server
Структура раздела
[server] ├── web_gui_addr ├── access_token_lifetime ├── refresh_token_lifetime ├── session_key_lifetime ├── issuer_name ├── binary_din ├── audited_actions ├── [server.auth_settings] | ├── auth_types | └── preferred_auth_type ├── [server.http] | ├── read_header_timeout | ├── write_timeout | └── read_timeout ├── [server.authority_service] | ├── enabled | ├── address | ├── rps | └── queue ├── [server.sensors_service] | ├── enabled | ├── address | └── keepalive_ping_interval_seconds ├── [server.SAN] | ├── ip_addresses | └── dns_names ├── [server.prometheus] | ├── enabled | ├── port | └── endpoint ├── [server.agent_last_seen] | ├── pool_size | ├── buf_len | ├── save_period_seconds | └── online_period ├── [server.interactive_mode] | ├── retry_attempts | ├── retry_interval_seconds | └── timeout_seconds ├── [server.file_cache] | ├── file_ttl_minutes | └── cache_size_mb ├── [server.agents_cache] | ├── ttl | └── max_agents_count ├── [server.pprof] | ├── enabled | ├── address | └── endpoint ├── [server.task_variables] | ├── opening_sequence | └── closing_sequence ├── [server.cleaner] | ├── enabled | ├── offline_agents_lifetime_days | ├── scheduled_at | ├── action_log_lifetime_days | ├── alert_lifetime_days | ├── files_lifetime_days | └── modules_lifetime_days └── [server.trigger_worker] ├── internal ├── eval_cache_size ├── queue_size └── worker_count
Описание параметров
web_gui_addr— адрес и номер порта Сервера управления, по которому будет доступен web-интерфейс.Номер порта по умолчанию: 9993
access_token_lifetime— время жизни access token.Значение по умолчанию: 5m.
refresh_token_lifetime— время жизни refresh token.Значение по умолчанию: 60m, должно быть больше
access_token_lifetime.session_key_lifetime— время жизни временного ключа сессии при аутентификации с 2FA.Значение по умолчанию: 5m.
issuer_name— имя эмитента 2FA в мобильном приложении-аутентификаторе.Значение по умолчанию: BI.ZONE EDR, максимальное количество символов: 128.
binary_din— директория для сохранения бинарных компонентов, загружаемых на Сервер управления, опциональный параметр.Значение по умолчанию: opt/BI.Zone/BZ_Sensors/Server/bin
audited_actions— параметр для определения действий, которые будут дополнительно зафиксированы в журнале действий пользователя.
Доступное значение (по умолчанию): «audit_log_query» = {} — запись об успешном открытии журнала действий пользователя.
[server.auth_settings]
Опциональный раздел с параметрами настройки авторизации на Сервере управления:
auth_types— массив значений, определяющий тип авторизации.Возможные значения:
internal — авторизация внутренних пользователей BI.ZONE EDR, значение по умолчанию;
domain — авторизация через Active Directory;
external — авторизация через внешний сервис (например, BI.ZONE ID).
preferred_auth_type— опциональный параметр, определяет предпочтительный тип авторизации по умолчанию. Может содержать только значения из массиваauth_types. Если параметр пустой, то автоматически принимает первое значение из массиваauth_types.
[server.http]
Параметры http-соединения (таймауты и т. д.):
read_header_timeout— количество времени, отведенное на чтение заголовков запроса.Значение по умолчанию: 10с.
write_timeout— максимальная продолжительность до завершения записи ответа, опциональный параметр.read_timeout— максимальная продолжительность чтения всего запроса, включая тело, опциональный параметр.
[server.authority_service]
Параметр для подключения неавторизованных агентов (v2):
enabled— флаг включения сервиса для неавторизованных агентов.address— адрес и номер порта Сервера управления, к которому будут подключаться агенты.rps— лимит на количество запросов в секунду.queue— максимальная длина очереди.
[server.sensors_service]
Параметры для подключения авторизованных агентов (v2):
enabled— флаг включения сервиса для авторизованных агентов.address— адрес и номер порта Сервера управления, к которому будут подключаться агенты.keepalive_ping_interval_seconds— период проверки соединения Сервером управления для авторизованных агентов.
[server.SAN]
Настройки Subject Alternative Name, которые использует внутренний Certificate Authority:
ip_addresses— массив IP-адресов, которые добавляются в TLS-сертификат агента как разрешенные.dns_names— массив доменных имен, которые добавляются в TLS-сертификат агента как разрешенные.
[server.prometheus]
Настройки отправки метрик в Prometheus:
enabled— статус Prometheus.Значение по умолчанию: false.
port— порт, по которому будут отправляться метрики Сервера управления.Значение по умолчанию: 9999.
endpoint— значение endpoint метрик.Значение по умолчанию: /metrics.
[server.agent_last_seen]
Параметры для настройки механизма сохранения информации об онлайн-статусе агентов:
pool_size— размер пула соединений с базой данных для массовых операций сохранения информации об онлайн-статусе агентов.Диапазон значений: 1-5, значение по умолчанию: 2. Значение текущего поля должно быть меньше, чем у поля
database.grpc.pool_size.buf_len— промежуточный буфер, в котором хранятся данные об онлайн-статусе агентов перед отправкой данных в кеш и последующей записью в БД.Минимальное значение: 100, рекомендуемое и по умолчанию: 1000. Изменять значение не рекомендуется, параметр является внутренним.
save_period_seconds— периодичность, с которой данные будут записываться из кеша в БД, в секундах. Данный параметр должен быть меньше значения периода опроса сервера (POLLING_PERIOD), умноженного на 3.online_period— период времени с момента получения последнего сообщения от агента, по истечении которого считается, что агент находится в статусе офлайн.Значение по умолчанию: 1h.
[server.interactive_mode]
Параметры для настройки интерактивного режима:
retry_attempts— количество попыток переподключения UI к серверу при разрыве соединения.Минимальное значение: 1, значение по умолчанию: 10.
retry_interval_seconds— интервал попыток переподключения UI к серверу при разрыве соединения в секундах.Минимальное значение: 1, значение по умолчанию: 5.
timeout_seconds— таймаут работы сессии в секундах. Если за указанное время не пришло ни одной команды и ответа от сервера, сессия завершается.Минимальное значение: 1, значение по умолчанию: 300.
Примечание: значение данного параметра должно быть больше самого долгого DIAL_TIMEOUT агента, подключающегося к серверу. В противном случае сессия будет закрываться раньше, чем агент успеет ее инициализировать.
[server.file_cache]
Параметры настройки файлового кеша:
file_ttl_minutes— время хранения файла в кеше в минутах.Минимальное значение: 1, значение по умолчанию: 60.
cache_size_mb— размер кеша в мегабайтах.Минимальное значение: 10, значение по умолчанию: 1024.
[server.agents_cache]
Параметры настройки кеша авторизационной информации:
ttl— время хранения данных в кеше.
Рекомендуемое значение: 48h.max_agents_count— количество кешируемых агентов.
Значение должно быть не меньше максимального количества агентов.
[server.pprof]
Параметры настройки профилирования:
enabled— параметр, определяющий статус профилирования.Значение по умолчанию: false.
address— адрес и номер порта сервера, по которому будут доступны данные профилирования.endpoint— endpoint, по которому будут доступны данные метрик.
[server.task_variables]
Параметры настройки подстановки переменных в задачи:
opening_sequence— символ начала подстроки с переменной.closing_sequence— символ окончания подстроки с переменной.
Примечание: не используйте wildcard-символы или символы, используемые в регулярных выражениях. Рекомендуемое значение для обоих параметров: {{ }}
[server.cleaner]
Параметры настройки автоматической очистки:
enabled— параметр, определяющий статус работы сервиса автоматической очистки.Значение по умолчанию: false.
offline_agents_lifetime_days— время пребывания агента в статусе офлайн для последующего автоматического удаления, измеряется в днях.scheduled_at— время в часах, в которое будет запускаться автоматическая очистка.Задаются значения в диапазоне от 0 до 23, значение по умолчанию: 1.
action_log_lifetime_days— время хранения журнала действий пользователя, измеряющееся в днях.Значение по умолчанию: 365.
alert_lifetime_days— время хранения предупреждений, измеряющееся в днях.Значение по умолчанию: 365.
files_lifetime_days— время хранения файлов, не привязанных к какой-либо задаче, в днях.Значение по умолчанию: 180.
modules_lifetime_days— список (массив) модулей, для которых разрешена автоматическая очистка результатов задач. В качестве ключа задается имя модуля, а значение в виде числа.Возможные имена модулей с расшифровкой:
fg — File grabber.
sa — Command line.
edrcore — EDR (Windows).
edrcore-linux — EDR (Linux).
edrcore-macos — EDR (macOS).
deception — Deception.
siem-collector — SIEM Collector.
ztna — ZTNA.
ics-iot — ICS/IoT Security.
Возможные значения для модулей:
1 (или больше) — автоматическая очистка включена. Период хранения данных перед автоматической очисткой равен значению параметра Время хранения данных о запусках и результатов выполнения в веб-интерфейсе BI.ZONE EDR на этапе создания или редактирования задачи.
0 — автоматическая очистка выключена.
[server.trigger_worker]
Параметры настройки внутреннего обработчика триггеров в составе Сервера управления:
internal— флаг включения или выключения обработчика триггеров, возможные значения:true — развертывание внутреннего обработчика триггеров в составе Сервера управаления.
false — значение по умолчанию, развертывание внешнего обработчика триггеров вне Сервера управления как самостоятельного компонента.
eval_cache_size— размер внутреннего кеша для вычислений обработчика триггеров.Значение по умолчанию: 1024.
queue_size— размер внутренней очереди обработчика триггеров.Значение по умолчанию: 64.
worker_count— количество параллельно запущенных экземпляров trigger worker.Значение по умолчанию: 1.
Для развертывания внешнего обработчика триггеров вне Сервера управления необходимо:
Указать значение false в параметре internal текущего конфигурационного файла.
Выполнить отдельную установку обработчика триггеров.
Внести изменения в конфигурационный файл внешнего обработчика триггеров согласно описанию Обработчик триггеров.