pfSense

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий pfSense необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор

На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису)

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL.

Указанные параметры должны соответствовать настройкам на стороне pfSense.

На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать в качестве нормализатора для событий pfSense "коробочный" нормализатор [OOTB] pfSense Syslog.

Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).

На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

Если используется firewall-cmd:

firewall-cmd --add-port=5152/udp –permanent

firewall-cmd –reload

Если используется ufw:

ufw allow 5152/udp

ufw reload

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

Настройка Check Point NGFWpfSense

Отправка событий ~~Check Point NGFW~~pfSense осуществляется средствами ~~Log~~демона ~~Exporter~~syslog. сДля ~~Management Server/Log Server. Н~~настройкуи ко~~нфигу~~тпрацивки ~~Log Exporter можно выполнить двумя спо~~собамыти:й в KUMA:

~~С помощью SmartConsole (начиная с версии R81)~~

~~В CLI~~

SmartConsole

~~Создайте новый объект Log Exporter/SIEM:~~
- ~~Выберите~~ ~~Objects~~ > ~~More object types~~ > ~~Server~~ > ~~Log Exporter/SIEM~~
- ~~В поле~~ ~~Object Name~~ ~~введите имя для создаваемого объекта~~ ~~Log Exporter~~
- Перейдите в Статус > Системный журнал и далее во вкладку ~~General~~Настройки.:
- Включите
- В секции ~~Export Configuration~~ ~~активируйте флаг~~ ~~Enabled~~
- ~~В сек~~Опции Удаленного ~~Server Configuration~~Журналирования:
  - Включите параметр Отправлять сообщения журнала на удаленный сервер syslog.
  - В параметре ~~Target~~Серверы ~~Server~~удаленного журнала укажите IP-адрес:порт сервера KUMA (для распределенной инсталляции ~~FQDN~~- IP-адрес:порт сервера коллектора ~~KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)~~KUMA).
  - В полараметре ~~Target Port~~ ~~ука~~Содерж~~ите порт, указанный на шаге~~ ~~Транспорт~~ ~~при созд~~аниие сУдаленного Сервисера коЖурнал~~лектор~~а
  - ~~В поле~~ ~~Protocol~~ выберите тип~~ротокол (TCP или UDP), указанн~~ы~~й на шаге~~ ~~Транспорт~~ ~~при~~ созбытий д~~ании~~ля ~~сервиса к~~о~~ллек~~топравки.

~~Перейдите во вкладку~~ ~~Data Manipulation:~~
- ~~В поле~~ ~~Format~~ ~~выберите~~ ~~Common Event Format (CEF)~~
- ~~(Опционально)~~ ~~активируйте флаг~~ ~~Aggregate log updates before export~~ для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего лога для одного и того же события.

~~(Опционально)~~ ~~Перейдите во вкладку~~ ~~Attachments:~~
- ~~Активируйте флаги~~
  - ~~Add link to Log Details in SmartView~~
  - ~~Add link to Log Attachment in SmartView~~
  - ~~Add Log Attachment ID~~
Нажмите ОК

~~Вып~~Со~~лните настройку параметров объекта~~ ~~Management Server~~ ~~или~~ ~~Dedicated Log Server / SmartEvent Server:~~
- ~~В навигационной панели слева выберите~~ ~~Gateways & Servers~~
- ~~Откройте объект~~ ~~Management Server or Dedicated Log Server / SmartEvent Server~~
- ~~Слева выберите~~ ~~Logs~~ > ~~Export~~
- ~~Нажмите~~ ~~[+]~~ ~~и выберите объект~~ ~~Log Exporter /~~ ~~SIEM,~~ ~~созданный~~ хранение
- ~~Нажмите~~ OK.

~~Нажмите~~ ~~Menu~~ > ~~Install database~~

~~Выберите все объекты~~

~~Нажмите~~ ~~Install~~

CLI

~~Подключитесь к~~ ~~Management Server / Log Server~~

~~Перейдите в режим~~ ~~Expert~~

~~Настройте параметры~~ ~~Log Exporter~~

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef

~~Запустите новый инстанс~~ ~~Log Exporter~~

cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.

В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.

Полезные ссылки

События передаются в незашифрованном виде ...

Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192\

https://docs.netgate.com/pfsense/en/latest/monitoring/logs/remote.html