pfSense防火墙

您可以使用PFSense防火墙作为安全网络的开源工具,该工具还包括路由,VPN和其他功能。您可以配置PFSense以将防火墙和DHCP日志发送到InsightIdr。您必须将日志记录到Syslog服务器或InsightIdr收集器。

配置Syslog

您必须将InsightIdr配置为远程Syslog服务器,因此它可以从pfsense摄取防火墙日志。

这样做:

  1. 登录到pfSense界面。
  2. 从顶部菜单中选择状态>系统日志然后选择设置标签在右边。
  1. 向下滚动到“远程日志记录选项”部分。
  2. 检查启用远程日志记录复选框。
  3. 选择要使用的IP协议。
  4. 请输入insight tidr采集器的IP地址和唯一端口。例如,10.1.20.24:10000
  5. 在“远程记录内容”部分中,检查一切复选框。
  6. 单击节省按钮,完成配置。

配置PFSense事件源

现在必须在InsightIDR中配置防火墙事件源,以便Collector能够接收日志。

这样做:

  1. 从您的仪表板,选择数据采集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区匹配事件源日志的位置。
  6. 选择发送未经过滤的日志
  7. 配置您的默认域和任何高级设置
  8. 选择Syslog作为你的数据收集方法并指定端口和协议。
    • 如果通过下载通过下载TCP,可选择选择加密事件源Rapid7证书
  9. 单击节省按钮。