UniFi SIEM - Форум UBIQUITI.RU

UniFi SIEM, wifiman

ch5525

Guest

21.01.2025 13:13:00

Я был в восторге от последнего релиза UniFi Network с поддержкой SIEM. Сейчас очень много случаев, когда логи внутри UniFi сами по себе недостаточно для отслеживания проблемы. Это, впрочем, моя вина. В попытке сделать всё более безопасно, я создал множество VLAN, подключил много устройств и мне нужна обширная запись о том, кто с кем общался и какой был результат.

Так вот... я установил IBM QRadar, Community Edition. Установка на bare metal была непростой. Требовало 24 ГБ оперативной памяти. Я сразу не понравилось. Слишком много продукта. Может быть, для большой корпорации, но не для меня.

Затем я попробовал Azure Sentinel. Думаю, я почти настроил его, но было слишком много компонентов. Локальная VM для syslog, всё для Azure, всякие штуки из Azure Community marketplace. Пришлось разбираться с устаревшей документацией, потому что Microsoft всё отменяла. Не заработало, скорее всего, потому что я не знаю, что делаю.

Похоже, я смогу установить Wazuh. Выглядит достижимо с помощью docker на bare metal. Но, кажется, сложно понять, что именно сваливается в Wazuh из UniFi, так как он не понимает данные нативно.

У кого-нибудь есть рабочее решение UniFi > SIEM?

NateHott Guest	#2 21.01.2025 14:49:00 У меня Graylog работает в контейнере на Proxmox.

Tiago Cruz

Guest

22.04.2025 09:29:00

Привет, Колин! Я тоже работаю над чем-то похожим на то, что делаешь ты, и мне интересно, как тебе удалось настроить ELK для чтения логов, которые отправляет файрвол UniFi UDM-Pro. Я пытался, но пока не получается. Не мог бы ты помочь мне?

bouncethebox Guest	#4 16.04.2025 04:35:00 Привет, Колин! Если ты все еще ищешь помощников для тестирования, буду рад поучаствовать.

ubistrup Guest	#5 03.04.2025 13:12:00 Также заинтересован.

clemone210 Guest	#6 24.03.2025 16:07:00 Мне интересно.

colin-stubbs

Guest

09.03.2025 01:41:00

Да... Собираюсь закончить интеграцию Elastic Agent (Elasticsearch/Kibana с Fleet Server и Elastic Agents...) для UniFiOS/UniFi Network. Если кому-то интересно поучаствовать в тестировании и использовании этой предварительной версии, дайте знать. Официальная SIEM интеграция — это, по сути, UDP syslog, и это какой-то бардак, потому что все логи объединены в один поток, включая события UniFiOS в формате CEF (с некоторыми незначительными ошибками/несоответствиями в формате :-(

), логи файрвола в новой вариации логирования на основе iptables от Ubiquiti, и все остальные общие логи с устройств UniFi. Любая SIEM, обрабатывающая этот поток логов, должна будет сортировать/фильтровать и парсить CEF и iptables логи как минимум, чтобы из них можно было что-то извлечь.

firetoole Guest	#8 06.03.2025 01:31:00 Пользуюсь этим уже некоторое время вместе с Blumira.

dan.foulkes

Guest

02.03.2025 13:00:00

Для чего-то поменьше можно попробовать k3s кластер для bare metal Kubernetes с Grafana Loki и Grafana Alloy. Не поймите меня неправильно, это довольно сложная настройка, но она позволяет мне запустить SIEM на pi-кластере в высокодоступной конфигурации с удажным бэкапом в S3 для долгосрочного хранения. И с Grafana alerts, чтобы получать уведомления, когда что-то критическое происходит. Минус такого подхода по сравнению с Greyhound или другими решениями в том, что нет предварительно настроенных правил, поскольку технически это просто syslog, так что вам придется настроить свой собственный набор правил.

tobyanscombe Guest	#10 22.01.2025 08:52:00 Договорились — это скорее "о, смотри, теперь это можно сделать...". В список задач на этот год внесено внедрение Netflow в локальную лабораторию.

grahamhayes Guest	#11 21.01.2025 15:06:00 Netflow с Cloudflare работает, но даёт только очень общий обзор, и для реагирования на инциденты его, кажется, толком не использовать.

tobyanscombe Guest	#12 21.01.2025 15:01:00 Ну вот, всё как и прежде... Побывал тоже в Netflow to Cloudflare просто ради прикола...

Читают тему (гостей: 1)