Etiquetas

WAZUH - pfSense

WAZUH - AMBASSADORS

🛡️ Integración de pfSense con Wazuh para el Envío, Decodificación y Correlación de Logs

En esta práctica se configurará pfSense para enviar sus registros al Wazuh Manager utilizando el servicio estándar de syslog en el puerto 514. Una vez recibidos los eventos, se preparará el entorno de Wazuh para interpretarlos correctamente, creando un index pattern específico para visualizarlos, además de un decoder que permita analizar cada detalle del log. Finalmente, se elaborará una rule personalizada que detectará solicitudes ICMP (como un ping) hacia pfSense y generará una alerta asociada.

Todo este flujo permitirá comprender en profundidad el ciclo completo de ingestión, normalización y correlación de eventos dentro del ecosistema Wazuh, integrando un firewall real como fuente de información.

🎯 Objetivo de la práctica

  • Activar el envío de logs desde pfSense hacia Wazuh mediante syslog.

  • Preparar Wazuh Manager para recibir y almacenar los eventos en archives.

  • Crear un index pattern que permita visualizar correctamente la información.

  • Diseñar un decoder que interprete el log completo de pfSense.

  • Validar el funcionamiento generando eventos reales mediante un ping.

  • Crear una regla personalizada que detecte tráfico ICMP hacia pfSense.

  • Comprender el ciclo completo: origen → recepción → parseo → detección.

🧩 Aspectos clave de la práctica

📡 Envío de syslog desde pfSense

pfSense permite enviar sus registros a sistemas externos mediante el servicio de syslog. Aquí se configurará:

  • La activación del envío remoto de logs.

  • La selección de categorías relevantes, como eventos del sistema y del firewall.

  • La dirección IP del Wazuh Manager como destino de los registros.

  • El puerto estándar 514 para el envío de syslog.

Una vez configurado, pfSense comenzará a transmitir de manera continua los eventos generados, permitiendo que sean analizados en tiempo real.

🗂️ Recepción de logs en Wazuh (archivo archives)

Wazuh almacena los logs externos en un archivo destinado a datos sin procesar. Estos registros se consideran “crudos”, ya que no han pasado por ningún proceso de decodificación. Revisar este archivo es el primer paso para:

  • Confirmar que los eventos están llegando correctamente desde pfSense.

  • Observar el formato original del log tal y como lo envía el firewall.

  • Identificar la estructura del mensaje para preparar el decoder.

Este archivo actúa como base para comenzar el proceso de normalización.

🔍 Creación del index pattern de archives

En la interfaz web de Wazuh (a través del panel de visualización), se creará un index pattern específico para los registros almacenados en archives. Esto permitirá:

  • Visualizar los eventos de pfSense tal y como llegan desde el firewall.

  • Aplicar filtros, búsquedas y análisis sobre los logs sin procesar.

  • Identificar qué elementos del mensaje deben ser extraídos y normalizados.

Este paso facilita el análisis inicial antes de la creación del decoder.

🧬 Creación de un decoder para los logs de pfSense

Los mensajes enviados por pfSense suelen contener información como:

  • Fecha y hora del evento.

  • Dispositivo que lo genera.

  • Servicio o proceso que produce el log.

  • Información específica del firewall, como direcciones IP, puertos y acciones realizadas.

El decoder permitirá estructurar correctamente esta información dentro de Wazuh, convirtiendo un mensaje plano en campos diferenciados que podrán utilizarse en búsquedas, paneles y reglas de correlación.

Sin este paso, Wazuh interpretaría todo el mensaje como un único campo, dificultando su análisis.

🧪 Prueba de funcionamiento mediante un ping

Para confirmar que el flujo completo funciona correctamente, se realizará una prueba muy sencilla: enviar un ping hacia pfSense. Este tipo de tráfico genera eventos ICMP que pfSense registra en su sistema de logs.

Esta prueba permitirá verificar:

  • Que pfSense registra el evento.

  • Que el mensaje se envía al Wazuh Manager.

  • Que aparece correctamente en el archivo de archives.

  • Que el decoder identifica cada elemento del registro.

Es un paso fundamental para validar la integración y observar el comportamiento real del sistema.

⚠️ Creación de una rule personalizada para tráfico ICMP

Con los eventos ya estructurados gracias al decoder, se creará una regla personalizada en Wazuh que esté orientada a detectar tráfico ICMP hacia pfSense. Esta regla permitirá:

  • Identificar claramente solicitudes de ping.

  • Asociarles un nivel adecuado de severidad.

  • Generar una alerta visible desde el panel de Wazuh.

  • Vincular la alerta con la información que el decoder haya interpretado.

Este paso muestra cómo los decoders y las rules trabajan de forma conjunta para convertir logs sin procesar en alertas significativas.

🔍 ¿Por qué es importante esta práctica?

Esta práctica ofrece una visión completa y realista del funcionamiento de la integración entre un firewall y un sistema de monitorización y seguridad como Wazuh. Permite comprender:

  • Cómo un dispositivo externo puede actuar como fuente de eventos.

  • Qué procesos siguen los logs desde su origen hasta su visualización final.

  • Cómo se decodifica la información para convertirla en datos útiles.

  • Cómo se construyen reglas personalizadas para detectar comportamientos concretos.

  • La importancia de visualizar y analizar logs sin procesar antes de normalizarlos.

Es un ejercicio clave para comprender cómo se procesan los eventos dentro de un entorno de seguridad moderno.

✅ Resultados esperados

  • pfSense enviando de manera correcta sus registros al Wazuh Manager.

  • Eventos almacenados y visibles en el archivo de archives.

  • Index pattern creado y funcional para la visualización inicial.

  • Decoder operativo y estructurando el contenido del log.

  • Eventos ICMP detectados correctamente durante la prueba del ping.

  • Regla personalizada generando alertas claras y precisas.

  • Comprensión del flujo completo de ingestión, decodificación y correlación de eventos.

⚙️ Estructura de red


DESCARGAR COMANDOS




🛡️ Integrating pfSense with Wazuh for Log Forwarding, Decoding, and Correlation

In this practice, pfSense will be configured to send its logs to the Wazuh Manager using the standard syslog service over port 514. Once the events are being received, the Wazuh environment will be prepared to interpret them properly by creating a dedicated index pattern for visualization, as well as a decoder capable of analyzing the complete message structure. Finally, a custom rule will be developed to detect ICMP traffic (such as a ping) toward pfSense and generate a corresponding alert.

This end-to-end workflow provides a clear understanding of how Wazuh handles collection, normalization, and correlation of logs from external firewall devices.

🎯 Objectives of the Practice

  • Enable pfSense to send its logs to Wazuh using syslog.

  • Prepare the Wazuh Manager to receive and store events in archives.

  • Create an index pattern to visualize the incoming logs correctly.

  • Build a custom decoder to interpret the full pfSense syslog message.

  • Validate the setup by generating real events with a ping test.

  • Create a custom rule to detect ICMP traffic toward pfSense.

  • Understand the full lifecycle of an event: origin → ingestion → parsing → detection.

🧩 Key Aspects of the Practice

📡 Sending Syslog Logs from pfSense

pfSense provides native support for sending logs to external systems using the syslog protocol. In this practice, the following configurations will be performed:

  • Enable remote log forwarding.

  • Select relevant log categories such as system and firewall events.

  • Set the Wazuh Manager’s IP address as the destination.

  • Use port 514 as the syslog transmission port.

Once this is configured, pfSense will continuously forward its logs, allowing them to be monitored in real time.

🗂️ Receiving Logs in Wazuh (archives)

Wazuh stores unprocessed external logs in a dedicated file where raw messages are kept exactly as received. Reviewing this file is the first step to:

  • Confirm that pfSense events are arriving correctly.

  • Observe the original structure of the syslog messages.

  • Identify the fields and patterns needed for the decoder.

This raw log storage acts as the baseline for the normalization process.

🔍 Creating the Index Pattern for Archives

Within the Wazuh web interface (dashboard), an index pattern will be created to visualize the logs stored in archives. This allows:

  • Real-time visualization of pfSense events.

  • Filtering, searching, and inspecting logs in their raw format.

  • Identifying what data needs to be extracted and structured by the decoder.

This step facilitates understanding before moving into the parsing stage.

🧬 Building a Decoder for pfSense Logs

The logs sent by pfSense typically contain important information such as:

  • Timestamp of the event.

  • Device generating the log.

  • System service or process reporting the event.

  • Firewall-related details such as IP addresses, ports, actions, and protocols.

The decoder will structure this information into separate fields that Wazuh can process, query, and correlate. Without a decoder, the entire log would be treated as a single unstructured message, limiting analysis capabilities.

🧪 Validating the Integration with a Ping Test

To verify that the entire workflow is functioning correctly, a simple test will be performed: sending a ping to pfSense. This generates ICMP traffic that pfSense logs.

This test confirms:

  • pfSense properly logs the event.

  • The event is forwarded to the Wazuh Manager.

  • The log appears in archives.

  • The decoder interprets the message correctly.

This validation ensures that the integration is working end-to-end.

⚠️ Creating a Custom Rule for ICMP Detection

With decoded logs available, a custom Wazuh rule will be created to detect ICMP traffic (such as echo requests) directed at pfSense. This rule will:

  • Identify events related to ping activity.

  • Assign a meaningful alert level.

  • Display a clear alert in the Wazuh dashboard.

  • Associate the alert with the fields extracted by the decoder.

This step demonstrates how decoders and rules work together to convert raw logs into actionable alerts.

🔍 Why This Practice Is Important

This practice provides a complete and realistic view of how a firewall like pfSense integrates with a SIEM-style security platform such as Wazuh. It enables a deeper understanding of:

  • How external devices act as sources of security events.

  • The lifecycle of logs from initial generation to final visualization.

  • How key information is extracted using decoders.

  • How custom rules help create meaningful security alerts.

  • The importance of analyzing raw logs before normalizing them.

It serves as a foundational exercise for understanding event processing in modern security environments.

✅ Expected Results

  • pfSense successfully forwarding logs to the Wazuh Manager.

  • Events stored and visible in the archives log.

  • A functional index pattern for viewing raw events.

  • A fully working decoder that structures pfSense logs.

  • ICMP events captured during the ping test.

  • A custom rule generating clear and specific alerts.

  • Complete understanding of the ingestion, decoding, and correlation pipeline.

Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares