Passa al contenuto principale

Configurazione

Ogni istanza di Seer Box Sentinel può essere configurata in modo indipendente per essere collegata a una specifica sorgente di traffico. Su un sistema Linux, la configurazione del software può essere salvata su un file. Le impostazioni verranno lette dai seguenti file, in ordine di precedenza:

  • Un file salvato localmente nella directory home dell'utente in /home/user/.config/seerbox_sentinel.toml oppure, in alternativa, un file in una locazione arbitraria specificata utilizzando le opzioni da riga di comando (vedere più in basso);
  • Il file di configurazione globale, salvato sul percorso /etc/seerbox_sentinel.toml.

Tuttavia, in ambienti interattivi, basati su container o gestiti tramite un provider di servizi cloud, l'applicazione sarà tipicamente configurata utilizzando parametri da riga di comando e variabii d'ambiente. La seguente tabella elenca tutte le opzioni disponibili per la configurazione del software; un testo di aiuto dettagliato può essere sempre mostrato a schermo chiamando l'eseguibile con l'opzione --help.

Seer Box Sentinel Options

ParametroVariabile d'ambienteDescrizione
--name o -nSBX_NAMEUn nome arbitrario che può essere utilizzato per identificare la sorgente di traffico
--descriptionSBX_DESCRIPTIONÈ possibile utilizzare questa opzione per specificare una descrizione più dettagliata
--config-file o -rSBX_CONFIG_FILELa configurazione verrà letta dal file identificato da questo percorso
--enabledSBX_ENABLEDSe impostato a false, il traffico in ingresso sarà ignorato
--cpus o -wSBX_CPUSIl massimo numero di thread CPU da utilizzare (di default verranno usate tutte le risorse disponibili sul sistema)
--listen-port o -pSBX_LISTEN_PORTAttiva la ricezione di traffico sulla porta specificata
--listen-address o -aSBX_LISTEN_ADDRESSAttiva la ricezione di traffico sull'interfaccia identificata da questo indirizzo (default: 0.0.0.0)
--protocol o -tSBX_PROTOCOLIl protocollo di livello di trasporto da impiegare per la ricezione del traffico (default: UDP, valori ammessi: UDP, TCP)
--log-levelSBX_LOG_LEVELIl massimo livello autorizzato per i messaggi di logging (default: info, valori ammessi: error, warn, info, debug)
--accept-eulaSBX_ACCEPT_EULAAccettare le condizioni generali del servizio. Valori ammessi: yes, no
--health-system-portSBX_HEALTH_SYSTEM_PORTAttiva il servizio di health check sulla porta specificata
--health-system-addressSBX_HEALTH_SYSTEM_ADDRESSAttiva il servizio di health check sull'interfaccia identificata dall'indirizzo specificato (default: 0.0.0.0)
--input-format o -fSBX_INPUT_FORMATIl formato di input per la sorgente di traffico configurata (default: ncsa_common_log, valori ammessi: nginx_connector, oplon_adc_connector, apache_http_server_log, nginx_log, ha_proxy_log, ncsa_common_log, ncsa_extended_log, iis_w3c_log, custom_template, json_template)
--traffic-log-templateSBX_TRAFFIC_LOG_TEMPLATESpecifica un modello per un formato di log cusom
--traffic-timestamp-formatSBX_TRAFFIC_TIMESTAMP_FORMATIl formato di timestamp (data + ora) utilizzato dalla sorgente di traffico remota
--traffic-date-formatSBX_TRAFFIC_DATE_FORMATIl formato utilizzato dalla sorgente di traffico per specificare la data
--traffic-time-formatSBX_TRAFFIC_TIME_FORMATIl formato utilizzato dalla sorgente di traffico per specificare l'ora
--traffic-timezoneSBX_TRAFFIC_TIMEZONEL'offset da UTC dei timestamp forniti dalla sorgente di traffico remota, specificato secondo lo standard ISO 8601 (±HH:MM)
--traffic-use-unix-timestampsSBX_TRAFFIC_USE_UNIX_TIMESTAMPSImpostare a true se la sorgente di traffico registra i timestamp in formato numerico UNIX
--traffic-true-client-headerSBX_TRAFFIC_TRUE_CLIENT_HEADERIl nome di un header opzionale da cui leggere l'indirizzo del client di origine di ciascuna transazione HTTP, nel caso di traffico proveniente da un proxy
--detect-code-injectionSBX_DETECT_CODE_INJECTIONRileva tentativi di code injection (default: true)
--detect-command-injectionSBX_DETECT_COMMAND_INJECTIONRileva tentativi di command injection (default: true)
--detect-cross-site-scriptingSBX_DETECT_CROSS_SITE_SCRIPTINGRileva attacchi di tipo cross-site scripting (XSS) (default: true)
--detect-sql-injectionSBX_DETECT_SQL_INJECTIONRileva tentativi di SQL injection (default: true)
--detect-jndi-injectionSBX_DETECT_JNDI_INJECTIONRileva tentativi di injection Log4j JNDI (default: true)
--detect-xml-external-entitySBX_DETECT_XML_EXTERNAL_ENTITYRileva tentativi di attacco di tipo XML External Entity (XXE) (default: true)
--detect-drupal-probingSBX_DETECT_DRUPAL_PROBINGRileva tentativi di probing per Drupal (default: true)
--detect-path-traversalSBX_DETECT_PATH_TRAVERSALRileva tentativi di path traversal (default: true)
--detect-wordpress-probingSBX_DETECT_WORDPRESS_PROBINGRileva tentativi di probing per WordPress (default: true)
--detect-fake-botsSBX_DETECT_FAKE_BOTSAttivare la rilevazione di fake bot (default: true)
--detect-malicious-scannersSBX_DETECT_MALICIOUS_SCANNERSAttivare la rilevazione di scanner malevoli (default: true)
--detect-botnetsSBX_DETECT_BOTNETSAttivare la rilevazione di botnet (default: true)
--detect-brute-forceSBX_DETECT_BRUTE_FORCERilevare i tentativi d'attacco tramite brute force (default: true)
--engine-hostSBX_ENGINE_HOSTSpecifica l'host per la connessione verso Seer Box Engine
--engine-portSBX_ENGINE_PORTSpecifica la porta per la connessione verso Seer Box Engine
--engine-auth-keySBX_ENGINE_AUTH_KEYIl token di autenticazione richiesto per una connessione verso Seer Box Engine
--traffic-collector-hostSBX_TRAFFIC_COLLECTOR_HOSTL'host di riferimento per il servizio di raccolta di traffico
--traffic-collector-portSBX_TRAFFIC_COLLECTOR_PORTLa porta utilizzata dal servizio di raccolta di traffico
--traffic-collector-usernameSBX_TRAFFIC_COLLECTOR_USERNAMEIl nome utente richiesto per la connessione al servizio di raccolta di traffico
--traffic-collector-passwordSBX_TRAFFIC_COLLECTOR_PASSWORDLa password richiesta per la connessione al servizio di raccolta di traffico
--help o -h-Mostra l'elenco delle opzioni disponibili
--version-Stampa la versione del software