Gemeinschaftliche Gefahrenabwehr mit CrowdSec

Auf der Hut

Der Austausch und die systematische Sammlung von Bedrohungsinformationen, sogenannte Threat Intelligence, ist eine moderne und wichtige Form der Informationsbeschaffung für Sicherheitsverantwortliche. Um möglichst automatisiert mit den Erkenntnissen anderer die eigene Infrastruktur absichern zu können, gibt es mit CrowdSec ein quelloffenes Intrusion Prevention System, das besser wird, je mehr Installationen aktiv sind.
Wiederkehrende Abläufe kosten Zeit und sind fehleranfällig. Mit den richtigen Werkzeugen sorgen Admins daher für deutlich mehr Effizienz. In der ... (mehr)

Gemeinsam sind wir sicher! Das könnte der Slogan sein, wenn Sie gemeinsam mit den Administratoren anderer Unternehmen ein kooperatives Sicherheitsmonitoring etablieren und Informationen über Angriffe und versuchte Attacken auf Ihre IT-Infrastruktur teilen. Die Idee dafür ist nicht neu, allerdings gibt es immer neue Ansätze, um diese Idee möglichst praktikabel umzusetzen. Was früher an Informationen über Mailinglisten verteilt wurde, wird heute mit Plattformen wie MISP und STIX/CybOX zwischen vertrauten Unternehmen ausgetauscht. Noch einfacher ist es aber, wenn die Analyse und Weitergabe von Informationen über (potenzielle) Angreifer unter allen Teilnehmern automatisch geschieht und Plug-ins in unterschiedlichen Anwendungen für die Sicherheit der eigenen Infrastruktur sorgen. Dafür betrachten wir in diesem Artikel das kooperative Intrusion Prevention Systen (IPS) CrowdSec [1].

Parser im YAML-Format

CrowdSec besteht aus mehreren Komponenten. Der CrowdSec-Agent liest Ihre Logdaten, analysiert lokal auf Ihren Systemen das Verhalten Ihrer Benutzer und wertet die relevante Netzwerkkommunikation aus. Dafür konfigurieren Sie sogenannte Parser. Das sind Dateien im YAML-Format, in denen Sie beschreiben, wie Logdaten gelesen und interpretiert werden sollen. Hauptbestandteil eines Parsers sind sogenannte GROK-Regeln. Dabei handelt es sich um reguläre Ausdrücke mit Named Capturing Groups und möglichen Aktionen auf festgelegte Werte dieser Gruppen. GROK kennen Sie bereits, wenn Sie schon einmal Logstash aufgesetzt haben. Innerhalb der Parser-Definition von CrowdSec lassen sich diese Matches dann zur Auswertung der Logdaten und darauf basierender Anomalie-Erkennung verwenden.

Die notwendigen Parser für Ihre Installation definieren sich durch die installierte Software eines Systems und entsprechende Logdaten. CrowdSec bringt für die üblichen Dienste wie SSH-, Web- und Mailserver sowie

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022