Wazuh für SIEM Logs im neuen Unifi Network

Es gibt 10 Antworten in diesem Thema, welches 1.439 mal aufgerufen wurde. Der letzte Beitrag () ist von grandor.

  • Hallo,


    ich habe mal Wazuh installiert (als VM) und habe hinbekommen, dass die UDM die Logs hier hin schickt.


    Ist gar nicht so leicht mit der Konfiguration, aber am Ende kommen die Logs an.

    Nachdem man noch einen manuellen Index erstellt hat kann man in der UI schon was sehen.

    Leider benötigt man für die wirklich sinnvolle Anwendung Unifi spezifische Decoder und Rules. Bis jetzt habe ich noch nichts gefunden evtl muss ich da noch etwas an Zeit investieren.


    Aber es ist zum Beispiel ganz nett zu sehen wie viele Devices am Ende gegen die Firewall laufen (dank Defcons strengen Regeln :winking_face: ).


    Hat jemand schon Erfahrung mit Wazuh oder einem anderen Open Source SIEM Tool?

  • Moin,

    Wazuh läuft ja wie viele Tools auf OpenSearch, vielleicht findest du mit dem Stichpunkt etwas.

    Ich habe mir gestern auch vorgenommen nen Syslog Server aufzusetzen weil mir paar Server abgestürzt sind und vorher Infos zu bekommen ist immer besser als am ende elendige Logs anzuschauen.

  • Sieht ja elastic sehr ähnlich... :grinning_squinting_face: :grinning_squinting_face: :grinning_squinting_face:

    Das schaue ich mir nochmal als Docker-Variante an...

  • So habe es auch in der UI Community gepostet, hier mal mein erster Wurf an Regeln.


  • Servus,


    wollte mir auch mal ein Syslog System aufsetzen, um zu schauen was so abgeht im Netzwerk.

    Elastic Cloud kommt da net infrage - kostet und ich will nicht in die Cloud senden.

    Würde das ganze schon gern lokal in einer VM laufen lassen mit Kabana etc...


    Bigdog71

    Was hast du alles installiert

    Was hast du eingestellt in der Unifi OS Console

    Wie sehen die Ergebnisse aus, bzw. kannst du mit den Daten inzwischen was anfangen?


    Danke....

    Einmal editiert, zuletzt von grandor ()

  • grandor


    Ich hab einfach das OVA image auf meinem Proxmox installiert (gibt genug Anleitungen um OVA auf Proxmox zum laufen zu bekommen). Da ist alles drin, starten und glücklich sein.


    Wazuh Installation


    In der UDM SE hab ich dann SIEM aktiviert und auf die IP der VM gesetzt.


    Dann muss man in Wazuh das syslog aktivieren und die Rules einfügen.


    Genutzt habe ich es noch nicht richtig da ich Zeitmangel habe.


    Eben mal das IDS getestet kommt dann als High rein, die Mediums sind die ganzen Firewall triggers (mit den Defcon Regeln sind manche Geräte nicht glücklich :grinning_squinting_face: )


  • Hi,


    ich habe im Proxmox eine Ubuntu VM und wazuh installiert nach deren Anleitung.

    UDM habe ich ich SIEM aktiviert - IP der VM. - Siehe Bild

    Irgendwie kommt nichts an - irgendwas passt da noch net.


    Wäre Super wenn mal drüber schaust - Danke...


    Hier mal meine config files vom wazuh:

    /var/ossec/etc/ossec.conf

    Code
    <ossec_config>
      <remote>
        <connection>syslog</connection>
        <port>514</port>
        <protocol>udp</protocol>
        <allowed-ips>IP-UdmPro</allowed-ips>
      </remote>

    Rules /var/ossec/etc/rules/unifi.xml

    Decoder /var/ossec/etc/decoder/unifi.xml

    Code
    <!-- unifi-CEF -->
    <decoder name="unifi-udm-pro-cef">
        <program_name>CEF</program_name>
    </decoder>



    Einmal editiert, zuletzt von grandor ()

  • Danke bigdani2k Jetzt kommen ne Menge Daten

    Ein Fehler war noch Protokoll - UDP statt TCP


    Ich sehe auch viele logs der AP's - allerdings als "decoder.name" - "symantec-av"


    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von grandor mit diesem Beitrag zusammengefügt.