Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
French - Français
(Moderator:
slemoal@tiscom.fr
) »
Intégration SIEM
« previous
next »
Print
Pages: [
1
]
Author
Topic: Intégration SIEM (Read 2397 times)
rainette
Newbie
Posts: 4
Karma: 0
Intégration SIEM
«
on:
February 20, 2019, 08:42:34 pm »
Bonjour,
Je viens (enfin) de terminer ma conf opnsense (je viens de chez orange, en fibre). Je me suis ammusé à observer les states firewall au démarrage pour observer les connections déjà établies. Là, surprise : 3 connections TCP/TLS/http (hors interface opnsense) : 151.101.122.49, 93.184.220.29, 40.67.253.249. Un petit reverse dns pour voir où tout ça allait, et j'ai donc créé des alias et des FW rules pour bannir tout ça.
J'ai aussi activé surricata (l'IDS intégré) par curiosité : 1 alerte levée faisait parti des adresses que j'avais banni (ne jamais oublier de reset les states quand on active les rules FW...)
Tout ça pour en venir à mes questions :
Existe-t-il des rules surricata plus "durcies" que celles déjà existantes ?
Comment puis-je envoyer tous mes logs vers un ELK pour me lever des alertes (le mode consultation me soule...) ?
Pour la deuxième question : je cherche à mettre en place un ELK pour surveiller l'ensemble de mon réseau (esxi, NAS/SAN, divers clients), du coup récupérer les logs router est une priorité (surtout après mes premières observations...). Avez vous des ressources ou des conseils (anglais ou français je m'en fiche ^^ mais je trouve que l'article MISC d'il y a 2 ou 4 mois pas encore assez détaillé...)? Peut-être même un exemple de config rsyslog de freeBSD...
(j'ai l'habitude de spécifier ce genre d'exigences, mais j'ai jamais réalisé...)
Merci à vous !
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
French - Français
(Moderator:
slemoal@tiscom.fr
) »
Intégration SIEM