+- Interceptor Forum (https://interceptor.marconitschke.de)
+-- Forum: NAS (https://interceptor.marconitschke.de/forum-26.html)
+--- Forum: uGreen (https://interceptor.marconitschke.de/forum-33.html)
+---- Forum: Software (https://interceptor.marconitschke.de/forum-36.html)
+----- Forum: Docker (https://interceptor.marconitschke.de/forum-37.html)
+------ Forum: Projekt (https://interceptor.marconitschke.de/forum-76.html)
+------ Thema: Crowdsec Scenarios die Parsers und Acquis (/thread-127.html)
Crowdsec Scenarios die Parsers und Acquis - nitje - 21-06-2025
In diesem Beitrag Hänge ich meine Scenarios, Parsers und Änderungen der Acquis an. Ich beziehe mich hier auf meine "Crowdsec_gui" um dies Umzusetzen.
Dazu in "Crowdsec_gui" auf "Config Editor Erstellen" klicken.
Beispiel:
Code:
# scenarios/unifi_cef_block.yaml
name: custom/unifi_cef_block
...
...
...Die erste Auskommentierte Zeile ist auch der Dateiname und Pfad!
Eintrag bei "Dateiname und Pfad":
Code:
scenarios/unifi_cef_block.yamlEintrag bei "Inhalt (YAML)":
Code:
# Kann Komplett mit Kommentar so eingetragen werden.
...
...
...Wichtig: Wenn Änderung vor genommen wurden muss man crowdsec neu starten, es reicht am ende wenn alles geändert wurde.
RE: Crowdsec Scenarios und Parsers und Acquis - nitje - 21-06-2025
Für Unifi-Netzwerk-Hardware mit Syslog wird ein Zusätzlicher Container "unifi_sylog" benötigt, der die Logs Empfängt und als Volume Bereitstellt.
Dafür entweder eigenes Projekt Erstellen oder mit in die docker-compose_crowdsec.yaml eintragen. Ihr könnt Metabase als Beispiel Ersetzen oder zusätzlich Container am ende Hinzufügen.
Der Original von crowdsec-Hub schaut in die Logs nur nach Login Versuchen, das funktioniert nur solange wie ihr Port 80/443/21 nicht auf einen nginx-proxy-manager leitet. Dadurch kann man sich Logischerweise nicht mehr von außen auf die Weboberfläche von UniFi einloggen.Dieser hier sieht sich die CEF Zeile an was das Intrusion-Prevention-Systeme(IPS) blockt und übernimmt es auch gleich in crowdsec mit dem 1. Versuch!
Wird Malware im internen Netzwerk erkannt – etwa weil ein infizierter PC versucht, eine Verbindung nach außen herzustellen –, kehrt sich die Logik um: Die Ziel-IP der ausgehenden Verbindung wird wie eine eingehende Bedrohung behandelt und blockiert. → Das ist insbesondere dann sinnvoll, wenn der gesamte ausgehende Datenverkehr eures Netzwerks über einen zentralen Proxy dieses Systems geleitet wird.
Es sind zwei Text Dateien enthalten, für die Änderungen in Acquis und docker-compose_crowdsec.yaml.
Ein Paket mit Änderungen im Anhang.
Praxisbeispiel:
Siehe Bilder und hier ist die Zeile aus dem Syslog auf was Reagiert wurde:
Code:
2025-06-21T07:52:22.108+00:00 CEST 192.168.1.2 CEF:1|Ubiquiti|UniFi Network|9.0.114|security_detections-68564896e9146d405e7afbd3|IPS Alert 2: Misc Attack. Signature ET DROP Dshield Block Listed Source group 1. From: 104.234.115.206:21328, to: 192.168.1.242:80, protocol: TCP|Medium|signature_type=ET signature_id=2402000und diese:
Code:
2025-06-21T09:07:47.867+00:00 CEST 192.168.1.2 CEF:1|Ubiquiti|UniFi Network|9.0.114|security_detections-68565a43e9146d405e7b0261|IPS Alert 1: A Network Trojan was detected. Signature ET MALWARE Generic Dropper Installing PUP 1. From: 192.168.1.20:57012, to: 45.56.90.99:80, protocol: TCP|High|signature_type=ET signature_id=2021101RE: Crowdsec Scenarios die Parsers und Acquis - nitje - 18-02-2026
Update für UniFi Network 9.5.21 -> ob das Alte weiterhin geht kann ich nicht Testen da der Zusätzlicher Container "unifi_sylog" auch ein Update benötigt.
Es sind zwei Text Dateien enthalten, für die Änderungen in Acquis und docker-compose_crowdsec.yaml.
Ein Paket mit Änderungen im Anhang.
Praxisbeispiel:
Siehe Bilder und hier ist die Zeile aus dem Syslog auf was Reagiert wurde:
Code:
2026-02-18T07:30:30+00:00 unifi CEF: 0|Ubiquiti|UniFi Network|9.5.21|201|Threat Detected and Blocked|7|proto=TCP src=65.49.1.152 spt=31392 dst=192.168.10.242 dpt=80 UNIFIcategory=Security UNIFIsubCategory=Intrusion Prevention UNIFIhost=unifi UNIFIsite=default UNIFIdeviceMac=9c:05:d6:6d:d1:f1 UNIFIdeviceName=Gateway Max UNIFIdeviceModel=Gateway Max UNIFIdeviceIp=192.168.10.1 UNIFIdeviceVersion=4.3.1 UNIFIrisk=medium UNIFIipsSessionId=11874975625556 UNIFIipsSignature=ET DROP Dshield Block Listed Source group 1 UNIFIipsSignatureId=2402000 UNIFIutcTime=2026-02-18T06:30:30.835Z msg=A network intrusion attempt from 65.49.1.152 to 02:42:c0:a8:0a:f2 has been detected and blocked.und diese:
Code:
2026-02-18T07:30:30+00:00 unifi CEF: 0|Ubiquiti|UniFi Network|9.5.21|201|Threat Detected and Blocked|9|proto=TCP src=192.168.10.20 spt=27923 dst=45.56.90.99 dpt=80 UNIFIcategory=Security UNIFIsubCategory=Intrusion Prevention UNIFIhost=unifi UNIFIsite=default UNIFIdeviceMac=9c:05:d6:6d:d1:f1 UNIFIdeviceName=Gateway Max UNIFIdeviceModel=Gateway Max UNIFIdeviceIp=192.168.10.1 UNIFIdeviceVersion=4.3.1 UNIFIrisk=high UNIFIipsSessionId=790026415351837 UNIFIipsSignature=ET MALWARE Generic Dropper Installing PUP 1 UNIFIipsSignatureId=2021101 UNIFIutcTime=2026-02-18T06:30:30.843Z msg=A network intrusion attempt from i9x64 to 45.56.90.99 has been detected and blocked.