Windows マシンへの Crowdsec のデプロイ
まぁ, 私たちはすでに見てきました 上記のドキュメント 私たちの組織にCrowdsecをデプロイする方法の概念とアイデアを少し紹介します, 今日、メニューにあるのは、WindowsマシンにCrowdsecをインストールして保護する方法です. ボットネットからの保護, 攻撃, 物珍しい, つまらない…
それでは、始めましょう, Windowsから始めます! 日頃, Windowsサーバー上でそれを行うことが理解されています, サービスを公開し、保護したいサーバー; 必ずしもインターネット上にある必要はありません. まず、Crowdsecセキュリティエンジンをインストールします, これは、すべての世話をするエージェントです, ログを処理する, あなたの決定を下す… 次に、バウンサーを取り付けます (o 修復コンポーネント) Windows ファイアウォールの場合, あなたのOSの, 私たちが行動することに興味があり、それにルールを登録できる場合, 悪意のあるIPアドレスへの一時的なアクセスをブロックする. そして、最終的にCrowdsecコンソールに登録します.
それで、私たちはほとんどそれを手に入れるでしょう, ドキュメントは続行されるため, はオプションです, しかし、一元管理が必要な場合, さらにいくつかの手順を実行する必要があります; 以上です, あなたの選択. 興味のある方, あなたは前に自分自身を読まなければなりません 前の投稿.
この投稿には次の構成があります:
- Crowdsec エージェントのインストール
- Crowdsec Windows ファイアウォール バウンサーのインストール
- Crowdsec と Crowdsec コンソールの登録
- コレクション
- ホワイトリスト
- 通知
- テストする
- LAPIサーバーに対するCrowdsecの登録
- LAPIサーバーに対するCrowdsecバウンサーの登録
Crowdsec エージェントのインストール
先に進む前に, .NET ランタイム要件は、事前にインストールする必要があります: https://dotnet.microsoft.com/en-us/download/dotnet/thank-you/runtime-6.0.11-windows-x64-installer
続行できます, MSIインストーラーをダウンロードし、Crowdsec Engineのインストールを開始します, の https://github.com/crowdsecurity/crowdsec/releases/. Crowdsecのインストール中にインターネットアクセスが必要になります, コレクションなどの一部のアイテムをダウンロードするには… 通常の操作だけでなく、, エージェントは、いくつかのCrowdsecサイトにアクセスする必要があります, 私はあなたを推薦します サイト/ポートを読む あなたが必要とするかもしれません.
「次へ」,
“取り付ける”,
インストール中に数秒待ちます...
そして仕上げ! すでにCrowdsecがインストールされています!
Crowdsec Windows ファイアウォール バウンサーのインストール
Crowdsec は検出しますが、アクションを実行することはできません, このためには、Windowsファイアウォールのバウンサーが必要になります. だから, ダウンロードします: https://github.com/crowdsecurity/cs-windows-firewall-bouncer/releases そして、そのインストールを開始します,
“取り付ける”,
…
そして今、私たちは用心棒を持っています, ファイアウォールレベルで私たちを保護します, “終える”,
Crowdsec と Crowdsec コンソールの登録
アカウントにない場合 https://app.crowdsec.net 私たちはそれを作成することができます, GUIコンソールからすべてのCrowdsecを一元管理します, 必須ではありません, そして、私たちはあなたも多くのことを行うことができるコミュニティバージョンを持っています, 含む, さて、私たちが話したこと, マシンのアラートを表示する, あなたのステータス, それらをさまざまなブロックリストに登録できます…. Crowdsecは引き続き追加されています, そのWindowsへのインストール. 実行する必要のあるコマンドをコピーします.
そして、それをシステムコンソールに貼り付けました, 走る:
CSCLI コンソール登録 xxxxxxxxxxxxxxxxxx
Crowdsecコンソールに戻り、ロールを受け入れます, それが私たちにとってうまくいかない場合, F5は良いです,
新しく追加されたエンジンについて, 名前を編集し、それが誰であるかを参照する名前を配置します,
日頃, 機械の名前を示します, 更新,
そして、私たちが望むなら, 次に、いくつかのブロックリストを追加できます, こちらは, クリックできます “利用可能なブロックリストを閲覧する”,
すでにブロックリストに登録している場合, 以下から選択できます “取り締まる”
そしてクリックしてください “セキュリティエンジンを追加” このマシンをこのブロックリストに追加するには,
アクションの種類を選択し、確認します. 購読しているマシン!
コンソールに対してCrowdsecを登録した後、使用しているWindowsサービスを再起動する必要があることに注意してください.
コレクション
デフォルトでは、Crowdsecがマシンにインストールされている場合、インストールしたサービスをスキャンして保護しようとします, この場合, 私のWindowsでは、IISがインストールされていることが検出されました, SQL Serverだけでなく, これらのコレクションに加えて, 彼は私たちに何か追加のものを置いたに違いありません, Windowsのものと同様に. 一緒にインストールしたコレクションを確認できます:
CSCLI コレクション リスト
でより多くのコレクションを検索することができます あなたのハブ, 彼らまたはコミュニティによって作られたコレクション, それは私たちが持っている他のサービスを保護することができます, たとえば、このWindowsにExchange Serverがあるかのように… まあ、それは実行するのと同じくらい簡単です:
CSCLI Collections による CrowdSecurity/Exchange のインストール
そして、私たちはあなたの調達ファイル「C:\ProgramDataCrowdSecconfigacquis.yaml’ 以下の内容, ハブがそれぞれの場合に何をすべきかについて詳細に説明されていることを心配しないでください, corregimos los paths de los logs de Exchange y tras reiniciar el servicio de Crowdsec tendríamos la máquina lista, protegiendo ataques también de OWA, SMTP のautenticaciones…
##Exchange SMTP use_time_machine: true #Process、ファイル名からタイムスタンプを取得するためにログを再生しているかのようにログを出力します: - C:\Program FilesMicrosoftExchange ServerV15TransportRolesLogsFrontEndProtocolLogSmtpReceive* です。LOG ラベル: 種類: 交換-smtp --- ##Exchange IMAP use_time_machine: true #Process、ファイル名からタイムスタンプを取得するためにログを再生しているかのようにログを出力します: - C:\Program FilesMicrosoftExchange ServerV15LoggingImap4* です。LOG ラベル: 種類: 取引所-IMAP --- ##取引所のPOP use_time_machine: true #Process、ファイル名からタイムスタンプを取得するためにログを再生しているかのようにログを出力します: - C:\Program FilesMicrosoftExchange ServerV15LoggingPop3* です。LOG ラベル: 種類: エクスチェンジポップ --- ##Exchange OWA の失敗した試行 #OWA、RDP の失敗した認証ソースと同じ方法でログに記録されます: WinEventLog event_channel: セキュリティevent_ids: - 4625 event_level: 情報ラベル: 種類: イベントログ ...
ホワイトリスト
ホワイトリストは、私たちが解釈できるように、たとえば、IPアドレスがCrowdsecによって禁止またはブロックされるのを除外するのに役立ちます, 通常は、チェックポイントのIPアドレスにすることができます, ジャンプ装備, 等… また、国を除外することもできます, 例えば.
名前: CrowdSecurity/ホワイトリストの説明: "プライベートIPv4アドレスからのイベントのホワイトリスト登録"
ホワイトリスト:
理由: "プライベートIPv4/IPv6 IP/範囲"
IPアドレス:
- "127.0.0.1"
- "::1"
- "192.168.1.33"
シドル:
#- "192.168.0.0/16"
#- "10.0.0.0/8"
- "172.16.0.0/12"
# 表現:
# - "'foo.com' in evt.Meta.source_ip.reverse"
ファイルは 'C:\ProgramDataCrowdSecconfigparserss02-enrichwhitelists.yaml', そして、任意のIPまたはIP範囲を除外ホワイトリストに追加するだけであることがわかります.
国を除外したい場合, まず、ログにジオロケーションデータを供給するGeoIP-Enrichパーサーをインストールする必要があります, など, 都市またはGPS座標:
CSCLI パーサーによる CrowdSecurity/GeoIP-Enrich のインストール
そして、ホワイトリストファイルに次の式を追加するだけで十分です:
表現:
- evt.Enriched.IsoCode == 'ES'
これらの変更を再読み込みするには、Crowdsec サービスを再起動することを忘れないでください.
通知
通知: - slack_default - splunk_default - http_default - email_default
「Cファイル」を編集して通知を有効にすることができます:\ProgramDataCrowdSecconfigprofiles.yaml', コメントを解除して、関心のある通知のタイプを選択できる場所, Splunkにとって何ができるのか, Slackへ, メールでのお問い合わせ, またはHTTPを使用 (たとえば、Telegram).
たとえば、電子メール通知が必要な場合, 'Cディレクトリ:\ProgramDataCrowdSecconfignotifications’ YAMLファイルemail.yamlを編集します (o slack.yaml または splunk.yaml または http.yaml), ここで、メールサーバーのパラメーターを構成します. Telegramの私たちは、投稿でそれを見ました 老人.
テストする
やってみることになりますよね。? そうでない場合、これが機能することをどうやって信頼しますか? 🙂 あなたはあなたが望む間違った入学試験をすることができます, または、脆弱性スキャナーで検証します, またはウェブサイト… その古いドキュメントには、Niktoの例があります.
あなたはあなたのマシンが下した決定を見ることができます:
CSCLI 決定リスト
この場合、IPアドレスが禁止されています 192.168.1.253 Windowsブルートフォースを作るため, RDPでサーバーにアクセスするときに、ユーザーを数回間違って入力した可能性があります, または SMB…
または、登録した場合はLAPIサーバーから (今後の展開)
docker exec -it crowdsec-crowdsec-1 cscli 決定リスト
Crowdsec Mirror をすでにデプロイしている場合, 禁止されたIPアドレスが、httpブロックリストを公開しているURLに表示されていることを確認できます://DIRECCION_IP_CROWDSEC_MIRROR:41412/セキュリティ/ブロックリスト
IPアドレスを禁止したい場合, 私たちはそれを行います:
cscli decisions add --ip DIRECCIÓN_IP --reason "形容"
IPアドレスの禁止を解除したい場合, 私たちはそれを行います:
cscli decisions delete --ip DIRECCIÓN_IP
私たちは、私たちが持っていたアラートを調査することができます:
CSCLI アラート リスト
前のコマンドでそれらをリストします, 次に、特定のアラートのIDを選択すると、それを生成したログファイルを知ることができます, 私がやっていたこと, パス, HTTP ステータス… この画像の場合、多くのものがあります 404 AL パス /apps/files_sharing/publicpreview/
CSCLI アラート検査ID_ALERTA [-d]
そして, 必要なら, 独自のホワイトリストファイルを作成して、誤検知の場合に除外します, Pej en 'C:\ProgramDataCrowdSecconfigparserss02-enrichwhitelist-allow-pdfs.yaml, これらの式の例を使用して、除外フィルターを作成できます:
名前: crowdsecurity/mylistablancapdfs 説明: "PDFを無視"
ホワイトリスト:
理由: "PDFを無視する"
表現:
#- evt.Meta.http_path startsWith '/apps/files_sharing/publicpreview/'
#- evt.Meta.http_status == '404' && evt.Meta.http_path startsWith '/apps/files_sharing/publicpreview/'
- evt.Parsed.request contains '/apps/files_sharing/publicpreview/'
いつも通り, 設定変更のたびにCrowdsecサービスを再起動することを忘れないでください.
LAPIサーバーに対するCrowdsecの登録
APIの:
...
サーバー:
エネーブル: 偽
...
ローカルLAPIを無効にする必要があります, ファイル「C」を編集します:\ProgramDataCrowdSecconfigconfig.yaml'.
次に、ネットワークにデプロイしたLAPIサーバーに対して登録します:
cscli lapi レジスタ -u http://DIRECCION_IP_CROWDSEC_LAPI:8080 --マシンNOMBRE_MAQUINA
LAPIサーバーでは、Windowsマシンの登録リクエストを確認できます, 私たちはリストします:
sudo docker exec -it CrowdSEC-CrowdSEC-1 CSCLIマシン一覧
登録リクエストを受け付け、ステータスを確認するために再リスティングします:
sudo docker exec -it CrowdSEC-CrowdSEC-1 CSCLIマシンはNOMBRE_MAQUINAを検証します
これで、Windows上のCrowdsecは、任意の決定をLAPIサーバーと通信し、読み取ります, したがって、セントラルサーバーを使用します. Crowdsecの他のエージェントも同じことをするなら, それらすべてに共通の情報があります, したがって、, マシンがIPを悪であると疑った場合, Crowdsecの他のエージェントはすぐにそれを知るでしょう.
LAPIサーバーに対するCrowdsecバウンサーの登録
そして結論として, また、私たちが持っているバウンサーを登録する必要があります, この場合、Windows ファイアウォール バウンサー, そのバウンサーが中央の LAPI から読み取るようにする場合, 次の手順に従う必要があります, これは言われていることです, 誰かまたは何かが中央の LAPI に IP を追加したとき, このオペレーティングシステムのファイアウォールは、上記の悪意のあるIPへのアクセスを拒否するルールを作成します.
LAPI サーバーから, 登録したバウンサーをリストしたい場合は、最初にできます:
sudo docker exec -it crowdsec-crowdsec-1 cscliバウンサーリスト
そして、このWindowsのファイアウォールのバウンサーを登録するには、次のコマンドを実行します:
sudo docker exec -it crowdsec-crowdsec-1 cscliバウンサーはNOMBRE_MAQUINA-FWを追加します
私たちに与えられたAPIキーを書き留めます,
Windowsの場合, Cファイルを編集します:\ProgramDataCrowdSecconfigbouncerscs-windows-firewall-bouncer.yaml に LAPI の IP を入力します, そのポートと、前のコマンドを提供したAPIキー. ファイルを保存し、サービスを再起動します “Crowdsec Windows ファイアウォール バウンサー”.
そして、登録したWindowsコンピュータのFWが出てくる, 検証します
sudo docker exec -it crowdsec-crowdsec-1 cscliバウンサーリスト
以上です! 最終的な! 今のところはそれで十分だと思います, いいえ? 🙂 CrowdsecをデプロイしてWindowsサーバーを保護する方法については、すでに見てきました, 彼らのサービスで, また、いくつかの基本構成も, そして、それを一元化する部分, それがあなたのために少しでもお役に立てば幸いです, このタイプのソリューションでインフラストラクチャに少し愛情を注ぎましょう, ご挨拶を送ります, あなたが非常にうまくいくことを願っています, ハグ,
