هشدارهای امنیتی در زمان واقعی دریافت کنید: ادغام Fail2Ban با تیم های مایکروسافت 🛡
تا به حال آرزو کرده اید که وقتی شخصی سعی می کند وارد سرور شما شود ، می توانید اعلان های فوری را در تیم های مایکروسافت دریافت کنید؟ من شما را پوشانده ام! من به تازگی راه حلی را ایجاد کردم که Bridges Fail2Ban Monitoring با اعلان های تیم های مایکروسافت ، با اطلاعات جغرافیایی در مورد مهاجمان بالقوه ، کامل شود.
مشکل
به عنوان یک مدیر سیستم ، نظارت بر رویدادهای امنیتی سرور می تواند چالش برانگیز باشد. Fail2ban یک کار عالی در تشخیص و مسدود کردن فعالیت های مخرب انجام می دهد ، اما به طور پیش فرض ، شما فقط وقتی به طور فعال سیاههها را بررسی می کنید ، در مورد این رویدادها می دانید. چه می شود اگر بتوانید اعلان های زمان واقعی را مستقیماً در فضای کاری تیم های خود با اطلاعات دقیق در مورد هر حادثه امنیتی دریافت کنید؟
راه حل
من FAIL2BAN-MS-TEAMS-NOTIFICATION را توسعه دادم ، یکپارچه سازی جامع که هشدارهای امنیتی مفصلی را به کانال های تیم های مایکروسافت ارسال می کند هر زمان که Fail2Ban فعالیت مشکوک را تشخیص دهد.
ویژگی های کلیدی
- اعلان های زمان واقعی مستقیماً به کانال های تیم ارسال می شود
- اطلاعات جغرافیایی درباره آدرس های IP مسدود شده
- پیکربندی آسان با حداقل راه اندازی مورد نیاز
- هشدارهای قابل تنظیم برای خدمات مختلف (SSH ، Nginx ، خدمات سفارشی)
- تجزیه و تحلیل دقیق تهدید با داده های جغرافیایی IP
چگونه کار می کند
ادغام شامل دو مؤلفه اصلی است:
- Teams-geo.conf – یک فایل پیکربندی عملکرد FAIL2BAN
- Teams-otify.sh – یک اسکریپت اعلان که به تیم ها هشدار داده و ارسال می کند
هنگامی که FAIL2BAN فعالیت مشکوک را تشخیص می دهد ، اقدام به اعلان تیم ها می کند ، که:
- اطلاعات مربوط به آدرس IP مسدود شده را جمع آوری می کند
- داده های جغرافیایی را برای تجزیه و تحلیل تهدید پیشرفته واکشی می کند
- فرمت یک پیام دقیق با کلیه اطلاعات امنیتی مربوطه
- هشدار را به تیم های پیکربندی شده شما ارسال می کند
راهنمای تنظیم سریع
پیش نیازهای
- FAIL2BAN 1.0.2+
- دسترسی ریشه به سرور شما
- فضای کاری تیم های مایکروسافت با مجوزهای Webhook
- دسترسی به شبکه برای درخواست های HTTPS
مراحل نصب
- کلون مخزن
git clone https://github.com/eyeskiller/fail2ban-ms-teams-notification.git
cd fail2ban-ms-teams-notification
- اجزای را نصب کنید
# Copy action configuration
sudo cp teams-geo.conf /etc/fail2ban/action.d/teams-geo.conf
# Copy notification script
sudo cp teams-notify.sh /etc/fail2ban/teams-notify.sh
sudo chmod +x /etc/fail2ban/teams-notify.sh
- تیم های خود را پیکربندی کنید
sudo nano /etc/fail2ban/teams-notify.sh
# Update the WEBHOOK variable with your Teams webhook URL
- به تنظیمات زندان خود اضافه کنید
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 3
findtime = 600
bantime = 3600
action = %(action_)s
teams-geo
- راه اندازی مجدد و آزمایش
sudo systemctl restart fail2ban
sudo /etc/fail2ban/teams-notify.sh "192.168.1.100" "test-jail" "manual-test"
نمونه های استفاده در دنیای واقعی
محافظت از SSH
ایده آل برای نظارت بر تلاش های ورود به سیستم SSH بر روی سرورهای شما. هنگامی که شخصی سعی می کند سرویس SSH شما را بی رحمانه کند ، هشدارهای فوری دریافت خواهید کرد.
امنیت سرور وب
برای نظارت بر خرابی های تأیید هویت HTTP و فعالیت وب مشکوک ، با سیاهههای NGINX یا Apache یکپارچه شوید.
برنامه های سفارشی
به راحتی در هر خدمتی که رویدادهای امنیتی را با ایجاد تنظیمات زندان FAIL2BAN CUSTON وارد کنید ، گسترش دهید.
چه چیزی این را خاص می کند؟ 🌟
بر خلاف راه حل های اصلی اطلاع رسانی ، این ادغام ارائه می دهد:
- زمینه جغرافیایی – بدانید که حملات از کجا می آیند
- داده های ساختاری – هشدارهای تمیز و فرمت شده با تمام اطلاعات مربوطه
- تولید شده – شامل رسیدگی به خطا ، روشهای آزمایش و راهنماهای عیب یابی
- پیکربندی انعطاف پذیر – به راحتی برای محیط های مختلف قابل تنظیم است
- مستندات جامع – دستورالعمل های دقیق تنظیم و عیب یابی
عیب یابی آسان
این مخزن شامل راهنماهای جامع عیب یابی برای موضوعات مشترک است:
- مشکلات اجازه پرونده پیکربندی
- مسائل مربوط به اتصال Webhook
- مشکلات راه اندازی سرویس Fail2ban
- تشخیص اتصال شبکه
ملاحظات امنیتی
هنگام اجرای این راه حل ، در نظر بگیرید:
- URL های Webhook را به صورت ایمن ذخیره کرده و به صورت دوره ای آنها را بچرخانید
- توجه داشته باشید که آدرس های IP و اطلاعات سیستم منتقل می شوند
- قوانین مناسب فایروال را برای ترافیک وب خارج از خانه پیاده سازی کنید
- به طور مرتب تنظیمات اعلان خود را مرور و آزمایش کنید
پیشرفت های آینده
من به طور مداوم در حال بهبود این ادغام هستم. ویژگی های برنامه ریزی شده عبارتند از:
- پشتیبانی از سیستم عامل های پیام رسانی اضافی
- ادغام اطلاعات تهدید تهدید
- داشبورد برای رویدادهای امنیتی تاریخی
- فیلتر و طبقه بندی هشدار پیشرفته
امروز شروع کنید!
برای تقویت نظارت بر امنیت سرور خود آماده هستید؟ مخزن را در GitHub بررسی کنید و دریافت هشدارهای امنیتی در زمان واقعی در فضای کاری تیم های مایکروسافت خود را شروع کنید.
این تنظیم کمتر از 10 دقیقه طول می کشد ، اما آرامش ذهن بسیار ارزشمند است. خود آینده شما به جای کشف آن روزها بعد در پرونده های ورود به سیستم ، از شما تشکر خواهد کرد که حادثه امنیتی بعدی را در زمان واقعی بدست آورید!
برچسب ها
آیا این راه حل را پیاده سازی کرده اید؟ من دوست دارم در مورد تجربه شما و هرگونه سفارشی سازی که ساخته اید بشنوم! نظر زیر را رها کنید یا به مخزن GitHub کمک کنید.
