Friday, November 1, 2024
HomeKiến thức LinuxBảo mật
Bảo mậtCrowdsecGrafanaPrometheus

[CrowdSec] – Phần 15 – Monitor Crowdsec bằng Prometheus

Hà Đăng Hoàng
By Hà Đăng Hoàng

-

1479
0

1. Tổng quan.

Việc theo dõi CrowdSec là quan trọng để duy trì tính bảo mật và tính toàn vẹn của mạng và hệ thống của bạn. Nó giúp bạn phát hiện, đáp ứng và giảm thiểu các mối đe dọa an ninh mạng một cách hiệu quả, đồng thời đảm bảo tuân thủ với các tiêu chuẩn và quy định của ngành công nghiệp.

Việc theo dõi CrowdSec là cần thiết vì:

  • Phát hiện Mối đe dọa: CrowdSec được thiết kế để phát hiện và đáp ứng với nhiều loại mối đe dọa an ninh mạng, bao gồm các cuộc tấn công mạng và hoạt động độc hại. Bằng cách theo dõi CrowdSec, bạn có thể xác định và đáp ứng các mối đe dọa này một cách kịp thời.
  • Nhận thức thời gian thực: Việc theo dõi cho phép bạn có cái nhìn thời gian thực về những gì đang xảy ra trong mạng hoặc hệ thống của bạn. Điều này giúp bạn cập nhật về các sự cố bảo mật tiềm ẩn khi chúng xảy ra, thay vì phát hiện chúng sau khi đã xảy ra.
  • Đáp ứng Sự cố: Khi CrowdSec phát hiện một mối đe dọa, nó thực hiện các hành động dựa trên các tình huống và quyết định được định nghĩa trước. Việc theo dõi CrowdSec giúp bạn hiểu cách nó đáp ứng với các mối đe dọa khác nhau và xem xét xem các phản ứng của nó có hiệu quả không. Nếu cần, bạn có thể điều chỉnh các phản ứng này để cải thiện bảo mật.
  • Cảnh báo và Thông báo: CrowdSec có thể tạo ra cảnh báo và thông báo khi nó phát hiện hoạt động đáng ngờ hoặc độc hại. Theo dõi đảm bảo rằng bạn nhận được thông báo này kịp thời, cho phép bạn thực hiện hành động ngay để giảm thiểu mối đe dọa.
  • Phân tích và Sự kiện thám tử: Theo dõi CrowdSec cung cấp dữ liệu quý báu để phân tích sự kiện. Bạn có thể điều tra chi tiết về các sự cố bảo mật, hiểu nguồn gốc của chúng và xác định phạm vi thiệt hại tiềm ẩn.
  • Tối ưu hóa Hiệu suất: Theo dõi giúp bạn đánh giá hiệu suất của CrowdSec và tác động của nó đối với hệ thống của bạn. Bạn có thể xác định bất kỳ hạn chế tài nguyên hoặc vấn đề nào có thể cần được giải quyết để đảm bảo hoạt động trơn tru của cơ sở hạ tầng bảo mật của bạn.
  • Tuân thủ và Báo cáo: Nhiều ngành công nghiệp và tổ chức đòi hỏi tuân thủ mức độ cao và theo dõi liên tục các hệ thống bảo mật. Theo dõi CrowdSec có thể giúp bạn tuân thủ các yêu cầu này bằng cung cấp hồ sơ chi tiết về các sự kiện bảo mật và các hành động đáp ứng.
  • Tối ưu hóa Liên tục: Bằng cách theo dõi CrowdSec, bạn có thể thu thập thông tin về cảnh quan đang thay đổi về mối đe dọa. Thông tin này có thể được sử dụng để liên tục cải thiện tình hình bảo mật của bạn bằng cách thích nghi với các mối đe dọa và lỗ hổng mới xuất hiện.

2. Triển khai.

Bước 1 – Cài đặt các thành phần dưới nếu chưa có

Bước 2 – Thay đổi config.yaml trên LAPI.

Bạn vào /etc/crowdsec/config.yaml và thay đổi đoạn listen_addr: 127.0.0.1 thành listen_addr: 0.0.0.0 như dưới. Điều này cho phép các server Prometheus có thể kết nối vào LAPI để lấy metric. Do mình lab nên mình để 0.0.0.0 còn ở prod các bạn hãy chỉ đích danh IP của máy Prometheus nhé.

prometheus:
  enabled: true
  level: full
  listen_addr: 0.0.0.0
  listen_port: 6060

Hãy nhớ restart lại Crowdsec.

service crowdsec restart

Bước 3 – Thay đổi config cho Prometheus.

Cài đăt xong, bạn vào /etc/prometheus/prometheus.yml và thêm đoạn config sau:

  - job_name: 'crowdsec_myMachine'
    static_configs:
    - targets: ['192.168.13.181:6060']
      labels:
        machine: 'my_machine'

Đây là toàn bộ đoạn config của mình sau khi thêm.

# my global config
global:
  scrape_interval: 15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
  # scrape_timeout is set to the global default (10s).

# Alertmanager configuration
alerting:
  alertmanagers:
    - static_configs:
        - targets:
          # - alertmanager:9093

# Load rules once and periodically evaluate them according to the global 'evaluation_interval'.
rule_files:
  # - "first_rules.yml"
  # - "second_rules.yml"

# A scrape configuration containing exactly one endpoint to scrape:
# Here it's Prometheus itself.
scrape_configs:
  # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
  - job_name: "prometheus"

    # metrics_path defaults to '/metrics'
    # scheme defaults to 'http'.

    static_configs:
      - targets: ["localhost:9090"]

  - job_name: 'crowdsec_myMachine'
    static_configs:
    - targets: ['192.168.13.181:6060']
      labels:
        machine: 'my_machine'

Khởi động lại Prometheus.

sudo systemctl start prometheus

Bước 4 – Kiểm tra kết quả.

Vào http://192.168.13.184:9090/targets bạn có kết quả.

Vào http://192.168.13.181:6060/metrics bạn sẽ thấy các metric đã sẵn sàng.

Bước 5 – Cài đặt Dashboard.

Hãy thêm Datasource cho Crowdsec.

Thêm các Dashboard, mình sử dụng Dashboard này https://github.com/crowdsecurity/grafana-dashboards/tree/master/dashboards_v5.

Kết quả LAPI Metrics.

Crowdsec Overview

Crowdsec Details per instance

Các bạn muốn nhiều thông tin hơn thì tự chỉnh lấy nhé.

Previous article
[CrowdSec] – Phần 14 – Triển khai Remote LAPI cho OPNSense
Next article
Triển khai Redis Stack mô hình mô hình Setinel trên Kubernetes Cluster
Hà Đăng Hoàng
Hà Đăng Hoànghttps://wiki.hoanghd.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here

4,956FansLike
256FollowersFollow
223SubscribersSubscribe
spot_img

LATEST POSTS

Related Stories

Load more

EDITOR PICKS

POPULAR POSTS

POPULAR CATEGORY

LIÊN KẾT

Bạn có thể quét mã QR bên để gia nhập với nhóm của chúng tôi, nhóm dành cho các bạn muốn tìm hiểu các giải pháp CNTT. Tại đây bạn có thể tự do trao đổi kiến thức thoải mái và miễn phí.

Liên kết với tôi https://zalo.me/g/fmitpl996

© Chào mừng đến với wiki của Hoàng