Votre Guide Tout-En-Un Pour Configurer Pfsense Et Suricata Dans Splunk - Hurricane Labs

03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Rejoignez notre newsletter pour recevoir les dernières actualités et tutoriels sur Splunk
✕
et la cybersécurité directement dans votre boîte de réception !
Prestations de service  Ressources  Notre histoire Les partenaires
Contact 
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de 
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 1/25
Contact 
Votre guide tout-en-un pour

configurer pfSense et Suricata dans
Splunk
Par Austin O'Neil | Publié le: 8 mai 2020
Accepter
confidentialité .
Il existe quelques blogs sur Internet qui vous guident dans la configuration d'un
redirecteur pfSense Splunk, et quelques autres qui parlent de l'obtention de vos
journaux Suricata IDS dans votre Splunk, mais il n'y a pas de guide tout-en-un pour vous
aider. vous faites les deux. Aujourd'hui, nous espérons résoudre ce problème et vous
donner un guide tout-en-un sur la façon de procéder.
Pour ceux qui ne savent pas ce qu'est pfSense , c'est un logiciel de routeur open
source basé sur FreeBSD qui peut être exécuté sur n'importe quoi, d'une ancienne tour
de bureau à un
Contact  tout nouveau serveur 1U ou une machine virtuelle. Le projet a débuté
en 2004 en tant que fork d'un projet appelé "m0n0wall", et il a gagné en popularité en
tant que l'un des systèmes d'exploitation de routeurs domestiques et professionnels
préférés. Si vous n'êtes pas familier avec le projet et que vous souhaitez l'essayer, je
vous recommande de vous rendre sur le site Web de pfSense pour télécharger la
version actuelle et l'installer dans un environnement de développement.
Suricata est un projet IDS open source pour aider à détecter et arrêter les attaques
réseau basées sur des règles prédéfinies ou des règles que vous avez écrites vous-
même ! Heureusement, il existe un package pfSense que vous pouvez télécharger et
configurer facilement pour empêcher le trafic malveillant d'accéder à votre réseau.
Remarque : Les étapes suivantes ont été écrites autour de la dernière version de
pfSense 2.4.5 ; les futures mises à jour peuvent rendre ce guide obsolète.
Étape 1 : Configuration de pfSense SSH

La première chose que vous devrez faire est de vous connecter à votre interface
graphique Web pfSense et d'accéder à Système> Avancé pour activer l'accès shell
sécurisé à votre routeur si vous ne l'avez pas encore fait. Cela sera nécessaire pour les
prochaines étapes.
La meilleure pratique ici serait de configurer l'accès avec une clé publique et un mot de
passe, mais à des fins de démonstration, nous allons simplement activer
l'authentification par mot de passe pour le moment.
Accepter
confidentialité .
Contact 
Une fois que vous avez activé SSH dans l'interface graphique Web, vérifiez que vous
pouvez vous connecter au routeur en utilisant PuTTY, PowerShell ou votre
environnement de terminal préféré. “ssh root@ip-of-router”. Le mot de passe serait
le même que celui que vous utilisez pour vous authentifier auprès de l'interface
graphique Web.
Étape 2 : Installation de pfSense Suricata

Accepter
confidentialité .
Pour installer Suricata, c'est aussi simple que de cliquer sur quelques boutons. Nous
devrons aller dans System > Package Manager > Available Packages . Faites défiler
vers le bas jusqu'à ce que vous trouviez "Suricata", puis cliquez sur installer. Nous
reviendrons sur la configuration de Suricata plus tard dans le tutoriel.

Étape 3 : Configuration de Splunk
Configuration
Contact  de l'index Splunk
Avant d'aller plus loin, nous devons configurer Splunk pour recevoir nos données.
Pour simplifier les choses, nous allons créer deux index. Un pour pfSense appelé
"réseau" et un autre pour Suricata appelé "ids". Je vous recommande de créer et de
conserver une table d'index à portée de main afin de savoir où chercher vos données
dans Splunk. Cela résoudra les futurs maux de tête lorsque vous recherchez certains
événements.
1.) Pour créer un index, connectez-vous à Splunk, puis cliquez sur Paramètres > Index
.
2.) Une fois sur la page "Index", nous voudrons cliquer sur "Nouvel index" dans le coin
supérieur
cliquant, vousdroit de lanospage.
acceptez Des options
conditions vous
d'utilisation seront
et nos alorsdeprésentées pour créer
politiques un
Accepter
nouvel index.
confidentialité .
3.) Pour le premier index, nous l'appellerons "réseau". Vous pouvez laisser le reste des
paramètres seuls, sauf si vous souhaitez configurer la rétention d'index qui peut être
apprise ici .
4.) Une fois terminé, continuez et enregistrez l'index.

Répétez ce processus pour l'autre index nécessaire appelé "ids".
Contact 
Installation des applications Splunk

Ensuite, nous
Ce site utilise desdevons
cookies ettélécharger quelques-unes
Google Analytics pour améliorerdes
votreapplications
expérience. EnSplunk à partir de
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
splunkbase.splunk.com 
Accepter
confidentialité .
Les liens suivants vous mèneront aux applications que nous utiliserons dans ce
didacticiel :
Modèle d'information commun (CIM) de Splunk - "Le CIM vous aide à normaliser
vos données pour qu'elles correspondent à une norme commune, en utilisant les
mêmes
Prestations de noms
servicede champs et balisesd'événement
Ressources pour des événements
Notre histoire Les partenaires
équivalents provenant de différentes sources ou fournisseurs." Cela nous
permettra de créer facilement des alertes et des rapports une fois que tout sera
configuré.
Contact 
TA-pfSense - Cela permet à Splunk d'extraire des champs des journaux pfSense.
Splunk TA pour Suricata – Cela permet à Splunk d'extraire des champs des
journaux Suricata.
Allez-y et téléchargez ces applications. Vous devrez les installer sur votre serveur Splunk
et sur votre redirecteur pfSense Splunk, que nous configurerons plus tard dans le
didacticiel.
Pour installer les applications sur votre serveur Splunk, cliquez sur Applications >
Gérer les applications dans le coin supérieur gauche.
Nous voudrons ensuite cliquer sur "Installer l'application à partir du fichier" et choisir
l'une
Ce sitedes applications
utilise des cookies etque vous
Google avez récemment
Analytics pour améliorertéléchargées.
votre expérience.Une
En fois choisi, cliquez
sur "Télécharger"
cliquant, vous acceptezetnos
répétez jusqu'à
conditions ce que
d'utilisation et les
nos trois applications
politiques de soient téléchargées.

Accepter
confidentialité .
Contact 
Nous n'aurons pas besoin de configurer l'une des applications installées. Une fois
toutes les applications téléchargées, nous pouvons passer à l'étape suivante.
Entrées de données Splunk

Maintenant que les applications sont installées, nous devons configurer les ports de
réception UDP. Ceci peut être réalisé en allant dans Paramètres > Entrées de
données . Cliquez sur "+ Ajouter nouveau" à côté d'UDP. Nous devons configurer un
port UDP pour recevoir les journaux pfSense de l'interface graphique.
Nous serons redirigés vers la page d'ajout de données dans Splunk. Allons-y et ajoutons
un port pour recevoir nos journaux. Je vais utiliser le port 5147.
Accepter
confidentialité .
Contact 
Dans la liste déroulante des types de source, tapez "pfsense". Nous devons sélectionner
pfsense sans le ":" comme le montre l'image ci-dessous.
Le paramètre suivant que nous devons modifier est le champ hôte. Sélectionnez
"Personnalisé" et saisissez le nom d'hôte de votre routeur pfSense. Une fois cette
opération terminée, sélectionnez le menu déroulant de l'index et sélectionnez l'index
"réseau" que nous avons créé précédemment.
Accepter
confidentialité .
Contact 
Passez à la page suivante en cliquant sur « Revoir », vérifiez vos nouveaux paramètres
de saisie de données, puis cliquez sur « Soumettre ».
Une fois cette opération terminée, nous devons configurer notre port de réception pour
notre transitaire. Accédez à Paramètres > Transfert et réception. Cliquez sur "Ajouter un
nouveau" à côté de "Configurer la réception". Dans le champ "Écouter sur ce port",
entrez "9997". Une fois cela fait, cliquez sur « Enregistrer », puis nous pouvons revenir à
la page d'accueil de Splunk en cliquant sur « Splunk> » dans le coin supérieur gauche.
Accepter
confidentialité .
É
Étape 4 : Configuration de la journalisation à

distance pfSense
Nous devons configurer pfSense pour se connecter au nouvel index et à la nouvelle
entrée de données que nous venons de configurer. Pour ce faire, dans l'interface
graphique
Prestations Web de pfSense,
de service  accédez à labarre de
Ressources navigation
Notre histoire et sélectionnez État >
Les partenaires
Journaux système . Une fois là-bas, nous devons aller dans l'onglet Paramètres et faire
défiler vers le bas de la page.
Contact 
Allez-y et cochez la case "Activer la journalisation à distance". Entrez l'adresse IP de

votre serveur Splunk suivie du numéro de port que nous avons configuré dans la
section Entrées de données. La dernière chose que nous devons faire est de cocher la
case "Tout" sous Contenu Syslog distant. Enregistrez la page.
Accepter
confidentialité .
Contact 
À ce stade, nous devrions pouvoir revenir à notre instance Splunk et exécuter la

recherche suivante.
1 index = type de source réseau = pfsense *
Vous devriez maintenant voir les événements pfSense revenir de votre recherche
Splunk avec tous les champs du TA extraits ! Si vous ne voyez pas tous les champs
extraits, assurez-vous d'exécuter la recherche en "mode détaillé".
Accepter
confidentialité .
Contact 
Étape 5 : Configuration de pfSense Suricata

D'accord, nous avons des journaux pfSense dans Splunk. Nous devons maintenant
obtenir notre configuration IDS, puis envoyer les journaux à Splunk. Commençons!
Puisque nous avons installé Suricata dans une étape précédente, nous avons juste
besoin de le configurer.
Allons
cliquant,dans Services>
vous acceptez Suricatad'utilisation
nos conditions à l'intérieur depolitiques
et nos pfSense.deNous devons d'abordaccéder
Accepter
à l'onglet Paramètres
confidentialité . globaux et activer le téléchargement des règles. Étant donné que
la gratuité est suffisante pour mon environnement, j'ai activé ETOpen Emerging Threats
et j'ai créé un compte Snort pour télécharger les règles gratuites de la communauté
Snort. Vous pouvez créer un compte ici .
Vous pouvez modifier l'intervalle de mise à jour pour télécharger automatiquement les
nouvelles
Prestationsrègles ajoutées
de service 
à laRessources
base de règles

ETOpen et Snort Community.
Notre histoire Les partenaires
Contact 
Ensuite,
Ce nous
site utilise desvoulons
cookies etaller dans
Google l'onglet
Analytics pour"Mises à jour"
améliorer et appuyer
votre expérience. En sur "Forcer" pour
forcer le téléchargement de toutes les règles que nous avons sélectionnées sur la page 
Accepter
confidentialité .
précédente.
Une fois cela fait, nous pouvons revenir à l'onglet Interfaces et cliquer sur le bouton "+
Ajouter" pour configurer l'interface WAN. Il y aura quelques captures d'écran ci-dessous
- ce sont ce que j'ai déterminé pour donner la meilleure sortie de journalisation. Nous
avons besoin
Prestations de de Suricata
service  pour nous connecter
Ressources  en mode
Notre EVE JSON.Les partenaires
histoire
Contact 
Nous
Ce site devons
utilise desmaintenant déterminer
cookies et Google si nous
Analytics pour voulons
améliorer votrebloquer lesEncontrevenants ou non.
expérience.
Vous avez la possibilité de choisir entre le mode hérité ou le mode en ligne. Je vous 
Accepter
confidentialité .
recommande de consulter cet article de blog sur les forums de Netgate pour
déterminer quelle serait la meilleure option dans votre scénario d'utilisation. J'ai
sélectionné Legacy pour mon cas d'utilisation. Allez-y et appuyez sur Enregistrer.
Contact 
Passons ensuite à l'onglet Catégories et sélectionnez les ensembles de règles que vous
souhaitez activer.
Accepter
confidentialité .
Contact 
Enfin, revenons à l'onglet interfaces et appuyez sur la flèche verte à côté de WAN. Cela
devrait activer Suricata.
Étape 6 : pfSense Splunk Forwarder et

expédition des journaux Suricata
Nous sommes dans la dernière ligne droite !
cliquant, vous acceptez
Afin d'expédier nos conditions
les journaux d'utilisation
Suricata et nos
à notre politiques
serveur de
Splunk,  un
Accepter
nous devons installer
confidentialité .
redirecteur Splunk. Puisque pfSense est FreeBSD, nous avons besoin du redirecteur
Splunk Universal FreeBSD trouvé ici. Une fois téléchargé, j'ai trouvé que le moyen le
plus simple de l'obtenir sur pfSense est de décompresser le fichier .txz, puis de SCP le
dossier sur pfsense.
Si vous êtes sur Mac ou Linux, pour extraire le fichier .txz, exécutez la commande
suivante :
1 tar xzvf splunkforwarder-8.0.3-a6754d8441bf-freebsd-11.1-amd64.txz

Contact 
Il nous restera quelques fichiers dans le répertoire dans lequel nous avons
décompressé le dossier. Ensuite, nous voudrons scp (copier les fichiers via SSH) le
dossier sur notre routeur pfSense en utilisant la commande suivante :
1 scp -r opt/ root@ip-of-pfsense:/root/
Pendant que nous y sommes, décompressons le Suricata TA que nous avons téléchargé
précédemment et transférons également le dossier au routeur avec les commandes
suivantes :
Accepter
confidentialité .
1 tar xzvf splunk-ta-for-suricata_233.tgz
1 scp -r TA-Suricata/ root@ip-of-pfsense:/root/
Contact 
Cela fait, nous pouvons revenir en SSH dans le routeur et appuyer sur l'option "8" pour
Shell. Lorsque nous choisissons l'option 8, cela devrait nous placer dans le répertoire
/root/. À partir de là, nous pouvons exécuter une commande "ls" pour vérifier que les
commandes scp ont réussi. Vous devriez voir un dossier "opt" et "TA-Suricata" dans
/root/.
1.) Continuons et déplaçons le dossier opt vers le répertoire / en exécutant la

commande :
1 mv opt/ /
2.) Ensuite, nous devons déplacer le dossier TA-Suricata vers le dossier des applications
à l'aide de la commande suivante :
Accepter
confidentialité
1 .
mv TA-Suricata /opt/splunkforwarder/etc/apps
3.) Maintenant que nous avons déplacé le répertoire opt et le Suricata TA dans le
dossier des applications, allons dans le dossier du redirecteur Splunk et configurons nos
sorties.
1 cd /opt/splunkforwarder/etc/system/local
4.) Le fichier outputs.conf indique au redirecteur Splunk où envoyer les données.

Contact 
S'il n'y a pas de fichier outputs.conf dans le dossier, créons-en un avec le contenu
suivant.
Remarque : le seul éditeur de texte de pfSense est Vi. Oui je sais. Je suis désolé… Ce ne
sera ni le moment ni l'endroit pour discuter des éditeurs de texte, mais si vous avez
besoin d'aide dans Vi, il existe d'innombrables guides en ligne.
1 [tcpout]
2 defaultGroup = my_indexers
3
4 [tcpout:my_indexers]
5 server = ip-of-splunk-server:9997
5.) Ensuite, configurons le Suricata TA pour surveiller notre journal Suricata Eve JSON
que nous avons configuré plus tôt.
6.) Nous devons changer de répertoire dans notre dossier TA-Suricata.
1 cd /opt/splunkforwarder/etc/apps/TA-Suricata/default
7.) Notez le nom du dossier auquel Suricata se connecte. Nous pouvons le faire en lisant
le dossier du journal pour Suricata.
cliquant,
1 vous
ls acceptez nos conditions d'utilisation et nos politiques de
/var/log/suricata/ 
Accepter
confidentialité .
Contact 
Notez les noms des dossiers ! Dans mon cas, j'ai deux dossiers Suricata dans mon
dossier de journal Suricata car j'utilise suricata sur deux interfaces. Dans votre cas, vous
n'en avez peut-être qu'un.
8.) Nous devrons maintenant créer/modifier notre fichier inputs.conf dans

/opt/splunkforwarder/etc/apps/TA-Suricata/default.
9.) Ouvrez Vi et effectuez la modification suivante :
1 [monitor:///var/log/suricata/suricata_interface_from_previous_ls_command/eve.js
2 type de source = suricata
3 index = identifiants
4 hôte = pfSense.home
10.) Enfin, il nous suffit de démarrer le Splunk Forwarder. Changeons de répertoires

pour le dossier bin Splunk :
1 cd /opt/splunkforwarder/bin
Accepter
11.) Pour que
confidentialité . Splunk démarre au démarrage de pfSense, exécutez :
1 ./splunk active le démarrage du démarrage
12.) Pour démarrer l'exécution de Splunk :

1 ./démarrage splunk
Contact 
Jetons un coup d'œil à nos nouveaux journaux dans Splunk !
1 index = ids sourcetype = suricata*
Accepter
confidentialité .
Contact 
Super! Comme vous pouvez le voir, nous recevons maintenant des journaux extraits de
Suricata renvoyés par notre recherche. Depuis que nous avons installé l'application CIM,
nous pouvons faire des choses comme tag=dns et recevoir les journaux DNS, etc.
Encore une fois, si vous ne voyez pas tous les champs intéressants sur la gauche,
assurez-vous de lancer votre recherche en mode "Verbose".
Envelopper
Tapez-vous dans le nos
cliquant, vous acceptez dosconditions
et attrapez-vous
d'utilisationune récompense
et nos politiques de (je préfère la pizza); tu
 l'as
Accepter
fait!
confidentialité .
Où allez-vous partir d'ici? Eh bien, maintenant que vous avez ces journaux et que les
données sont normalisées, vous pouvez commencer à créer des alertes, des rapports et
de beaux tableaux de bord autour de vos données nouvellement importées. Ce n'est
que le début mon ami.
J'espère quedece
Prestations guidea été utile.
service Si vous avez encore
Ressources Notre besoin
histoire d'un coup de main, je vous
Les partenaires
recommande de consulter ces ressources :
Lawrence Systems - Installation, configuration et configuration du système IDS /

Contact 
IPS du réseau Suricata et comment régler les règles et les alertes sur pfSense
Karim Elatov – Installation de Splunk Forwarder sur pfSense
Articles Similaires
À propos des
laboratoires Hurricane
Hurricane Labs est un fournisseur de
services gérés dynamique qui libère le
potentiel de Splunk et de la sécurité pour
diverses entreprises
cliquant, vous à travers
acceptez nos lesd'utilisation
conditions États- et nos politiques de 
Accepter
Unis. Avec une
confidentialité . équipe dédiée, axée sur
Splunk et mettant l'accent sur l'humanité

et la collaboration, nous fournissons les
compétences, les ressources et les
résultats nécessaires pour faciliter la vie
de nos clients.
Pour plus d'informations, visitez
www.hurricanelabs.com et suivez-nous
sur Twitter @hurricanelabs
Contact  .
Ressources Outils Communauté

Connecte-toi avec nous
Blog Applications Partenaires
Tutoriels GitHub Carrières
Podcast Machinae .conf
Vimeo Ransomware CPTC
Rejoignez notre newsletter
_
© 2020 Hurricane Labs, LLC. Tous les droits sont réservés. | Confidentialité | Termes |
Marque | Conformité
Accepter
confidentialité .

Votre Guide Tout-En-Un Pour Configurer Pfsense Et Suricata Dans Splunk - Hurricane Labs

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Votre Guide Tout-En-Un Pour Configurer Pfsense Et Suricata Dans Splunk - Hurricane Labs

Transféré par

Droits d'auteur :

Formats disponibles

03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs

Prestations de service  Ressources  Notre histoire Les partenaires

Prestations de service  Ressources  Notre histoire Les partenaires