Crowdsec是一款开源的轻量级软件,可检测具有攻击性行为的对等节点,以防止其访问您的系统。其人性化的设计和协助提供了较低的技术进入门槛,但安全性却很高。
使用了Grok模式和YAML语法来分析日志,这是一种基于云/容器/ VM基础架构的现代分离方法(在此检测,在此进行补救)。一旦检测到,您就可以使用各种保护罩(阻止,403,验证码等)纠正威胁,并且被阻止的IP在所有用户之间共享,以进一步提高其安全性。它还会自动受益于我们全球社区范围内的IP信誉数据库。
处理过程分为5个步骤:
- 读取数据源(日志文件,流,路径,消息...),规范化和丰富信号
- 将这些信号与行为模式(也称为场景)匹配(*)
- 如果检测到不良行为,请通过保镖处理:集成到您的应用程序堆栈中的软件组件,该软件组件支持各种补救措施,例如阻止,返回403和很快的验证码,2FA等。
- (仅)积极的IP,方案名称被触发,然后将时间戳发送到我们的策展平台(以避免中毒和误报)
- 如果经过验证,则此IP将集成到连续分发给所有CrowdSec客户端的阻止列表中(在步骤1中用作丰富源)
通过检测,阻止和共享他们所面临的威胁,所有客户端都可以彼此增强(因此名为Crowd-Security)。Crowdsec专为现代基础架构而设计,其“检测到这里,在那儿进行补救”的方法,使您可以分析来自一个地方的多个来源的日志,并在堆栈的各个级别(应用程序,系统,基础架构)阻止威胁。
默认情况下,CrowdSec附带适用于大多数上下文的方案(蛮力,端口扫描,Web扫描等),但是您可以通过从集线器中选择更多方案来轻松扩展它。适应现有的或自己创建一个也很容易。
安装:
curl -s https://api.github.com/repos/crowdsecurity/crowdsec/releases/latest | grep browser_download_url| cut -d '"' -f 4 | wget -i - |