Файлы конфигурации KOMRAD Enterprise SIEM

Не все возможности и настройки KOMRAD Enterprise SIEM вынесены в графический интерфейс, некоторые пока что остаются в конфигурационных файлах сервисов и дополнены комментариями разработчиков.

В данном разделе с такими возможностями KOMRAD можно ознакомиться более подробно.

примечание

В папке /etc/echelon/komrad/ находятся файлы с расширением .default, это эталонные файлы сервисов, в случае если вы не можете больше использовать стандартный конфиг или хотите вернуть все настройки по умолчанию используйте его путём переименования.

Основные сведения о настройки файлов конфигурации KOMRAD:

📄️Диспетчер корреляции

Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.

📄️Менеджер инцидентов

Сервис SIEM, отвечающий за работу с инцидентами. Регистрирует новые инциденты, полученные от корреляторов. Хранит инциденты, позволяет их просматривать, редактировать и удалять.

📄️Интеграционная шина KOMRAD

Старые файлы с логами не удаляются, необходимо производить мониторинг использования диска

📄️KOMRAD-процессор

📄️KOMRAD-реактор

Реактор - сервис SIEM, выполняющий реакцию на инциденты. Реакция задаётся пользовательскими скриптами. Скрипты могут быть на любом языке, поддерживаемом операционной системой. Реактор позволяет работать с неограниченным количеством скриптов реакции и запускает скрипт реакции до записи инцидента, получая прямой сигнал от коррелятора, при этом не учитываются правила агрегации инцидентов.

📄️KOMRAD-сканер

Сканер предназначен для управления активами и включает в себя следующие модули:

📄️KOMRAD-сервер

📄️Сервер аутентификации

📄️WAF-PROXY

Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.