Dieses Forum verwendet Cookies.
Für "Social-Login" gelten weitere AGB die in diesem Forum unter Sonstiges liegen.
Technisch nötwendige finden Sie am Ende der Seite unter "Cookie-Einwilligungseinstellungen". (March 11) x

Interceptor Forum NAS uGreen Software Docker Projekt v
Crowdsec Scenarios die Parsers und Acquis

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Baumstrukturmodus
Crowdsec Scenarios die Parsers und Acquis
nitje Offline
Administrator
*******
Beiträge: 238
Themen: 132
Registriert seit: Nov 2024
Bewertung: 19
View Submissions | Download History
#1
21-06-2025, 06:58 (Dieser Beitrag wurde zuletzt bearbeitet: 22-06-2025, 07:13 von nitje.)
In diesem Beitrag Hänge ich meine Scenarios, Parsers und Änderungen der Acquis an. Ich beziehe mich hier auf meine "Crowdsec_gui" um dies Umzusetzen.

Dazu in "Crowdsec_gui" auf "Config Editor Erstellen" klicken.

Beispiel:
Code:
# scenarios/unifi_cef_block.yaml
name: custom/unifi_cef_block
...
...
...

Die erste Auskommentierte Zeile ist auch der Dateiname und Pfad!

Eintrag bei "Dateiname und Pfad":

Code:
scenarios/unifi_cef_block.yaml


Eintrag bei "Inhalt (YAML)":

Code:
# Kann Komplett mit Kommentar so eingetragen werden.
...
...
...


Wichtig: Wenn Änderung vor genommen wurden muss man crowdsec neu starten, es reicht am ende wenn alles geändert wurde.
Suchen
Zitieren
nitje Offline
Administrator
ThreadStarter
*******
Beiträge: 238
Themen: 132
Registriert seit: Nov 2024
Bewertung: 19
View Submissions | Download History
#2
21-06-2025, 07:20 (Dieser Beitrag wurde zuletzt bearbeitet: 22-06-2025, 07:19 von nitje.)
Für Unifi-Netzwerk-Hardware mit Syslog wird ein Zusätzlicher Container "unifi_sylog" benötigt, der die Logs Empfängt und als Volume Bereitstellt.

Dafür entweder eigenes Projekt Erstellen oder mit in die docker-compose_crowdsec.yaml eintragen. Ihr könnt Metabase als Beispiel Ersetzen oder zusätzlich Container am ende Hinzufügen.



Exclamation Der Original von crowdsec-Hub schaut in die Logs nur nach Login Versuchen, das funktioniert nur solange wie ihr Port 80/443/21 nicht auf einen nginx-proxy-manager leitet. Dadurch kann man sich Logischerweise nicht mehr von außen auf die Weboberfläche von UniFi einloggen.

Dieser hier sieht sich die CEF Zeile an was das Intrusion-Prevention-Systeme(IPS) blockt und übernimmt es auch gleich in crowdsec mit dem 1. Versuch!

Wird Malware im internen Netzwerk erkannt – etwa weil ein infizierter PC versucht, eine Verbindung nach außen herzustellen –, kehrt sich die Logik um: Die Ziel-IP der ausgehenden Verbindung wird wie eine eingehende Bedrohung behandelt und blockiert. → Das ist insbesondere dann sinnvoll, wenn der gesamte ausgehende Datenverkehr eures Netzwerks über einen zentralen Proxy dieses Systems geleitet wird.





Es sind zwei Text Dateien enthalten, für die Änderungen in Acquis und docker-compose_crowdsec.yaml.

Ein Paket mit Änderungen im Anhang.



Praxisbeispiel:
Siehe Bilder und hier ist die Zeile aus dem Syslog auf was Reagiert wurde:
Code:
2025-06-21T07:52:22.108+00:00 CEST 192.168.1.2 CEF:1|Ubiquiti|UniFi Network|9.0.114|security_detections-68564896e9146d405e7afbd3|IPS Alert 2: Misc Attack. Signature ET DROP Dshield Block Listed Source group 1. From: 104.234.115.206:21328, to: 192.168.1.242:80, protocol: TCP|Medium|signature_type=ET signature_id=2402000

und diese:
Code:
2025-06-21T09:07:47.867+00:00 CEST 192.168.1.2 CEF:1|Ubiquiti|UniFi Network|9.0.114|security_detections-68565a43e9146d405e7b0261|IPS Alert 1: A Network Trojan was detected. Signature ET MALWARE Generic Dropper Installing PUP 1. From: 192.168.1.20:57012, to: 45.56.90.99:80, protocol: TCP|High|signature_type=ET signature_id=2021101


Angehängte Dateien Thumbnail(s)
       

.zip   crowdsec_unifi-syslog.zip (Größe: 2.92 KB / Downloads: 0)
Suchen
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste