CrowdSec — назначение и основные возможности | OTUS

CrowdSec — назначение и основные возможности

CrowdSec — бесплатное open source-решение, предназначенное для анализа и мониторинга системных лог-файлов, а также для блокировки вредоносного трафика. Разработчики утверждают, что продукт характеризуется высокой эффективностью работы, хорошим быстродействием и скромными системными требованиями. Написан CrowdSec на Golang. Что ж, рассмотрим этот инструмент немного подробнее.

1-1801-33e844.png

Система, о которой идет речь, выполняет сопоставление входящего сетевого трафика с включенными в ее состав шаблонами поведения. При определенных совпадениях CrowdSec выполняет действия, указанные в конфигурации. Что это за действия могут быть? Ну, к примеру, блокировка вредоносного IP-адреса либо добавление его в глобальную БД репутации. Также инструмент дает возможность подключать индивидуальные бан-листы и использовать глобальные списки, сформированные сообществом пользователей.

Коллекции и конфигурации

Для упрощения настройки на официальном сайте проекта присутствуют коллекции и конфигурации (доступны для загрузки). О чем идет речь:

  1. Коллекции представляют собой наборы парсеров и сценариев для различных ситуаций. К примеру, в коллекцию Nginx будет входить парсер логов nginx-logs, а также базовые http-сценарии, позволяющие определять типичные угрозы: агрессивный краулинг, атаки path traversal, сканирование/пробы портов и много чего еще.
  2. Конфигурации — это уже фрагменты настроек почти для всех распространенных сервисов, которые админ системы желает добавить в конфиг. Например, на сервере инсталлирована cpanel, а админ хочет выполнять мониторинг попыток подбора паролей -- у него есть возможность использовать конфигурацию cpanel-bf, которая выглядит так:

1-1801-f9ea91.png

Пользователям доступны десятки коллекций и фрагментов конфигурации.

Перечень возможностей

Ключевые преимущества следующие:

  • обнаружение атак/реагирование на атаки на всех уровнях;
  • простая инсталляция;
  • несложное обслуживание посредством консольного мастера;
  • интеграция с прочими системными компонентами;
  • способность читать логи;
  • автоблокировка нарушителей на CDN-уровне;
  • отправка собранных данных о вредоносных IP-адресах в глобальную БД репутации (по желанию);
  • минимальное потребление оперативной памяти и процессорных ресурсов;
  • работа с архивными логами в целях расследований и симуляций;
  • наличие предустановленных панелей мониторинга.

2-1801-f4759a.png

Порог вхождения невысок: как утверждают разработчики, CrowdSec могут без проблем использовать даже начинающие администраторы.

По материалам https://tproger.ru/.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто