Gemeinschaftliche Gefahrenabwehr mit CrowdSec

Gemeinsam sind wir sicher! Das könnte der Slogan sein, wenn Sie gemeinsam mit den Administratoren anderer Unternehmen ein kooperatives Sicherheitsmonitoring etablieren und Informationen über Angriffe und versuchte Attacken auf Ihre IT-Infrastruktur teilen. Die Idee dafür ist nicht neu, allerdings gibt es immer neue Ansätze, um diese Idee möglichst praktikabel umzusetzen. Was früher an Informationen über Mailinglisten verteilt wurde, wird heute mit Plattformen wie MISP und STIX/CybOX zwischen vertrauten Unternehmen ausgetauscht. Noch einfacher ist es aber, wenn die Analyse und Weitergabe von Informationen über (potenzielle) Angreifer unter allen Teilnehmern automatisch geschieht und Plug-ins in unterschiedlichen Anwendungen für die Sicherheit der eigenen Infrastruktur sorgen. Dafür betrachten wir in diesem Artikel das kooperative Intrusion Prevention Systen (IPS) CrowdSec [1].

Parser im YAML-Format

CrowdSec besteht aus mehreren Komponenten. Der CrowdSec-Agent liest Ihre Logdaten, analysiert lokal auf Ihren Systemen das Verhalten Ihrer Benutzer und wertet die relevante Netzwerkkommunikation aus. Dafür konfigurieren Sie sogenannte Parser. Das sind Dateien im YAML-Format, in denen Sie beschreiben, wie Logdaten gelesen und interpretiert werden sollen. Hauptbestandteil eines Parsers sind sogenannte GROK-Regeln. Dabei handelt es sich um reguläre Ausdrücke mit Named Capturing Groups und möglichen Aktionen auf festgelegte Werte dieser Gruppen. GROK kennen Sie bereits, wenn Sie schon einmal Logstash aufgesetzt haben. Innerhalb der Parser-Definition von CrowdSec lassen sich diese Matches dann zur Auswertung der Logdaten und darauf basierender Anomalie-Erkennung verwenden.

Die notwendigen Parser für Ihre Installation definieren sich durch die installierte Software eines Systems und entsprechende Logdaten. CrowdSec bringt für die üblichen Dienste wie SSH-, Web- und Mailserver sowie

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.