Конфигурационный файл

Конфигурационный файл модуля Deception представляет собой YAML-файл, который содержит:

  • Параметры логирования состояния модуля.

  • Список доступных для создания приманок.

  • Настраиваемые параметры приманок.

  • Параметры установки приманок на хост.

  • Параметры контроля состояния и восстановления приманок.

Структура файла

# `version` - версия схемы конфигурации
version: Deception v2.0.0

log:
  file: /var/log/deception.log
  level: info
  maxFiles: 5
  maxFileSizeMb: 10
decoys:
  - name: web_creds
    kind: WebCred
    enabled: true
    spec:
      username: admin@contoso.com
      resourceName: https://portal.azure.com
    remediation:
      enabled: true
      strategy: recreate
      mode: fixed
      maxAttempts: 3
      backoffSchedule:
        - 5s
        - 30s
        - 60s

Секция log

Секция log описывает параметры логирования работы модуля Deception. Данные лога позволяют провести анализ состояния модуля, приманок или устранить неполадки в системе.

Параметры секции:

  • file — путь к файлу с логами, обязательное поле. Возможные значения: stdout, stderr, абсолютный путь. Модуль подставит значение по умолчанию, если оставить пустым.

    Значение по умолчанию:

    • Для ОС Linux: /opt/BI.Zone/Dcpt.

    • Для ОС Windows: C:\ProgramData\BI.Zone\Sensors\Dcpt.

  • level — уровень логирования, обязательное поле. Возможные значения: debug, info, warn, error, panic, fatal.

    Значение по умолчанию: info.

  • maxFiles — максимальное количество файлов с логами, которые достигли заданного в maxFileSizeMb размера. Обязательное поле, если в file указан абсолютный путь. После ротации файла с логами добавляется дата его формирования в имени для соблюдения хронологии.

    Значение по умолчанию: 5.

  • maxFileSizeMb — максимальный размер файла с логами в мегабайтах. Обязательное поле, если в file указан абсолютный путь. Достижение заданного в конфигурации значения параметра maxFileSizeMb запускает ротацию лог-файла.

    Значение по умолчанию: 10.

Секция decoys

Секция decoys состоит из набора приманок с индивидуальными настройками, которые вместе с примерами конфигурации описываются в персональной для каждой приманки спецификации.

Параметры секции:

  • name — имя приманки, обязательное поле.

  • kind — тип приманки, обязательное поле.

  • enabled — признак активности приманки, обязательное поле.

    Значение false отключает приманку.

Подсекция spec

Подсекция spec имеет свой набор параметров зависимости от типа приманки kind:

Локальные приманки

Доменные приманки

Подсекция remediation

Подсекция remediation является опциональной и содержит параметры автоматического восстановления приманки:

  • enabled — признак активности автоматического восстановления, обязательное поле.

    Значение false отключает восстановление.

    Значение по умолчанию: true.

  • strategy — стратегия автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • recreate (по умолчанию) — пересоздание приманки.

    • alert — оповещение о падении приманки.

  • mode — режим автоматического восстановления приманки, обязательное поле.

    Возможные значения:

    • fixed (по умолчанию) — ограниченное количество попыток восстановления.

    • infinite — неограниченное количество попыток восстановления.

  • maxAttempts — количество попыток автоматического восстановления приманки. Обязательное поле, если mode: fixed. При mode: infinite параметр игнорируется, попытки продолжаются до успеха.

    Значение по умолчанию: 3.

  • backoffSchedule — промежуток времени между попытками автоматического восстановления приманки, опциональное поле.

    Определяется списком значений времени, спустя которое осуществится следующая попытка восстановления. Если попыток больше элементов списка, используется последний временной интервал.

    Значение по умолчанию: [5s, 30s, 60s, 5m, 15m, 30m, 60m].

Шаблоны файла

Для развертывания локальных и доменных объектов-приманок используются разные конфигурационные файлы: