Файлы конфигурации KOMRAD Enterprise SIEM
Не все возможности и настройки KOMRAD Enterprise SIEM вынесены в графический интерфейс, некоторые пока что остаются в конфигурационных файлах сервисов и дополнены комментариями разработчиков.
В данном разделе с такими возможностями KOMRAD можно ознакомиться более подробно.
В папке /etc/echelon/komrad/
находятся файлы с расширением .default, это эталонные файлы сервисов, в случае если вы
не можете больше использовать стандартный конфиг или хотите вернуть все настройки по умолчанию используйте его путём
переименования.
Основные сведения о настройки файлов конфигурации KOMRAD:
📄️ Диспетчер корреляции
Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.
📄️ Менеджер инцидентов
Сервис SIEM, отвечающий за работу с инцидентами. Регистрирует новые инциденты, полученные от корреляторов. Хранит инциденты, позволяет их просматривать, редактировать и удалять.
📄️ Интеграционная шина KOMRAD
Старые файлы с логами не удаляются, необходимо производить мониторинг использования диска
📄️ KOMRAD-процессор
📄️ KOMRAD-реактор
Реактор - сервис SIEM, выполняющий реакцию на инциденты. Реакция задаётся пользовательскими скриптами. Скрипты могут быть на любом языке, поддерживаемом операционной системой. Реактор позволяет работать с неограниченным количеством скриптов реакции и запускает скрипт реакции до записи инцидента, получая прямой сигнал от коррелятора, при этом не учитываются правила агрегации инцидентов.
📄️ KOMRAD-сканер
Сканер предназначен для управления активами и включает в себя следующие модули:
📄️ KOMRAD-сервер
📄️ Сервер аутентификации
📄️ WAF-PROXY
Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.