CrowdSec — назначение и основные возможности

CrowdSec — бесплатное open source-решение, предназначенное для анализа и мониторинга системных лог-файлов, а также для блокировки вредоносного трафика. Разработчики утверждают, что продукт характеризуется высокой эффективностью работы, хорошим быстродействием и скромными системными требованиями. Написан CrowdSec на Golang. Что ж, рассмотрим этот инструмент немного подробнее.

Система, о которой идет речь, выполняет сопоставление входящего сетевого трафика с включенными в ее состав шаблонами поведения. При определенных совпадениях CrowdSec выполняет действия, указанные в конфигурации. Что это за действия могут быть? Ну, к примеру, блокировка вредоносного IP-адреса либо добавление его в глобальную БД репутации. Также инструмент дает возможность подключать индивидуальные бан-листы и использовать глобальные списки, сформированные сообществом пользователей.

Коллекции и конфигурации

Для упрощения настройки на официальном сайте проекта присутствуют коллекции и конфигурации (доступны для загрузки). О чем идет речь:

1. Коллекции представляют собой наборы парсеров и сценариев для различных ситуаций. К примеру, в коллекцию Nginx будет входить парсер логов nginx-logs, а также базовые http-сценарии, позволяющие определять типичные угрозы: агрессивный краулинг, атаки path traversal, сканирование/пробы портов и много чего еще.
2. Конфигурации — это уже фрагменты настроек почти для всех распространенных сервисов, которые админ системы желает добавить в конфиг. Например, на сервере инсталлирована cpanel, а админ хочет выполнять мониторинг попыток подбора паролей -- у него есть возможность использовать конфигурацию cpanel-bf, которая выглядит так:

Пользователям доступны десятки коллекций и фрагментов конфигурации.

Перечень возможностей

Ключевые преимущества следующие:

• обнаружение атак/реагирование на атаки на всех уровнях;
• простая инсталляция;
• несложное обслуживание посредством консольного мастера;
• интеграция с прочими системными компонентами;
• способность читать логи;
• автоблокировка нарушителей на CDN-уровне;
• отправка собранных данных о вредоносных IP-адресах в глобальную БД репутации (по желанию);
• минимальное потребление оперативной памяти и процессорных ресурсов;
• работа с архивными логами в целях расследований и симуляций;
• наличие предустановленных панелей мониторинга.

Порог вхождения невысок: как утверждают разработчики, CrowdSec могут без проблем использовать даже начинающие администраторы.

По материалам https://tproger.ru/.