CrowdSec, самодостаточное решение с открытым исходным кодом для защиты IDS/IPS серверов, сервисов, контейнеров и приложений от вредоносного трафика, только что выпустило версию CrowdSec 1.7.
Главная особенность – новая команда cscli setup. Вместо того чтобы настраивать ее вручную, теперь она автоматически определяет больше сервисов прямо из коробки. Это касается Linux, BSD и Windows, хотя пока автоопределение выполняется только во время установки пакетов DEB и RPM.
Пользователи также могут указать свои собственные конфигурации обнаружения во время установки, что удобно для пользовательских путей журнала или нестандартных сервисов. Но что еще лучше, если вы работаете с Ansible или другим менеджером конфигурации, обнаружение можно вообще пропустить.
В CrowdSec 1.7 также добавлены метрики использования для лучшей наглядности. Обработчики журналов теперь сообщают, сколько строк было прочитано и разобрано для каждого источника данных, а также статистику парсера: разобранные, неразобранные или внесенные в белый список события. Эти данные отправляются в LAPI и могут быть просмотрены с помощью cscli machines inspect. В более поздних версиях команда планирует выводить их в консоль, чтобы помочь выявить неправильную конфигурацию.
Что касается контейнеров, то источник данных CrowdSecs Docker теперь поддерживает Swarm при развертывании на управляющем узле. Однако следует обратить внимание на одно изменение: начиная с версии 1.7, запуск CrowdSec в Docker или Podman требует монтирования тома /var/lib/crowdsec/data/. Без этого контейнер не запустится. Пользователей Kubernetes это не касается.
Для брандмауэров веб-приложений была усилена интеграция с набором правил OWASP Core Rule Set, и в настоящее время ведется работа над тем, чтобы сделать эту защиту более гладкой. Кроме того, новые помощники выражений позволяют вычислять среднее и медианное время между событиями. Это позволяет выявлять очень медленные попытки брутфорса, которые традиционные правила обнаружения могут пропустить.
Наконец, исчезла старая команда cscli dashboard. Всем, кто все еще полагается на панель Metabase, рекомендуется перейти на онлайн-консоль CrowdSecs по адресу app.crowdsec.net.
Дополнительную информацию можно найти в журнале изменений.
Комментарии (0)