Интеграция pfSense c SecurityOnion
Для интеграции и анализа трафика с pfSense необходимо произвести интеграцию. Открываем веб-интерфейс SecurityOnion и выбираем Elastic Fleet
В открывшимся окне переходим на вкладку “Agent policies” и выбираем “so-grid-nodes_general”, далее добавляем выбираем Add integration
В поле поиска набираем pfsense и выбираем, в появившемся окне нажимаем “Add pfSense”
Заполняем необходимые настройки
Integration name - на ваше усмотрение например yc-pfsense
Syslog host - 0.0.0.0
Остальные значения можно оставить как есть и нажимаем Save and continue
Далее нажимаем Save and Deploy changes
Возвращаемся в веб интерфейс SecurityOnion и переходим Administration
–> Configuration
.
Нажмите на Option
и выберите Show all configurable settings, including advanced settings
На левой стороне перейдите в настройки firewall
, выберите hostgroups
и кликните на группу customhostgroup0
. На правой стороне введите IP-адрес брандмауэра pfSense и нажмите галочку для сохранения.
На левой стороне перейдите в настройки firewall
, выберите portgroups
, выберите группу customportgroup0
, затем нажмите на протокол UDP
. На правой стороне введите 9001
и нажмите галочку для сохранения.
На левой стороне перейдите в настройки firewall
, выберите role, затем выберите тип узла например standalone, который будет получать журналы pfSense. Затем перейдите в chain
–> INPUT
–> hostgroups
–> customhostgroup0
–> portgroups
. На правой стороне введите customportgroup0
и нажмите галочку для сохранения.
Если вы хотите применить правила немедленно, нажмите кнопку SYNCHRONIZE GRID
в меню Option
в верхней части страницы.
На этом настройки для SecurityOnion закончены, теперь нужно настроить отправку логов с pfSense
Открываем веб интерфейс pfsense, в меню выбираем Status
–> System Logs
На открывшейся странице выбираем Settings
и прокручиваем в самый низ
Ставим галочку для Enable Remote Logging
, для Source Address
выбираем LAN
, для IP Protocol
выбираем IPV4
.
Прописываем ip
и port
SecurityOnion в Remote log servers
.
Для Remote Syslog Contents
выбираем Everything
и нажимаем Save
На этом интеграция завершена, через пару минут проверяем что события появились в SecurityOnion.
Открываем Hunt
в поисковый запрос добавляем * | groupby event.module* event.dataset
, нажимаем HUNT
, после того как запрос отработает перелистываем в конец страницы, вы должны увидеть pfsense
Пример событий