Конфигурация КОМРАД реактора
Реактор - сервис SIEM, выполняющий реакцию на инциденты. Реакция задаётся пользовательсякими скриптами. Скрипты могут быть на любом языке поддерживаемым операционной системой. Реактор позволяет работать с неограниченным количеством скриптов реакции и запускает скрипт реакции до записи инцидента, получая прямой сигнал от коррелятора, при этом не учитываются правила агрегации инцидентов.
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/komrad-reactor.yaml
ListenHTTP: ":3440" (1)
ListenGRPC: ":3441" (2)
LoggingDirectory: /var/log/echelon/komrad/ (3)
ScriptDirectory: /opt/echelon/komrad/komrad-reactor/scripts (4)
Interpreters: (5)
bash: /usr/bin/bash
lua: /usr/bin/lua
py: /usr/bin/env python3
sh: /bin/sh
1 | настройка адреса для прослушивания входящих соединений по протоколу HTTP; |
2 | настройка адреса для прослушивания входящих соединений по протоколу gRPC; |
3 | путь к директории, куда будут попадать логи скриптов реакции. Логи представляют из себя текстовые файлы собранного вывода stdout и stderr, название файлов соответствует названиям файлов скриптов реации; |