Configuration File

#
# Jibril Configuration File
#

# Pick one from quiet, fatal, error, warn, info, debug
log-level: info

# Pick "stdout", "stderr" or a file path for logging
stdout: stdout
stderr: stderr

# Chop long lines when output is a terminal
chop-lines: false

# Disable health checks (http://127.0.0.1:8082/health)
no-health: false

# Enable profiling (http://127.0.0.1:8082/debug/pprof)
profiler: false

# Enable hard-coded cardinal filters
cardinal: true

# Run as a daemon
daemon: false

# Notify systemd after startup (.service Type=notify)
notify: false

# Extensions

extension:
  - jibril
  - config
  - data

# Plugins

plugin:
  - jibril:hold
  - jibril:procfs
  - jibril:printers
  # - jibril:jbconfig
  # - jibril:pause
  - jibril:detect
  - jibril:netpolicy:file=/etc/jibril/netpolicy.yaml

# Printers

printer:
  # - jibril:printers:stdout
  # - jibril:printers:stdout:raw=true
  - jibril:printers:varlog

# Events

event:
  #
  # Network Policy.
  #
  - jibril:netpolicy:dropip
  - jibril:netpolicy:dropdomain
  #
  # Method: Flows.
  #
  - jibril:detect:flow
  #
  # Method: file access.
  # - jibril:detect:file_example
  - jibril:detect:capabilities_modification
  - jibril:detect:code_modification_through_procfs
  - jibril:detect:core_pattern_access
  - jibril:detect:cpu_fingerprint
  - jibril:detect:credentials_files_access
  - jibril:detect:filesystem_fingerprint
  - jibril:detect:java_debug_lib_load
  - jibril:detect:java_instrument_lib_load
  - jibril:detect:machine_fingerprint
  - jibril:detect:os_fingerprint
  - jibril:detect:os_network_fingerprint
  - jibril:detect:os_status_fingerprint
  - jibril:detect:package_repo_config_modification
  - jibril:detect:pam_config_modification
  - jibril:detect:sched_debug_access
  - jibril:detect:shell_config_modification
  - jibril:detect:ssl_certificate_access
  - jibril:detect:sudoers_modification
  - jibril:detect:sysrq_access
  - jibril:detect:unprivileged_bpf_config_access
  - jibril:detect:global_shlib_modification
  - jibril:detect:environ_read_from_procfs
  - jibril:detect:binary_self_deletion
  - jibril:detect:crypto_miner_files
  - jibril:detect:auth_logs_tamper
  # Method: execution.
  # - jibril:detect:exec_example
  - jibril:detect:binary_executed_by_loader
  - jibril:detect:code_on_the_fly
  - jibril:detect:data_encoder_exec
  - jibril:detect:denial_of_service_tools
  - jibril:detect:exec_from_unusual_dir
  - jibril:detect:file_attribute_change
  - jibril:detect:hidden_elf_exec
  - jibril:detect:interpreter_shell_spawn
  - jibril:detect:net_filecopy_tool_exec
  - jibril:detect:net_mitm_tool_exec
  - jibril:detect:net_scan_tool_exec
  - jibril:detect:net_sniff_tool_exec
  - jibril:detect:net_suspicious_tool_exec
  - jibril:detect:net_suspicious_tool_shell
  - jibril:detect:passwd_usage
  - jibril:detect:runc_suspicious_exec
  - jibril:detect:webserver_exec
  - jibril:detect:webserver_shell_exec
  - jibril:detect:crypto_miner_execution
  # Method: network peers.
  # - jibril:detect:peer_example
  - jibril:detect:adult_domain_access
  - jibril:detect:badware_domain_access
  - jibril:detect:dyndns_domain_access
  - jibril:detect:fake_domain_access
  - jibril:detect:gambling_domain_access
  - jibril:detect:piracy_domain_access
  - jibril:detect:plaintext_communication
  - jibril:detect:threat_domain_access
  - jibril:detect:tracking_domain_access
  - jibril:detect:vpnlike_domain_access

sudo -E ./build/loader --config ~/config/default.yaml