/eventtypes/tags) deployed werden.

Noch keine Analyse durchgefuehrt. Klicke "CIM-Analyse starten".

7 Splunk & Kibana Konfigurator (ki01)

Schritt 7 von 7 SIEM → Splunk | Ops → Kibana

Analysiert aktuelle SIEM-Events aus Elasticsearch, beruecksichtigt das Routing (classification==siem → Splunk HEC) und generiert passende Splunk-Konfiguration fuer inputs.conf, props.conf, transforms.conf, eventtypes.conf, tags.conf, indexes.conf und CIM-Datenmodelle. Beruecksichtigt Windows Edge EventIDs, Sysmon, PowerShell, auditd und Linux Security Events.

Datenquellen-Konfigurator

Client-Configs fuer Cribl-Anbindung generieren

Generiert Konfigurationsdateien fuer verschiedene Datenquellen zur Anbindung an Cribl Stream. Ziel-Host und Port werden automatisch aus den Einstellungen uebernommen.

💻
Windows
🐧
Linux/Ubuntu
ESP32/IoT
📜
Syslog
🌐
NetFlow
📦
Docker
Zusaetzliche Werkzeuge

KI-Vorschlaege (Routing & Pipeline)

Ollama analysiert Cribl-Kontext → Vorschlaege

Analysiert die aktuelle Cribl-Konfiguration (Routen, Pipelines, Destinations) zusammen mit der Datenverteilung aus Elasticsearch und generiert konkrete Vorschlaege fuer Pipeline-Regeln und Route-Aenderungen.

Klicke "KI-Analyse starten" fuer kontextbasierte Vorschlaege oder "Schnellanalyse" fuer regelbasierte Auswertung.

Log-Analyzer (ki01)

Logdaten einfuegen → KI analysiert → Cribl-Konfiguration

Log-Zeilen einfuegen (mind. 3 Zeilen fuer gute Analyse). Die KI auf ki01 erkennt Format, Felder und Sicherheitsrelevanz und schlaegt eine passende Cribl-Konfiguration vor.

API-Befehlsprotokoll

Noch keine API-Aufrufe protokolliert.
← 15 – Phase 2 Uebungen Startseite
IceDataEmphasise – Cribl Stream & Edge PoC | AI Status Panel v2.0