Интеграция pfSense c SecurityOnion

Интеграция pfSense с SecurityOnion

Для интеграции и анализа трафика с pfSense необходимо произвести интеграцию. Открываем веб-интерфейс SecurityOnion и выбираем Elastic Fleet

В открывшимся окне переходим на вкладку “Agent policies” и выбираем “so-grid-nodes_general”, далее добавляем выбираем Add integration

В поле поиска набираем pfsense и выбираем, в появившемся окне нажимаем “Add pfSense”

Заполняем необходимые настройки

Integration name - на ваше усмотрение например yc-pfsense

Syslog host - 0.0.0.0

Остальные значения можно оставить как есть и нажимаем Save and continue

Далее нажимаем Save and Deploy changes

Возвращаемся в веб интерфейс SecurityOnion и переходим Administration –> Configuration. Нажмите на Option и выберите Show all configurable settings, including advanced settings

На левой стороне перейдите в настройки firewall, выберите hostgroups и кликните на группу customhostgroup0. На правой стороне введите IP-адрес брандмауэра pfSense и нажмите галочку для сохранения.

На левой стороне перейдите в настройки firewall, выберите portgroups, выберите группу customportgroup0, затем нажмите на протокол UDP. На правой стороне введите 9001 и нажмите галочку для сохранения.

На левой стороне перейдите в настройки firewall, выберите role, затем выберите тип узла например standalone, который будет получать журналы pfSense. Затем перейдите в chain –> INPUT –> hostgroups –> customhostgroup0 –> portgroups. На правой стороне введите customportgroup0 и нажмите галочку для сохранения.

Если вы хотите применить правила немедленно, нажмите кнопку SYNCHRONIZE GRID в меню Option в верхней части страницы.

На этом настройки для SecurityOnion закончены, теперь нужно настроить отправку логов с pfSense

Открываем веб интерфейс pfsense, в меню выбираем Status –> System Logs

На открывшейся странице выбираем Settings и прокручиваем в самый низ

Ставим галочку для Enable Remote Logging, для Source Address выбираем LAN, для IP Protocol выбираем IPV4.

Прописываем ip и port SecurityOnion в Remote log servers.

Для Remote Syslog Contents выбираем Everything и нажимаем Save

На этом интеграция завершена, через пару минут проверяем что события появились в SecurityOnion.

Открываем Hunt в поисковый запрос добавляем * | groupby event.module* event.dataset, нажимаем HUNT, после того как запрос отработает перелистываем в конец страницы, вы должны увидеть pfsense

Пример событий