chores

QueComanTierra/detection/falco.yaml

@@ -0,0 +1,47 @@
+# falco.yaml: Configuración mínima para QueComanTierra con respuesta activa
+#
+# Falco por defecto sólo DETECTA. Con program_output le decimos que pipe
+# cada alerta que coincida con una regla CRITICAL/WARNING al response script.
+
+rules_file:
+  - /etc/falco/falco_rules.yaml          # reglas upstream de Falco
+  - /opt/qct/detection/falco_rules.yaml  # reglas QueComanTierra
+
+# ── Salidas ────────────────────────────────────────────────────────────────
+
+json_output: true          # el response script consume JSON
+
+# stdout: útil en desarrollo / journald
+stdout_output:
+  enabled: true
+
+# file: persistencia local
+file_output:
+  enabled: true
+  keep_alive: false
+  filename: /var/log/falco.log
+
+# program_output: cada alerta se pipe al response handler
+# El script recibe el JSON completo en stdin.
+# keep_alive: false → proceso nuevo por alerta (más seguro, más lento).
+# Para entornos de producción con alto volumen, poner true y manejar
+# el stream NDJSON dentro del script.
+program_output:
+  enabled: true
+  keep_alive: false
+  program: "/opt/qct/detection/falco_response.sh"
+
+# ── Filtros de prioridad ───────────────────────────────────────────────────
+# Solo dispara program_output para WARNING y superior.
+# NOTICE/INFO se escriben a log pero no activan respuesta.
+priority: warning
+
+# ── Syscall buffer ─────────────────────────────────────────────────────────
+# Aumentar si se pierden eventos durante el bulk xargs (Regla 3).
+syscall_buf_size_preset: 4   # 4 MB por CPU
+
+# ── Métricas (opcional) ────────────────────────────────────────────────────
+metrics:
+  enabled: true
+  interval: 60s
+  resource_utilization_enabled: true