CrowdSec Security Engine 1.5, самое существенное обновление после новаторской версии 1.0, предлагает новые функции, основные обновления и дополнительные возможности для управления безопасностью.

Мы рады объявить сегодня о запуске CrowdSec Security Engine 1.5. После нашего последнего выпуска в феврале 2022 года мы внимательно слушали наших пользователей, чтобы выпустить новую версию со значительными улучшениями, включая возможность получать «заказы» с консоли. Мы также разработали несколько новых функций, в том числе сценарии соответствия и пост-эксплуатации для движка. Мы также очень благодарны сообществу CrowdSec, которое было занято тестированием выпуска в течение последних нескольких месяцев, чтобы обеспечить плавное и успешное развертывание для всех наших пользователей.
— Тибо Коехлин, технический директор CrowdSec

Интеграция API опроса

С помощью API опроса консоль теперь может отправлять заказы экземплярам CrowdSec. Предоставление пользователям возможности управлять своими решениями (запрещенные IP-адреса в данный момент времени). Давайте углубимся в то, что это значит.

Управление решениями в режиме реального времени

Новый API-интерфейс опроса дает вам возможность выполнять управление решениями в режиме реального времени в консоли. Для пользователей с большим количеством инстансов теперь вы можете запретить IP-адреса на всех ваших инстансах одновременно, не выходя из одной страницы, а не запускать сценарий автоматизации для обновления всех инстансов. Отличная экономия времени для команд SecOps.

Тизер: безопасная и настраиваемая конфигурация парка инстансов с консоли

В будущем функция API опроса позволит пользователям настраивать синтаксические анализаторы и сценарии непосредственно из консоли CrowdSec.

Новый API черных списков и премиальные черные списки

Команда CrowdSec недавно анонсировала внешние черные списки IP-адресов, которые позволяют всем пользователям подписываться как минимум на 2 (новых) дополнительных черных списка, созданных командой CrowdSec, в дополнение к черному списку, созданному сообществом, для лучшей защиты ваших экземпляров.

Виктория Рей Бауэр (@ToeiRei в Discord, Twitch и Twitter), посол CrowdSec, заметила, что количество заблокированных IP-адресов увеличилось на 190 % после внедрения нового API CrowdSec для черных списков и подписки на 2 новых черных списка.

Приобретение аудита Kubernetes

Функция, которую команда CrowdSec представила на Kubehuddle UK 2022, наконец-то здесь. Kubernetes Cluster Monitoring теперь дает пользователям возможность отслеживать и защищать весь свой кластер K8s, а не только запущенные в нем службы.

Приобретение аудита S3

CrowdSec теперь поддерживает чтение журналов, хранящихся в корзине S3, что позволяет обрабатывать журналы, созданные сервисами AWS (например, журналы доступа ALB или журналы Cloudfront).

Поддержка аудита

Позволяет обнаруживать «Поведение после эксплуатации», в том числе:

• base64 + интерпретатор (perl/bash/python)
• curl/wget и exec
• pkill execve всплески
• rm execve всплески
• exec из подозрительных мест

Помощники API CrowdSec CTI

Теперь вы можете запрашивать информацию CrowdSec о киберугрозах (CTI) из ваших парсеров и сценариев поведения благодаря нашему новому CTI API, позволяющему вам по-разному реагировать на каждую угрозу в соответствии с репутацией и классификацией каждого IP-адреса.

Этот новый CTI API позволяет CrowdSec и CTI быть более интерактивными друг с другом, позволяя пользователям запрашивать больше информации об определенном IP-адресе. Например, теперь вы можете запросить использование машины, а также тип атаки, к которой она относится. CrowdSec теперь может запрашивать все эти данные в режиме реального времени, помогая пользователям обнаруживать ложные срабатывания, а также уменьшая усталость от предупреждений.

Сценарии AWS Cloudtrail

Благодаря новым возможностям обнаружения поведения в версии 1.5 команда CrowdSec смогла создать расширенный сценарий AWS Cloudtrail, помогающий вам обнаруживать и лучше понимать, что происходит в вашем облаке. Ниже вы можете увидеть список действий, которые вы теперь можете обнаружить.

• Обнаружение изменения конфигурации AWS CloudTrail
• Обнаружение изменения конфигурации AWS Config
• Обнаружение ошибки аутентификации консоли AWS
• Обнаружение изменения политики AWS IAM
• Обнаружение удаления ключа AWS KMS
• Обнаружение входа без MFA в консоль AWS
• Обнаружение изменения AWS NACL
• Обнаружение изменения сетевого шлюза AWS
• Обнаружение использования корневой учетной записи AWS
• Обнаружение изменения таблицы маршрутов AWS
• Обнаружение изменения политики корзины AWS S3
• Обнаружение изменения группы безопасности AWS
• Обнаружение несанкционированных вызовов API AWS
• Обнаружение изменения AWS VPC

Поддержка флажков функций

Эта новая функция позволяет нам иметь некоторые функции в Security Engine, которые отключены по умолчанию, но могут быть активированы пользователем вручную.

Это облегчит безопасное включение бета-функций и даст сообществу больше возможностей ознакомиться с тем, что будет дальше, и поможет нам протестировать функции в различных случаях использования.

Улучшения механизма обнаружения

• Условные корзины: улучшение системы обнаружения поведения позволяет использовать более сложное выражение для механизма срабатывания предупреждений.
• Хранилище данных о событиях: позволяет анализаторам собирать данные для дальнейшего обогащения. Добавление возможности обнаружения расширенного вредоносного поведения

Белый список CAPI

Хотя черный список сообщества тщательно контролируется и предназначен для предотвращения ложных срабатываний, иногда в него попадает общий IP-адрес, используемый как невиновными, так и злоумышленниками, поэтому команда CrowdSec добавила возможность создавать списки разрешений, которые также можно применять к сообществу — например, включенный черный список.

Заключение

Команда CrowdSec благодарит сообщество пользователей, которые помогли достичь этой важной вехи! Кроме того, команда CrowdSec смогла создать выпуск, который действительно соответствует вашим потребностям и расширяет возможности использования CrowdSec.