Выпущена система обнаружения и предотвращения вторжений CrowdSec 1.7
Решение безопасности IDS/IPS с открытым исходным кодом CrowdSec 1.7 добавляет автоматическое определение настроек cscli, поддержку Docker Swarm, улучшения WAF CRS и многое другое.
CrowdSec (https://www.crowdsec.net/), решение безопасности IDS/IPS с открытым исходным кодом, размещаемое самостоятельно и защищающее серверы, сервисы, контейнеры и приложения от вредоносного трафика, только что выпустило версию 1.7.
Главная функция — новая команда cscli setup. Вместо необходимости ручной настройки, она теперь автоматически определяет больше служб сразу из коробки. В их число входят Linux, BSD и Windows, хотя пока автоопределение работает только во время установки пакетов DEB и RPM.
Пользователи также могут указать собственные конфигурации обнаружения во время настройки, что удобно для нестандартных путей к журналам или нестандартных служб. А если вы используете Ansible или другой менеджер конфигураций, обнаружение можно вообще пропустить.
В этом выпуске также добавлены метрики использования для лучшей наглядности. Обработчики журналов теперь сообщают количество прочитанных и проанализированных строк для каждого источника данных, а также статистику парсера, например, количество проанализированных, непроанализированных или добавленных в белый список событий. Эти данные отправляются в LAPI и могут быть просмотрены с помощью cscli machines inspect. В последующих версиях команда планирует выводить их в консоли для выявления ошибок конфигурации.
Что касается контейнера, источник данных Docker от CrowdSec теперь поддерживает Swarm при развёртывании на управляющем узле. Но есть одно важное изменение: начиная с версии 1.7, для запуска CrowdSec в Docker или Podman требуется монтирование тома в « /var/lib/crowdsec/data/ ». Без этого контейнер не запустится. Пользователей Kubernetes это не затрагивает.
Для межсетевых экранов веб-приложений интеграция с основным набором правил OWASP была улучшена, и ведётся работа по повышению эффективности защиты. Кроме того, новые помощники выражений позволяют рассчитывать среднее и медианное время между событиями. Это позволяет обнаруживать крайне медленные попытки подбора паролей, которые могут быть пропущены традиционными правилами обнаружения.
Наконец, старая команда cscli dashboard удалена. Всем, кто всё ещё использует панель управления Metabase, рекомендуется перейти на онлайн-консоль CrowdSec по адресу app.crowdsec.net: https://app.crowdsec.net.
Более подробную информацию смотрите в журнале изменений: https://github.com/crowdsecurity/crowdsec/releases/tag/v1.7.0.
Редактор: AndreyEx
