Académique Documents
Professionnel Documents
Culture Documents
Rejoignez notre newsletter pour recevoir les dernières actualités et tutoriels sur Splunk
✕
et la cybersécurité directement dans votre boîte de réception !
Contact
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 1/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 2/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Il existe quelques blogs sur Internet qui vous guident dans la configuration d'un
redirecteur pfSense Splunk, et quelques autres qui parlent de l'obtention de vos
journaux Suricata IDS dans votre Splunk, mais il n'y a pas de guide tout-en-un pour vous
aider. vous faites les deux. Aujourd'hui, nous espérons résoudre ce problème et vous
donner un guide tout-en-un sur la façon de procéder.
Prestations de service Ressources Notre histoire Les partenaires
Pour ceux qui ne savent pas ce qu'est pfSense , c'est un logiciel de routeur open
source basé sur FreeBSD qui peut être exécuté sur n'importe quoi, d'une ancienne tour
de bureau à un
Contact tout nouveau serveur 1U ou une machine virtuelle. Le projet a débuté
en 2004 en tant que fork d'un projet appelé "m0n0wall", et il a gagné en popularité en
tant que l'un des systèmes d'exploitation de routeurs domestiques et professionnels
préférés. Si vous n'êtes pas familier avec le projet et que vous souhaitez l'essayer, je
vous recommande de vous rendre sur le site Web de pfSense pour télécharger la
version actuelle et l'installer dans un environnement de développement.
Suricata est un projet IDS open source pour aider à détecter et arrêter les attaques
réseau basées sur des règles prédéfinies ou des règles que vous avez écrites vous-
même ! Heureusement, il existe un package pfSense que vous pouvez télécharger et
configurer facilement pour empêcher le trafic malveillant d'accéder à votre réseau.
Remarque : Les étapes suivantes ont été écrites autour de la dernière version de
pfSense 2.4.5 ; les futures mises à jour peuvent rendre ce guide obsolète.
La meilleure pratique ici serait de configurer l'accès avec une clé publique et un mot de
passe, mais à des fins de démonstration, nous allons simplement activer
l'authentification par mot de passe pour le moment.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 3/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Une fois que vous avez activé SSH dans l'interface graphique Web, vérifiez que vous
pouvez vous connecter au routeur en utilisant PuTTY, PowerShell ou votre
environnement de terminal préféré. “ssh root@ip-of-router”. Le mot de passe serait
le même que celui que vous utilisez pour vous authentifier auprès de l'interface
graphique Web.
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 4/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Pour installer Suricata, c'est aussi simple que de cliquer sur quelques boutons. Nous
devrons aller dans System > Package Manager > Available Packages . Faites défiler
vers le bas jusqu'à ce que vous trouviez "Suricata", puis cliquez sur installer. Nous
reviendrons sur la configuration de Suricata plus tard dans le tutoriel.
Configuration
Contact de l'index Splunk
Avant d'aller plus loin, nous devons configurer Splunk pour recevoir nos données.
Pour simplifier les choses, nous allons créer deux index. Un pour pfSense appelé
"réseau" et un autre pour Suricata appelé "ids". Je vous recommande de créer et de
conserver une table d'index à portée de main afin de savoir où chercher vos données
dans Splunk. Cela résoudra les futurs maux de tête lorsque vous recherchez certains
événements.
1.) Pour créer un index, connectez-vous à Splunk, puis cliquez sur Paramètres > Index
.
2.) Une fois sur la page "Index", nous voudrons cliquer sur "Nouvel index" dans le coin
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
supérieur
cliquant, vousdroit de lanospage.
acceptez Des options
conditions vous
d'utilisation seront
et nos alorsdeprésentées pour créer
politiques un
Accepter
nouvel index.
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 5/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
3.) Pour le premier index, nous l'appellerons "réseau". Vous pouvez laisser le reste des
paramètres seuls, sauf si vous souhaitez configurer la rétention d'index qui peut être
apprise ici .
Contact
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 6/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Les liens suivants vous mèneront aux applications que nous utiliserons dans ce
didacticiel :
Modèle d'information commun (CIM) de Splunk - "Le CIM vous aide à normaliser
vos données pour qu'elles correspondent à une norme commune, en utilisant les
mêmes
Prestations de noms
servicede champs et balisesd'événement
Ressources pour des événements
Notre histoire Les partenaires
équivalents provenant de différentes sources ou fournisseurs." Cela nous
permettra de créer facilement des alertes et des rapports une fois que tout sera
configuré.
Contact
TA-pfSense - Cela permet à Splunk d'extraire des champs des journaux pfSense.
Splunk TA pour Suricata – Cela permet à Splunk d'extraire des champs des
journaux Suricata.
Allez-y et téléchargez ces applications. Vous devrez les installer sur votre serveur Splunk
et sur votre redirecteur pfSense Splunk, que nous configurerons plus tard dans le
didacticiel.
Pour installer les applications sur votre serveur Splunk, cliquez sur Applications >
Gérer les applications dans le coin supérieur gauche.
Nous voudrons ensuite cliquer sur "Installer l'application à partir du fichier" et choisir
l'une
Ce sitedes applications
utilise des cookies etque vous
Google avez récemment
Analytics pour améliorertéléchargées.
votre expérience.Une
En fois choisi, cliquez
sur "Télécharger"
cliquant, vous acceptezetnos
répétez jusqu'à
conditions ce que
d'utilisation et les
nos trois applications
politiques de soient téléchargées.
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 7/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Nous n'aurons pas besoin de configurer l'une des applications installées. Une fois
toutes les applications téléchargées, nous pouvons passer à l'étape suivante.
Nous serons redirigés vers la page d'ajout de données dans Splunk. Allons-y et ajoutons
un port pour recevoir nos journaux. Je vais utiliser le port 5147.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 8/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Dans la liste déroulante des types de source, tapez "pfsense". Nous devons sélectionner
pfsense sans le ":" comme le montre l'image ci-dessous.
Le paramètre suivant que nous devons modifier est le champ hôte. Sélectionnez
"Personnalisé" et saisissez le nom d'hôte de votre routeur pfSense. Une fois cette
opération terminée, sélectionnez le menu déroulant de l'index et sélectionnez l'index
"réseau" que nous avons créé précédemment.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 9/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Passez à la page suivante en cliquant sur « Revoir », vérifiez vos nouveaux paramètres
de saisie de données, puis cliquez sur « Soumettre ».
Une fois cette opération terminée, nous devons configurer notre port de réception pour
notre transitaire. Accédez à Paramètres > Transfert et réception. Cliquez sur "Ajouter un
nouveau" à côté de "Configurer la réception". Dans le champ "Écouter sur ce port",
entrez "9997". Une fois cela fait, cliquez sur « Enregistrer », puis nous pouvons revenir à
la page d'accueil de Splunk en cliquant sur « Splunk> » dans le coin supérieur gauche.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
É
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 10/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 11/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Vous devriez maintenant voir les événements pfSense revenir de votre recherche
Splunk avec tous les champs du TA extraits ! Si vous ne voyez pas tous les champs
extraits, assurez-vous d'exécuter la recherche en "mode détaillé".
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 12/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
la gratuité est suffisante pour mon environnement, j'ai activé ETOpen Emerging Threats
et j'ai créé un compte Snort pour télécharger les règles gratuites de la communauté
Snort. Vous pouvez créer un compte ici .
Vous pouvez modifier l'intervalle de mise à jour pour télécharger automatiquement les
nouvelles
Prestationsrègles ajoutées
de service
à laRessources
base de règles
ETOpen et Snort Community.
Notre histoire Les partenaires
Contact
Ensuite,
Ce nous
site utilise desvoulons
cookies etaller dans
Google l'onglet
Analytics pour"Mises à jour"
améliorer et appuyer
votre expérience. En sur "Forcer" pour
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
forcer le téléchargement de toutes les règles que nous avons sélectionnées sur la page
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 14/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
précédente.
Une fois cela fait, nous pouvons revenir à l'onglet Interfaces et cliquer sur le bouton "+
Ajouter" pour configurer l'interface WAN. Il y aura quelques captures d'écran ci-dessous
- ce sont ce que j'ai déterminé pour donner la meilleure sortie de journalisation. Nous
avons besoin
Prestations de de Suricata
service pour nous connecter
Ressources en mode
Notre EVE JSON.Les partenaires
histoire
Contact
Nous
Ce site devons
utilise desmaintenant déterminer
cookies et Google si nous
Analytics pour voulons
améliorer votrebloquer lesEncontrevenants ou non.
expérience.
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Vous avez la possibilité de choisir entre le mode hérité ou le mode en ligne. Je vous
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 15/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
recommande de consulter cet article de blog sur les forums de Netgate pour
déterminer quelle serait la meilleure option dans votre scénario d'utilisation. J'ai
sélectionné Legacy pour mon cas d'utilisation. Allez-y et appuyez sur Enregistrer.
Contact
Passons ensuite à l'onglet Catégories et sélectionnez les ensembles de règles que vous
souhaitez activer.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 16/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Enfin, revenons à l'onglet interfaces et appuyez sur la flèche verte à côté de WAN. Cela
devrait activer Suricata.
Splunk Universal FreeBSD trouvé ici. Une fois téléchargé, j'ai trouvé que le moyen le
plus simple de l'obtenir sur pfSense est de décompresser le fichier .txz, puis de SCP le
dossier sur pfsense.
Si vous êtes sur Mac ou Linux, pour extraire le fichier .txz, exécutez la commande
suivante :
Prestations de service Ressources Notre histoire Les partenaires
Il nous restera quelques fichiers dans le répertoire dans lequel nous avons
décompressé le dossier. Ensuite, nous voudrons scp (copier les fichiers via SSH) le
dossier sur notre routeur pfSense en utilisant la commande suivante :
Pendant que nous y sommes, décompressons le Suricata TA que nous avons téléchargé
précédemment et transférons également le dossier au routeur avec les commandes
suivantes :
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 18/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Cela fait, nous pouvons revenir en SSH dans le routeur et appuyer sur l'option "8" pour
Shell. Lorsque nous choisissons l'option 8, cela devrait nous placer dans le répertoire
/root/. À partir de là, nous pouvons exécuter une commande "ls" pour vérifier que les
commandes scp ont réussi. Vous devriez voir un dossier "opt" et "TA-Suricata" dans
/root/.
1 mv opt/ /
2.) Ensuite, nous devons déplacer le dossier TA-Suricata vers le dossier des applications
à l'aide de la commande suivante :
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité
1 .
mv TA-Suricata /opt/splunkforwarder/etc/apps
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 19/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
3.) Maintenant que nous avons déplacé le répertoire opt et le Suricata TA dans le
dossier des applications, allons dans le dossier du redirecteur Splunk et configurons nos
sorties.
1 cd /opt/splunkforwarder/etc/system/local
Prestations de service Ressources Notre histoire Les partenaires
S'il n'y a pas de fichier outputs.conf dans le dossier, créons-en un avec le contenu
suivant.
Remarque : le seul éditeur de texte de pfSense est Vi. Oui je sais. Je suis désolé… Ce ne
sera ni le moment ni l'endroit pour discuter des éditeurs de texte, mais si vous avez
besoin d'aide dans Vi, il existe d'innombrables guides en ligne.
1 [tcpout]
2 defaultGroup = my_indexers
3
4 [tcpout:my_indexers]
5 server = ip-of-splunk-server:9997
5.) Ensuite, configurons le Suricata TA pour surveiller notre journal Suricata Eve JSON
que nous avons configuré plus tôt.
1 cd /opt/splunkforwarder/etc/apps/TA-Suricata/default
7.) Notez le nom du dossier auquel Suricata se connecte. Nous pouvons le faire en lisant
le dossier du journal pour Suricata.
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant,
1 vous
ls acceptez nos conditions d'utilisation et nos politiques de
/var/log/suricata/
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 20/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Notez les noms des dossiers ! Dans mon cas, j'ai deux dossiers Suricata dans mon
dossier de journal Suricata car j'utilise suricata sur deux interfaces. Dans votre cas, vous
n'en avez peut-être qu'un.
1 [monitor:///var/log/suricata/suricata_interface_from_previous_ls_command/eve.js
2 type de source = suricata
3 index = identifiants
4 hôte = pfSense.home
1 cd /opt/splunkforwarder/bin
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
11.) Pour que
confidentialité . Splunk démarre au démarrage de pfSense, exécutez :
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 21/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Jetons un coup d'œil à nos nouveaux journaux dans Splunk !
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 22/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Contact
Super! Comme vous pouvez le voir, nous recevons maintenant des journaux extraits de
Suricata renvoyés par notre recherche. Depuis que nous avons installé l'application CIM,
nous pouvons faire des choses comme tag=dns et recevoir les journaux DNS, etc.
Encore une fois, si vous ne voyez pas tous les champs intéressants sur la gauche,
assurez-vous de lancer votre recherche en mode "Verbose".
Envelopper
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
Tapez-vous dans le nos
cliquant, vous acceptez dosconditions
et attrapez-vous
d'utilisationune récompense
et nos politiques de (je préfère la pizza); tu
l'as
Accepter
fait!
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 23/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
Où allez-vous partir d'ici? Eh bien, maintenant que vous avez ces journaux et que les
données sont normalisées, vous pouvez commencer à créer des alertes, des rapports et
de beaux tableaux de bord autour de vos données nouvellement importées. Ce n'est
que le début mon ami.
J'espère quedece
Prestations guidea été utile.
service Si vous avez encore
Ressources Notre besoin
histoire d'un coup de main, je vous
Les partenaires
recommande de consulter ces ressources :
Articles Similaires
À propos des
laboratoires Hurricane
Hurricane Labs est un fournisseur de
services gérés dynamique qui libère le
potentiel de Splunk et de la sécurité pour
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
diverses entreprises
cliquant, vous à travers
acceptez nos lesd'utilisation
conditions États- et nos politiques de
Accepter
Unis. Avec une
confidentialité . équipe dédiée, axée sur
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 24/25
03/08/2022 21:35 Votre guide tout-en-un pour configurer pfSense et Suricata dans Splunk - Hurricane Labs
© 2020 Hurricane Labs, LLC. Tous les droits sont réservés. | Confidentialité | Termes |
Marque | Conformité
Ce site utilise des cookies et Google Analytics pour améliorer votre expérience. En
cliquant, vous acceptez nos conditions d'utilisation et nos politiques de
Accepter
confidentialité .
https://hurricanelabs.com/splunk-tutorials/your-all-in-one-guide-to-setting-up-pfsense-and-suricata-in-splunk/ 25/25