48 lines
2.1 KiB
YAML
48 lines
2.1 KiB
YAML
# falco.yaml: Configuración mínima para QueComanTierra con respuesta activa
|
|
#
|
|
# Falco por defecto sólo DETECTA. Con program_output le decimos que pipe
|
|
# cada alerta que coincida con una regla CRITICAL/WARNING al response script.
|
|
|
|
rules_file:
|
|
- /etc/falco/falco_rules.yaml # reglas upstream de Falco
|
|
- /opt/qct/detection/falco_rules.yaml # reglas QueComanTierra
|
|
|
|
# ── Salidas ────────────────────────────────────────────────────────────────
|
|
|
|
json_output: true # el response script consume JSON
|
|
|
|
# stdout: útil en desarrollo / journald
|
|
stdout_output:
|
|
enabled: true
|
|
|
|
# file: persistencia local
|
|
file_output:
|
|
enabled: true
|
|
keep_alive: false
|
|
filename: /var/log/falco.log
|
|
|
|
# program_output: cada alerta se pipe al response handler
|
|
# El script recibe el JSON completo en stdin.
|
|
# keep_alive: false → proceso nuevo por alerta (más seguro, más lento).
|
|
# Para entornos de producción con alto volumen, poner true y manejar
|
|
# el stream NDJSON dentro del script.
|
|
program_output:
|
|
enabled: true
|
|
keep_alive: false
|
|
program: "/opt/qct/detection/falco_response.sh"
|
|
|
|
# ── Filtros de prioridad ───────────────────────────────────────────────────
|
|
# Solo dispara program_output para WARNING y superior.
|
|
# NOTICE/INFO se escriben a log pero no activan respuesta.
|
|
priority: warning
|
|
|
|
# ── Syscall buffer ─────────────────────────────────────────────────────────
|
|
# Aumentar si se pierden eventos durante el bulk xargs (Regla 3).
|
|
syscall_buf_size_preset: 4 # 4 MB por CPU
|
|
|
|
# ── Métricas (opcional) ────────────────────────────────────────────────────
|
|
metrics:
|
|
enabled: true
|
|
interval: 60s
|
|
resource_utilization_enabled: true
|