Configurazione
Ogni istanza di Seer Box Sentinel può essere configurata in modo indipendente per essere collegata a una specifica sorgente di traffico. Su un sistema Linux, la configurazione del software può essere salvata su un file. Le impostazioni verranno lette dai seguenti file, in ordine di precedenza:
- Un file salvato localmente nella directory home dell'utente in
/home/user/.config/seerbox_sentinel.toml
oppure, in alternativa, un file in una locazione arbitraria specificata utilizzando le opzioni da riga di comando (vedere più in basso); - Il file di configurazione globale, salvato sul percorso
/etc/seerbox_sentinel.toml
.
Tuttavia, in ambienti interattivi, basati su container o gestiti tramite un provider di servizi cloud, l'applicazione sarà tipicamente configurata utilizzando parametri da riga di comando e variabii d'ambiente. La seguente tabella elenca tutte le opzioni disponibili per la configurazione del software; un testo di aiuto dettagliato può essere sempre mostrato a schermo chiamando l'eseguibile con l'opzione --help
.
Seer Box Sentinel Options
Parametro | Variabile d'ambiente | Descrizione |
---|---|---|
--name o -n | SBX_NAME | Un nome arbitrario che può essere utilizzato per identificare la sorgente di traffico |
--description | SBX_DESCRIPTION | È possibile utilizzare questa opzione per specificare una descrizione più dettagliata |
--config-file o -r | SBX_CONFIG_FILE | La configurazione verrà letta dal file identificato da questo percorso |
--enabled | SBX_ENABLED | Se impostato a false , il traffico in ingresso sarà ignorato |
--cpus o -w | SBX_CPUS | Il massimo numero di thread CPU da utilizzare (di default verranno usate tutte le risorse disponibili sul sistema) |
--listen-port o -p | SBX_LISTEN_PORT | Attiva la ricezione di traffico sulla porta specificata |
--listen-address o -a | SBX_LISTEN_ADDRESS | Attiva la ricezione di traffico sull'interfaccia identificata da questo indirizzo (default: 0.0.0.0 ) |
--protocol o -t | SBX_PROTOCOL | Il protocollo di livello di trasporto da impiegare per la ricezione del traffico (default: UDP , valori ammessi: UDP , TCP ) |
--log-level | SBX_LOG_LEVEL | Il massimo livello autorizzato per i messaggi di logging (default: info , valori ammessi: error , warn , info , debug ) |
--accept-eula | SBX_ACCEPT_EULA | Accettare le condizioni generali del servizio. Valori ammessi: yes , no |
--health-system-port | SBX_HEALTH_SYSTEM_PORT | Attiva il servizio di health check sulla porta specificata |
--health-system-address | SBX_HEALTH_SYSTEM_ADDRESS | Attiva il servizio di health check sull'interfaccia identificata dall'indirizzo specificato (default: 0.0.0.0 ) |
--input-format o -f | SBX_INPUT_FORMAT | Il formato di input per la sorgente di traffico configurata (default: ncsa_common_log , valori ammessi: nginx_connector , oplon_adc_connector , apache_http_server_log , nginx_log , ha_proxy_log , ncsa_common_log , ncsa_extended_log , iis_w3c_log , custom_template , json_template ) |
--traffic-log-template | SBX_TRAFFIC_LOG_TEMPLATE | Specifica un modello per un formato di log cusom |
--traffic-timestamp-format | SBX_TRAFFIC_TIMESTAMP_FORMAT | Il formato di timestamp (data + ora) utilizzato dalla sorgente di traffico remota |
--traffic-date-format | SBX_TRAFFIC_DATE_FORMAT | Il formato utilizzato dalla sorgente di traffico per specificare la data |
--traffic-time-format | SBX_TRAFFIC_TIME_FORMAT | Il formato utilizzato dalla sorgente di traffico per specificare l'ora |
--traffic-timezone | SBX_TRAFFIC_TIMEZONE | L'offset da UTC dei timestamp forniti dalla sorgente di traffico remota, specificato secondo lo standard ISO 8601 (±HH:MM ) |
--traffic-use-unix-timestamps | SBX_TRAFFIC_USE_UNIX_TIMESTAMPS | Impostare a true se la sorgente di traffico registra i timestamp in formato numerico UNIX |
--traffic-true-client-header | SBX_TRAFFIC_TRUE_CLIENT_HEADER | Il nome di un header opzionale da cui leggere l'indirizzo del client di origine di ciascuna transazione HTTP, nel caso di traffico proveniente da un proxy |
--detect-code-injection | SBX_DETECT_CODE_INJECTION | Rileva tentativi di code injection (default: true ) |
--detect-command-injection | SBX_DETECT_COMMAND_INJECTION | Rileva tentativi di command injection (default: true ) |
--detect-cross-site-scripting | SBX_DETECT_CROSS_SITE_SCRIPTING | Rileva attacchi di tipo cross-site scripting (XSS) (default: true ) |
--detect-sql-injection | SBX_DETECT_SQL_INJECTION | Rileva tentativi di SQL injection (default: true ) |
--detect-jndi-injection | SBX_DETECT_JNDI_INJECTION | Rileva tentativi di injection Log4j JNDI (default: true ) |
--detect-xml-external-entity | SBX_DETECT_XML_EXTERNAL_ENTITY | Rileva tentativi di attacco di tipo XML External Entity (XXE) (default: true ) |
--detect-drupal-probing | SBX_DETECT_DRUPAL_PROBING | Rileva tentativi di probing per Drupal (default: true ) |
--detect-path-traversal | SBX_DETECT_PATH_TRAVERSAL | Rileva tentativi di path traversal (default: true ) |
--detect-wordpress-probing | SBX_DETECT_WORDPRESS_PROBING | Rileva tentativi di probing per WordPress (default: true ) |
--detect-fake-bots | SBX_DETECT_FAKE_BOTS | Attivare la rilevazione di fake bot (default: true ) |
--detect-malicious-scanners | SBX_DETECT_MALICIOUS_SCANNERS | Attivare la rilevazione di scanner malevoli (default: true ) |
--detect-botnets | SBX_DETECT_BOTNETS | Attivare la rilevazione di botnet (default: true ) |
--detect-brute-force | SBX_DETECT_BRUTE_FORCE | Rilevare i tentativi d'attacco tramite brute force (default: true ) |
--engine-host | SBX_ENGINE_HOST | Specifica l'host per la connessione verso Seer Box Engine |
--engine-port | SBX_ENGINE_PORT | Specifica la porta per la connessione verso Seer Box Engine |
--engine-auth-key | SBX_ENGINE_AUTH_KEY | Il token di autenticazione richiesto per una connessione verso Seer Box Engine |
--traffic-collector-host | SBX_TRAFFIC_COLLECTOR_HOST | L'host di riferimento per il servizio di raccolta di traffico |
--traffic-collector-port | SBX_TRAFFIC_COLLECTOR_PORT | La porta utilizzata dal servizio di raccolta di traffico |
--traffic-collector-username | SBX_TRAFFIC_COLLECTOR_USERNAME | Il nome utente richiesto per la connessione al servizio di raccolta di traffico |
--traffic-collector-password | SBX_TRAFFIC_COLLECTOR_PASSWORD | La password richiesta per la connessione al servizio di raccolta di traffico |
--help o -h | - | Mostra l'elenco delle opzioni disponibili |
--version | - | Stampa la versione del software |