Gemeinschaftliche Gefahrenabwehr mit CrowdSec

Gemeinsam sind wir sicher! Das könnte der Slogan sein, wenn Sie gemeinsam mit den Administratoren anderer Unternehmen ein kooperatives Sicherheitsmonitoring etablieren und Informationen über Angriffe und versuchte Attacken auf Ihre IT-Infrastruktur teilen. Die Idee dafür ist nicht neu, allerdings gibt es immer neue Ansätze, um diese Idee möglichst praktikabel umzusetzen. Was früher an Informationen über Mailinglisten verteilt wurde, wird heute mit Plattformen wie MISP und STIX/CybOX zwischen vertrauten Unternehmen ausgetauscht. Noch einfacher ist es aber, wenn die Analyse und Weitergabe von Informationen über (potenzielle) Angreifer unter allen Teilnehmern automatisch geschieht und Plug-ins in unterschiedlichen Anwendungen für die Sicherheit der eigenen Infrastruktur sorgen. Dafür betrachten wir in diesem Artikel das kooperative Intrusion Prevention Systen (IPS) CrowdSec [1].

Parser im YAML-Format

CrowdSec besteht aus mehreren Komponenten. Der CrowdSec-Agent liest Ihre Logdaten, analysiert lokal auf Ihren Systemen das Verhalten Ihrer Benutzer und wertet die relevante Netzwerkkommunikation aus.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.