pfSense

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка коллектора KUMA

Создание коллектора KUMA

Для приема и обработки событий pfSense необходимо создать сервис коллектора в KUMA. Для этого в веб-интерфейсе перейдите в раздел Ресурсы и нажмите на кнопку Подключить источник. В появившемся окне Создание коллектора:

На шаге Подключение источников укажите Название коллектора и Тенант, которому будет принадлежать создаваемый коллектор

На шаге Транспорт укажите Тип коннектора и URL (порт, выделенный сервису)

Для распределенной инсталяции укажите hostname:port сервера коллектора в поле URL.

Указанные параметры должны соответствовать настройкам на стороне pfSense.

На шаге Парсинг событий нажмите Добавить парсинг событий и укажите нормализатор. Рекомендуется использовать в качестве нормализатора для событий pfSense "коробочный" нормализатор [OOTB] pfSense Syslog.

Шаги мастера настройки с четвертого по шестой (Фильтрация событий, Агрегация событий и Обогащение событий) можно пропустить и вернуться к их настройке позднее.
На седьмом шаге Маршрутизация задайте точки назначения. Для хранения событий добавьте точку назначения типа Хранилище (Storage). В случае если предполагается также анализ потока событий правилами корреляции добавьте точку назначения типа Коррелятор (Correlator).

На завершающем шаге Проверка параметров нажмите на кнопку Сохранить и создать сервис. После чего появится команда установки сервиса, которую необходимо скопировать для дальнейшей установки.

Также после выполнения вышеуказанных действий в разделе Ресурсы > Активные сервисы появится созданный сервис коллектора.

Установка коллектора KUMA

Выполните подключение к CLI сервера KUMA (установка сервиса коллектора выполняется с правами root).

Для установки сервиса коллектора выполните команду, скопированную на прошлом шаге.

При необходимости добавьте порт коллектора в исключения фаервола и обновите параметры службы.

Если используется firewall-cmd:

firewall-cmd --add-port=5152/udp –permanent

firewall-cmd –reload

Если используется ufw:

ufw allow 5152/udp

ufw reload

После успешной установки сервиса его статус в веб-интерфейсе KUMA изменится на Вкл с зеленой индикацией.

Настройка Check Point NGFWpfSense

Отправка событий ~~Check Point NGFW~~pfSense осуществляется средствами ~~Log~~демона ~~Exporter~~syslog. сДля ~~Management~~настройки ~~Server/Log~~отправки ~~Server.~~событий ~~Настройку~~в ~~конфигурации Log Exporter можно выполнить двумя способами:~~KUMA:

СПерейдите ~~помощью SmartConsole (начиная с версии R81)~~

~~В CLI~~

SmartConsole

~~Создайте новый объект Log Exporter/SIEM:~~

~~Выберите~~в ~~Objects~~ > ~~More object types~~Статус > ~~Server~~Системный журнал> ~~Log~~и ~~Exporter/SIEM~~ ~~В поле~~ ~~Object Name~~ ~~введите имя для создаваемого объекта~~ ~~Log Exporter~~ ~~Перейдите~~далее во вкладку ~~General~~Настройки.: Включите

В секции ~~Export~~Опции ~~Configuration~~ Удаленного~~активируйте флаг~~ ~~Enabled~~

~~В секции~~ ~~Server Configuration~~Журналирования:

Включите параметр Отправлять сообщения журнала на удаленный сервер syslog.

В ~~поле~~параметре ~~Target~~Серверы ~~Server~~удаленного журнала укажите IP-~~адрес~~адрес:порт ~~или~~сервера ~~FQDN~~KUMA (для распределенной инсталляции - IP-адрес:порт сервера коллектора ~~KUMA (FQDN поддерживается, начиная с R81 SmartConsole Build 569)~~KUMA). В ~~поле~~параметре ~~Target~~Содержание ~~Port~~Удаленного ~~укажите~~Сервера ~~порт, указанный на шаге~~ ~~Транспорт~~ ~~при создании сервиса коллектора~~ ~~В поле~~ ~~Protocol~~Журнала выберите ~~протокол~~типы ~~(TCP или UDP), указанный на шаге~~ ~~Транспорт~~ ~~при создании сервиса коллектора~~ ~~Перейдите во вкладку~~ ~~Data Manipulation:~~

~~В поле~~ ~~Format~~ ~~выберите~~ ~~Common Event Format (CEF)~~ ~~(Опционально)~~ ~~активируйте флаг~~ ~~Aggregate log updates before export~~ для экспорта событий, содержащих полные данные, а не только изменения, произошедшие с момента последнего логасобытий для ~~одного и того же события.~~ ~~(Опционально)~~ ~~Перейдите во вкладку~~ ~~Attachments:~~

~~Активируйте флаги~~

~~Add link to Log Details in SmartView~~ ~~Add link to Log Attachment in SmartView~~ ~~Add Log Attachment ID~~ ~~Нажмите~~ ОКотправки.

~~Выполните настройку параметров объекта~~ ~~Management Server~~ ~~или~~ ~~Dedicated Log Server / SmartEvent Server:~~
~~В навигационной панели слева выберите~~ ~~Gateways & Servers~~

~~Откройте объект~~ ~~Management Server or Dedicated Log Server / SmartEvent Server~~ ~~Слева выберите~~ ~~Logs~~ > ~~Export~~ Нажмите ~~[+]~~Сохранение ~~и выберите объект~~ ~~Log Exporter /~~ ~~SIEM,~~ ~~созданный ранее~~ ~~Нажмите~~ OK. ~~Нажмите~~ ~~Menu~~ > ~~Install database~~ ~~Выберите все объекты~~ ~~Нажмите~~ ~~Install~~

CLI

~~Подключитесь к~~ ~~Management Server / Log Server~~ ~~Перейдите в режим~~ ~~Expert~~ ~~Настройте параметры~~ ~~Log Exporter~~

cp_log_export add name <Наименование конфигурации Log Exporter> target-server <IP-адрес или FQDN сервера коллектора KUMA> target-port <Порт, указанный на шаге Транспорт при создании сервиса коллектора> protocol {tcp | udp} format cef

~~Запустите новый инстанс~~ ~~Log Exporter~~

cp_log_export restart name <Наименование конфигурации>

Проверка поступления событий Check Point NGFW в KUMA

Для проверки, что сбор событий с Check Point NGFW успешно настроен перейдите в Ресурсы > Активные сервисы > выберите ранее созданный коллектор Check Point NGFW > ПКМ > Перейти к событиям.

В открывшемся окне События убедитесь, что присутствуют события Check Point NGFW.

Полезные ссылки

События передаются в незашифрованном виде ...

Настройка отправки событий Check Point с помощью Log Exporter - https://support.checkpoint.com/results/sk/sk122323

Описание полей событий Check Point - https://support.checkpoint.com/results/sk/sk144192\

https://docs.netgate.com/pfsense/en/latest/monitoring/logs/remote.html