Wazuh für SIEM Logs im neuen Unifi Network

**Bigdog71** · 12. Oktober 2024

Hallo,

ich habe mal Wazuh installiert (als VM) und habe hinbekommen, dass die UDM die Logs hier hin schickt.

Ist gar nicht so leicht mit der Konfiguration, aber am Ende kommen die Logs an.

Nachdem man noch einen manuellen Index erstellt hat kann man in der UI schon was sehen.

Leider benötigt man für die wirklich sinnvolle Anwendung Unifi spezifische Decoder und Rules. Bis jetzt habe ich noch nichts gefunden evtl muss ich da noch etwas an Zeit investieren.

Aber es ist zum Beispiel ganz nett zu sehen wie viele Devices am Ende gegen die Firewall laufen (dank Defcons strengen Regeln ).

Hat jemand schon Erfahrung mit Wazuh oder einem anderen Open Source SIEM Tool?

**sebcodes** · 12. Oktober 2024

Moin,

Wazuh läuft ja wie viele Tools auf OpenSearch, vielleicht findest du mit dem Stichpunkt etwas.

Ich habe mir gestern auch vorgenommen nen Syslog Server aufzusetzen weil mir paar Server abgestürzt sind und vorher Infos zu bekommen ist immer besser als am ende elendige Logs anzuschauen.

**Bigdog71** · 28. Oktober 2024

So bin ein Schritt weiter durch folgenden decoder aus der UI Community: Unifi syslog parsing (der neueste Eintrag).

Mal sehen wenn ich mehr Zeit habe etwas weiter zu kommen und ein paar Rules zu erstellen.

**razor** · 30. Oktober 2024

Zitat von Bigdog71

Sieht ja elastic sehr ähnlich...

Das schaue ich mir nochmal als Docker-Variante an...

**Bigdog71** · 30. Oktober 2024

Ist ja auch Kibana im Frontend

**Bigdog71** · 4. November 2024

So habe es auch in der UI Community gepostet, hier mal mein erster Wurf an Regeln.

Code

<group name="Unifi">
  <rule id="100001" level="10">
    <decoded_as>Dream-Machine-Rack-cef</decoded_as>
    <category>firewall</category>
    <description>Firewall rule block triggered</description>
  </rule>
  <rule id="100002" level="12">
    <decoded_as>Dream-Machine-Rack-cef</decoded_as>
    <match>security_detections</match>
    <description>Security Detection by IPS/IDS</description>
  </rule>
  <rule id="100003" level="1">
    <decoded_as>Dream-Machine-Rack-cef</decoded_as>
    <match>admin_activity</match>
    <description>Admin Activity on Unifi</description>
  </rule>
  <rule id="100002" level="1">
    <decoded_as>Dream-Machine-Rack-cef</decoded_as>
    <match>client</match>
    <description>Client connect/disconnect</description>
  </rule>
</group>

Alles anzeigen

**grandor** · 21. November 2024

Servus,

wollte mir auch mal ein Syslog System aufsetzen, um zu schauen was so abgeht im Netzwerk.

Elastic Cloud kommt da net infrage - kostet und ich will nicht in die Cloud senden.

Würde das ganze schon gern lokal in einer VM laufen lassen mit Kabana etc...

Bigdog71

Was hast du alles installiert

Was hast du eingestellt in der Unifi OS Console

Wie sehen die Ergebnisse aus, bzw. kannst du mit den Daten inzwischen was anfangen?

Danke....

**Bigdog71** · 21. November 2024

grandor

Ich hab einfach das OVA image auf meinem Proxmox installiert (gibt genug Anleitungen um OVA auf Proxmox zum laufen zu bekommen). Da ist alles drin, starten und glücklich sein.

Wazuh Installation

In der UDM SE hab ich dann SIEM aktiviert und auf die IP der VM gesetzt.

Dann muss man in Wazuh das syslog aktivieren und die Rules einfügen.

Genutzt habe ich es noch nicht richtig da ich Zeitmangel habe.

Eben mal das IDS getestet kommt dann als High rein, die Mediums sind die ganzen Firewall triggers (mit den Defcon Regeln sind manche Geräte nicht glücklich )

**grandor** · 21. November 2024

Hi,

ich habe im Proxmox eine Ubuntu VM und wazuh installiert nach deren Anleitung.

UDM habe ich ich SIEM aktiviert - IP der VM. - Siehe Bild

Irgendwie kommt nichts an - irgendwas passt da noch net.

Wäre Super wenn mal drüber schaust - Danke...

Hier mal meine config files vom wazuh:

/var/ossec/etc/ossec.conf

Code

<ossec_config>
  <remote>
    <connection>syslog</connection>
    <port>514</port>
    <protocol>udp</protocol>
    <allowed-ips>IP-UdmPro</allowed-ips>
  </remote>

Rules /var/ossec/etc/rules/unifi.xml

Code

<group name="Unifi">
  <rule id="100001" level="10">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <category>firewall</category>
    <description>Firewall rule block triggered</description>
  </rule>
  <rule id="100002" level="12">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>security_detections</match>
    <description>Security Detection by IPS/IDS</description>
  </rule>
  <rule id="100003" level="1">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>admin_activity</match>
    <description>Admin Activity on Unifi</description>
  </rule>
  <rule id="100002" level="1">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>client</match>
    <description>Client connect/disconnect</description>
  </rule>
</group>

Alles anzeigen

Decoder /var/ossec/etc/decoder/unifi.xml

Code

<!-- unifi-CEF -->
<decoder name="unifi-udm-pro-cef">
    <program_name>CEF</program_name>
</decoder>

**Bigdog71** · 21. November 2024

Du musst noch das archive log aktivieren in der Wazuh configuration. Das ist etwas blöd gemacht, da syslog da rein loggt.

Event logging - Wazuh server · Wazuh documentation

User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.

documentation.wazuh.com

**grandor** · 22. November 2024

Danke bigdani2k Jetzt kommen ne Menge Daten

Ein Fehler war noch Protokoll - UDP statt TCP

Ich sehe auch viele logs der AP's - allerdings als "decoder.name" - "symantec-av"

Code

{
  "_index": "wazuh-archives-4.x-2024.11.22",
  "_id": "UKbRU5MBlusTOxI81L8h",
  "_version": 1,
  "_score": null,
  "_source": {
    "predecoder": {
      "hostname": "APLOG",
      "timestamp": "Nov 22 13:21:16"
    },
    "agent": {
      "name": "lplog01",
      "id": "000"
    },
    "manager": {
      "name": "lplog01"
    },
    "decoder": {
      "name": "symantec-av"
    },
    "full_log": "Nov 22 13:21:16 APLOG 602232451058,U6-Lite-6.6.78+15404: kernel: [66341.027531] ra0: total mc2uc sta_cnt[1] pending[0] unknown_free[0] accu[0] !",
    "input": {
      "type": "log"
    },
    "@timestamp": "2024-11-22T12:21:16.654Z",
    "location": "192.168.10.4",
    "id": "1732278076.894384",
    "timestamp": "2024-11-22T13:21:16.654+0100"
  },
  "fields": {
    "@timestamp": [
      "2024-11-22T12:21:16.654Z"
    ],
    "timestamp": [
      "2024-11-22T12:21:16.654Z"
    ]
  },
  "highlight": {
    "decoder.name": [
      "@opensearch-dashboards-highlighted-field@symantec-av@/opensearch-dashboards-highlighted-field@"
    ],
    "predecoder.hostname": [
      "@opensearch-dashboards-highlighted-field@APLOG@/opensearch-dashboards-highlighted-field@"
    ]
  },
  "sort": [
    1732278076654
  ]
}

Alles anzeigen

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Wazuh für SIEM Logs im neuen Unifi Network

4 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 93

Wer war online 222