Monitorizando Crowdsec con Centreon

Druckfreundlich, PDF & Email

Wenn Sie Crowdsec und Centreon in Ihrer Organisation implementiert haben, kann ich mir vorstellen, dass Sie nicht nur glücklich sind und sich ausruhen, Sie werden alles ganz unter Kontrolle haben; aber, und… Was ist, wenn ich Ihnen sage, dass wir von Centreon aus die Sperren überwachen können, die Crowdsec uns gibt?? Effektiv, Wenn Crowdsec eine IP-Adresse zur Blacklist hinzufügt, können wir uns über Centreon benachrichtigen!

Ich denke, dass viele von Ihnen bereits wissen, wie Crowdsec funktioniert und welche Vorteile es hat, es in jeder Organisation und sogar im persönlichen Bereich einzusetzen, Die Idee ist, dass, wie wir wissen,, Crowdsec erkennt Bedrohungen, jeder Angriff oder "seltsame Ding"’ die unter einem Dienst leiden können, den wir im Internet veröffentlicht haben. Wir wissen, dass Crowdsec selbst Sie benachrichtigen kann, wenn es die IP-Adresse eines Angreifers per E-Mail hinzufügt, Telegramm, Schlaff, Mannschaften… Aber indem alle IT-Benachrichtigungen zentralisiert werden, Nun, vielleicht ist es eine gute Idee, dass Centreon sich auch darum kümmern kann, Nicht nur, um zu wissen, wann jemand blockiert ist, wenn nicht, um diese Kontrolle zu haben, diese Daten speichern zu lassen…

Also machen wir einen Befehl, der in Centreon ausgeführt wird, um auf unserem Crowdsec Central API-Server zu überprüfen, ob Crowdsec-Maschinen angegriffen wurden, Dieses Kommando werden wir wie immer mit einem Service in Centreon verknüpfen und es wird bereit sein. Erste, In unserem zentralen Crowdsec-API-Server müssen wir einen neuen Bouncer registrieren, um seinen Token verwenden und die Abfragen per API durchführen zu können:

cscli bouncers add CENTREON-MONITORIZA
    API key for 'CENTREON-MONITORIZA':
    	uz0Oxxxxxxxxsdfsdf Bitte bewahren Sie diesen Schlüssel auf, da Sie ihn nicht abrufen können!

Im Centreon Central oder Poller werden wir daher ein Skript erstellen, um es zu überwachen, Zum Beispiel mit dem Namen /usr/lib/centreon/plugins/check_crowdsec.sh, Denken Sie daran, dass Sie es nach der Aufnahme mit ausführbar machen (CHMOD +X), Im Skript müssen wir ein paar Überlegungen anstellen, Geben Sie den API-Schlüssel und die IP-Adresse der Crowdsec Central API ein.

#!/Mülleimer/Bash

# Stellen Sie die Anfrage mit curl und filtern Sie mit jq result=$(curl -s -H "X-API-Schlüssel: xxxxxxxxx" HTTP (Englisch)://DIRECCION_IP_CROWDSEC_LAPI:8080/v1/entscheidungen/stream?startup\=true | jq '.new[] | Auswählen(.UUID != null) | {Wert, scenario}')

# Cuenta las direcciones IP únicas
ip_count=$(ECHO "$result" | jq -r '.value' | sort -u | wc -l)
ip_list=$(ECHO "$result" | jq -r '.value' | sort -u | paste -sd,)

# Verifica si hay direcciones IP baneadas y genera el mensaje
if [ "$ip_count" -Gt 1 ]; then
  echo "KRITISCH: Hay $ip_count direcciones IPs baneadas: $ip_list"
  Ausgang 2
elif [ "$ip_count" -Gt 0 ]; then
  echo "KRITISCH: Hay $ip_count dirección IP baneada: $ip_list"
  Ausgang 2
else
  echo "OKAY: No hay direcciones IPs baneadas."
  Ausgang 0
Fi

Posteriormente como sigue la costumbre, crearemos el Comando en Centreon, Es reicht aus, dem Befehl einen Namen mit der folgenden Befehlszeile zu geben: '/usr/lib/centreon/plugins/check_crowdsec.sh'.

Wir haben in Centreon einen Dienst entwickelt, der zum Beispiel "Crowdsec – Überprüfung gesperrter IPs’ und wir verknüpfen es auf dem Crowdsec-Server und im 'Check Command'’ Es reicht aus, den neu erstellten Befehl auszuwählen.

Sobald die Konfiguration in Centreon gespeichert und exportiert wurde, können wir unsere Überprüfung einsehen und überprüfen, ob sie korrekt funktioniert.

Falls wir eine IP in der Sperrliste oder Blacklist entdecken, werden wir benachrichtigt, Sie können versuchen, eine Entscheidung manuell über die Crowdsec-CLI hinzuzufügen, und Sie werden sehen, wie der Dienst in Centreon auf KRITISCH wechselt und uns darauf hinweist, welcher oder welcher, sind die IP-Adressen, die vom System gesperrt wurden.

Nun, ich hoffe, dass dieses Dokument Sie dazu inspirieren kann, welche Art von Dingen wir einrichten können, um mehr Kontrolle in unseren Organisationen zu haben, um mehr Sicherheit zu erreichen, oder für diejenigen, die vielleicht noch nicht wissen, was Crowdsec ist, und sie ermutigen können, es zu entdecken… Brunnen, Was das ist, Dass du dich sehr gut benimmst, Genießen Sie die Früchte!

Empfohlene Beiträge

Regeln und Alarme mit ElastAlert 2
Lesen
Überwachen geplanter Aufgaben mit Centreon
Lesen
Bereitstellen von Crowdsec auf einem Windows-Rechner
Lesen
Bereitstellen von Crowdsec auf einem Linux-Rechner
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten

21 November 2024

VPN mit Citrix NetScaler IV - Immer eingeschaltet

28 November 2024