Surveiller Crowdsec avec Centreon
Si vous avez mis en place Crowdsec et Centreon dans votre organisation, j’imagine qu’en plus d’être heureux et de vous reposer, Vous aurez tout sous contrôle; mais, et… Et si je vous disais que depuis Centreon nous pouvons surveiller les bannissements que Crowdsec nous donne ?? Efficacement, lorsque Crowdsec ajoute une adresse IP à la liste noire, nous pouvons nous alerter via Centreon!
Je pense que beaucoup d’entre vous savent déjà comment fonctionne Crowdsec et les avantages de l’utiliser dans n’importe quelle organisation et même dans les sphères personnelles, L’idée est que, comme nous le savons,, Crowdsec détecte les menaces, n’importe quelle attaque ou « chose bizarre »’ qui peuvent souffrir de tout service que nous avons publié sur Internet. Nous savons que Crowdsec lui-même peut vous avertir lorsqu’il ajoute l’adresse IP d’un attaquant par e-mail, Télégramme, Lâche, Équipes… Mais en centralisant toutes les notifications informatiques, Eh bien, c’est peut-être une bonne idée que Centreon puisse s’en occuper aussi, Pas seulement pour savoir quand quelqu’un est bloqué, si ce n’est pas pour avoir ce contrôle, faire stocker ces données…
Nous allons donc faire une commande qui sera exécutée dans Centreon pour vérifier sur notre serveur API Crowdsec Central si des machines Crowdsec ont été attaquées, ce Commandement, comme toujours, nous l’associerons à un Service en Centreon et il sera prêt. Premier, dans notre serveur API central Crowdsec, nous devrons enregistrer un nouveau bouncer pour pouvoir utiliser son jeton et effectuer les requêtes par API:
cscli bouncers add CENTREON-MONITORIZA
API key for 'CENTREON-MONITORIZA':
uz0Oxxxxxxxxsdfsdf Veuillez conserver cette clé car vous ne pourrez pas la récupérer!
Dans Centreon Central ou Poller nous allons donc créer un script pour le surveiller, Par exemple, appelé quelque chose comme /usr/lib/centreon/plugins/check_crowdsec.sh, rappelez-vous qu’après l’enregistrement, rendez-le exécutable avec (CHMOD +X), Dans le script, nous devrons avoir quelques considérations, entrez la clé API et l’adresse IP de l’API Crowdsec Central
#!/bin/bash # Faites la requête avec curl et filtrez avec jq result=$(boucle -s -H "Clé X-API: xxxxxxxxx" HTTP://DIRECCION_IP_CROWDSEC_LAPI:8080/v1/décisions/flux?startup=true | jq '.new[] | Choisir(.uuid != null) | {valeur, scénario}') # Compter les adresses IP uniques ip_count=$(ÉCHO "$résultat" | jq -r '.value' | trier -u | WC-L) ip_list=$(ÉCHO "$résultat" | jq -r '.value' | trier -u | Coller -sd,) # Vérifiez les adresses IP interdites et générez le message if [ "$ip_count" -Gt 1 ]; Puis l’écho "CRITIQUE: Il y a $ip_count d’adresses IP interdites: $ip_list" sortie 2 Elif [ "$ip_count" -Gt 0 ]; Puis l’écho "CRITIQUE: Il y a $ip_count d’adresse IP bannie: $ip_list" sortie 2 Autre chose faite "D’ACCORD: Il n’y a pas d’adresses IP interdites." sortie 0 Fi
Plus tard, comme suit la coutume, nous allons créer le Command dans Centreon, Il suffira de donner un nom à la commande avec la ligne de commande suivante '/usr/lib/centreon/plugins/check_crowdsec.sh'.
Nous avons créé un service dans Centreon qui s’appelle par exemple « Crowdsec – Vérification des adresses IP interdites’ et nous l’associons sur le serveur Crowdsec et dans la 'Check Command'’ il suffira de choisir la commande nouvellement créée.
Une fois la configuration enregistrée et exportée dans Centreon, nous pourrons voir notre check-up et vérifier qu’elle fonctionne correctement.
En cas de détection d’une IP dans la liste de blocage ou la liste noire, il nous alertera, vous pouvez essayer d’ajouter une décision manuellement à partir de l’interface de ligne de commande Crowdsec et vous verrez comment le service dans Centreon passe à CRITIQUE et nous alerte de quel ou de quoi, sont les adresses IP qui ont été bannies par le système.
Eh bien, j’espère que ce document pourra vous inspirer sur le type de choses que nous pouvons mettre en place pour avoir plus de contrôle dans nos organisations afin d’atteindre une plus grande sécurité, ou pour ceux qui ne savent peut-être pas encore ce qu’est Crowdsec et peuvent les encourager à le découvrir… Puits, Qu’est-ce que c', Que vous vous comportez très bien, Dégustez les fruits!