Se você implementou o Crowdsec e o Centreon em sua organização, imagino que, além de estar feliz e descansando, Você terá tudo sob controle; mas, e… E se eu lhe disser que a partir do Centreon podemos monitorar os banimentos que o Crowdsec nos dá?? Efetivamente, quando o Crowdsec adiciona um endereço IP à lista negra, podemos nos alertar via Centreon!

Acho que muitos de vocês já sabem como funciona o Crowdsec e as vantagens de usá-lo em qualquer organização e até mesmo em esferas pessoais, A ideia é que, como sabemos, Crowdsec detecta ameaças, qualquer ataque ou 'coisa estranha'’ que pode sofrer com qualquer serviço que tenhamos publicado na Internet. Sabemos que a própria Crowdsec pode notificá-lo quando adicionar o endereço IP de qualquer invasor por e-mail, Telegrama, Folga, Equipes… Mas por ter todas as notificações de TI centralizadas, Bem, talvez seja uma boa ideia que o Centreon possa cuidar disso também, Não apenas para saber quando alguém está bloqueado, se não tiver esse controle, ter esses dados armazenados…

Portanto, faremos um comando que será executado no Centreon para verificar em nosso servidor de API central da Crowdsec se alguma máquina Crowdsec foi atacada, esse Comando, como sempre, vamos associá-lo a um Serviço no Centreon e ele estará pronto. Primeiro, em nosso servidor API central Crowdsec teremos que registrar um novo segurança para poder usar seu Token e realizar as consultas por API:

cscli bouncers add CENTREON-MONITORIZA
    API key for 'CENTREON-MONITORIZA':
    	uz0Oxxxxxxxxsdfsdf Por favor, mantenha esta chave, pois você não poderá recuperá-la!

No Centreon Central ou Poller, criaremos um script para monitorá-lo, Por exemplo, chamado algo como /usr/lib/centreon/plugins/check_crowdsec.sh, lembre-se de depois de gravá-lo, torne-o executável com (CHMOD +X), No roteiro, teremos que ter algumas considerações, insira a chave de API e o endereço IP da API do Crowdsec Central

#!/bin/bash

# Faça a solicitação com curl e filtre com jq result=$(curl -s -H "Chave de API X: xxxxxxxxx" Referências HTTP://DIRECCION_IP_CROWDSEC_LAPI:8080/v1/decisões/fluxo?startup\=true | jq '.new[] | select(.uuid != null) | {valor, scenario}')

# Cuenta las direcciones IP únicas
ip_count=$(ECO "$result" | jq -r '.value' | sort -u | wc -l)
ip_list=$(ECO "$result" | jq -r '.value' | sort -u | paste -sd,)

# Verifica si hay direcciones IP baneadas y genera el mensaje
if [ "$ip_count" -Gt 1 ]; then
  echo "CRÍTICO: Hay $ip_count direcciones IPs baneadas: $ip_list"
  sair 2
elif [ "$ip_count" -Gt 0 ]; then
  echo "CRÍTICO: Hay $ip_count dirección IP baneada: $ip_list"
  sair 2
else
  echo "OKEY: No hay direcciones IPs baneadas."
  sair 0
Fi

Posteriormente como sigue la costumbre, crearemos el Comando en Centreon, Será suficiente dar um nome ao comando com a seguinte linha de comando '/usr/lib/centreon/plugins/check_crowdsec.sh'.

Criamos um serviço no Centreon chamado, por exemplo, 'Crowdsec – Verificando IPs banidos’ e nós o associamos no servidor Crowdsec e no 'Check Command'’ bastará escolher o Comando recém-criado.

Depois que a configuração for salva e exportada no Centreon, poderemos ver nosso check-up e verificar se ele funciona corretamente.

No caso de detectar um IP na lista de bloqueio ou lista negra, ele nos alertará, você pode tentar adicionar uma decisão manualmente a partir da CLI do Crowdsec e verá como o serviço no Centreon vai para CRÍTICO e nos alerta para qual ou qual, são os endereços IP que foram banidos pelo sistema.

Bem, espero que este documento possa inspirá-lo em que tipos de coisas podemos configurar para ter mais controle em nossas organizações, a fim de obter maior segurança, ou para aqueles que ainda não sabem o que é Crowdsec e podem incentivá-los a descobri-lo… Poço, O que isso, Que você se comporta muito bem, Aproveite a fruta!