Kafka
Теперь есть новый вид транспорта - Kafka, который позволяет синхронизировать инциденты с "Кафка".
Настройка
В блоке notification найти блок kafka и заполнить поля следующим образом:
/etc/echelon/komrad/komrad-server.yaml
kafka:
- disable: false
cel-filter: true
producer:
enable: true
topic: siem.incidents
compression: zstd
brokers:
- [IP-kafka]:9092
client-id: ""
rack-id: ""
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: ""
disable: true
В самом низу файла заполнить поля следующим образом:
/etc/echelon/komrad/komrad-server.yaml
# Внешний адрес КОМРАД, использующийся для указания источника инцидента, отправленного во внешние системы.
external-provider-address: https://ip Комрада-отправителя:443
# Адрес сервиса, использующегося для предоставления внешним системам возможности синхронизировать информацию об инцидентах.
external-incidents-synchronizer: http://ip Комрада-отправителя:3440
Перезагрузить комрад-сервер при помощи команды:
sudo systemctl restart komrad-server
В Кафка инцидент будет иметь вид:
На вкладке siem.incidents в Kafka появился новый инцидент. В json поступившего инцидента следующая информация:
"type":"TYPE_RULE_DETECTION"
"detection":{
"ruleName": "test"
"ruleId": "id-директивы test"
"ruleVersion": "1"
"alertState": "new"
"ruleType": "RULE_TYPE_MULTI_EVENT"
"urlBackToProduct": "ссылка на инцидент в Комраде-отправителе"
"detectionFields": []
ruleLabels":[
{"key": "rule_name"
"value":"test"}
{"key":"severity"
"value":"medium"}]
Настройка завершена, теперь инциденты будут синхронизироваться с "Kafka"
Уведомления об агрегированных инцидентах в Kafka
- Для агрегированных инцидентов отправляются уведомления в Kafka, аналогично уведомлениям по почте: если временное окно агрегации меньше 5 минут, отправлять одно письмо в конце временного окна; если временное окно больше 5 минут, то отправлять два письма (одно в начале агрегации, одно в конце, со всеми агрегированными инцидентами)
- Добавляется счетчик агрегированных инцидентов.