Netgate pfSense: настройка источника

Данное руководство описывает процесс настройки сбора событий pfSense и их отправки в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между устройствами pfSense и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка pfSense

Настройка отправки событий в R-Vision SIEM

Отправка сообщений осуществляется посредством протокола syslog. Для настройки передачи событий выполните следующие шаги:

  1. Войдите в веб-интерфес pfSense.

  2. Перейдите в раздел Status → System Logs:

    netgate pfsense systemlog

  3. Откройте вкладку Settings.

  4. В пункте Log Message Format выберите из выпадающего списка вариант syslog.

    netgate pfsense logformat

  5. Внизу страницы установите флажок в поле Enable Remote Logging.

  6. В поле IP Protocol выберите из выпадающего списка вариант IPv4.

  7. Введите IP-адрес коллектора SIEM и порт в формате: <target>:<port>.

    Здесь:

    • <target> — IP-адрес узла кластера K8s, на котором запущен коллектор.

    • <port> — порт точки входа Syslog на конвейере SIEM.

  8. Выберите события, которые необходимо отправлять в SIEM.

  9. Нажмите на кноку Save.

    netgate pfsense remotelog

Netgate pfSense отправляет события только по протоколу UDP. При создании точки входа указывайте протокол UDP и любой свободный порт со значением больше 30000. Точка входа в конвейере должна быть создана заранее.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий Netgate pfSense в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите произвольное, понятное название.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне источника (любой свободный порт со значением больше 30000).

    • Протокол: выберите вариант UDP.

  3. Добавьте VRL-трансформацию со следующим кодом:

    .device_product = "pfsense"

  4. Соедините точку входа с VRL-трансформацией.

  5. Добавьте на конвейер элемент Нормализатор с правилом Netgate pfSense (идентификатор правила: RV-N-336).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

netgate pfsense pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события pfSense.

Найти события pfSense в хранилище можно по следующему фильтру:

device_product = "pfsense"

netgate pfsense search

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь