Конфигурация Менеджера инцидентов
Сервис SIEM, отвечающий за работу с инцидентами. Регистрирует новые инциденты, полученные от корреляторов. Хранит инциденты, позволяет их просматривать, редактивровать и удалять.
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode=disable (1)
TenantID: 0 (2)
ListenHTTP: ":3410" (3)
ListenGRPC: ":3411" (4)
secrets: (5)
keysize: 32
password: default-insecure-password
salt: default-insecure-salt
1 | подключение к БД PostgreSQL в формате URL; |
2 | идентификатор организации; |
3 | адрес для прослушивания входящих соединений по протоколу HTTP; |
4 | адрес для прослушивания входящих соединений по протоколу gRPC; |
5 | пароль и соль для защиты секретов (паролей, учётных данных), хранимых в БД Комрад; |
Настройка выводов логов приложения
Настройка подключения к очереди сообщений
MQ:
ClientID: incident-manager
ClusterID: polygon
URL: nats://localhost:3490
Настройка подключения к другим сервисам
connections:
komrad-server-grpc:
addr: localhost:3401
insecure: true
trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
cert: /var/lib/echelon/komrad/certs/client.pem
cert-key: /var/lib/echelon/komrad/certs/client-key.pem
komrad-correlation-dispatcher-grpc:
addr: localhost:3416
insecure: true