생각보다 간단하지만 한글로 정리된 곳이 없어서 정리해
봅니다!다른 환경은 사용할 수 있다는 전제하에 Suricata와 Wazuh와의 연결만
알려드립니다.
네트워크 구축도
우선 pfsense 환경부터 설정해 주도록 하자
pfsense에 suricata가 설치되어 있지 않으면 참고하세요
우선 pfsense의 2.6.0버전
이상이여야한다.
pfsense에 Wazuh agent를 설치하기 위해서 FreeBSD repositories를
활성화 시켜준다.
해당 라인의 enabled 값을 YES로 변경해준다.
해당 파일도 변경해준다.
FreeBSD를 활성화 시켜주었으면 pkg update를
진행해준다.
sample output
성공적으로 update 되었다면 이제 wazuh-agent를
설치해보자
pkg 검사를 통해 wazuh-agent를 검색해본다.
sample output
wazuh-agent 설치
sample output
설치가 완료되었다면 이제 wazuh-agent에서 suricata의
eve.json파일을 전송하게 설정해준다.
참고로 eve.json의 파일 위치는 /var/log/suricata/*/eve.json
이런식으로 위치해 있다.
우선 wazuh 서버의 ip를 입력해준다.
Log analysis 부분에 eve.json를 전송하게
추가해준다.
설정은 끝났고 Wazuh-agent를 실행시켜보자
sample output
그럼 이제 Wazuh Manager에서 Suricata log를
확인해보자
필터링 해준 화면이다. 잘 들어오는 것을 볼 수 있다.
끝!