Wazuh Discover için pfSense Log Filtreleme Rehberi

📊 Wazuh Discover için pfSense Log Filtreleme Rehberi

Wazuh üzerinde pfSense firewall loglarını analiz etmek istiyorsanız, Discover ekranında kullanabileceğiniz bazı önemli filtre alanlarını aşağıda bulabilirsiniz. Bu alanlar sayesinde saldırı tespiti, trafik analizi ve olay takibi çok daha verimli hâle gelir.

🔍 Temel Filtre Alanları

data.action – Yapılan işlem: block / pass
data.protocol – Protokol bilgisi: tcp, udp vb.
data.srcip – Kaynak IP adresi
data.dstip – Hedef IP adresi
data.srcport – Kaynak port
data.dsport – Hedef port
GeoLocation.country_name – IP coğrafi lokasyonu
predecoder.timestamp – Olayın gerçek zamanlı zaman damgası
timestamp – Log’un işlendiği zaman
location – Log dosyası kaynağı (örnek: /var/log/pfsense.log)

🧠 MITRE ATT&CK Bilgisi

Eğer olay kurallarla eşleştiyse, Wazuh bu loglara MITRE bilgileri ekleyebilir:

rule.mitre.technique – Kullanılan saldırı tekniği (örnek: Brute Force)
rule.mitre.tactic – Saldırı amacı (örnek: Credential Access)

📝 Olay Açıklamaları ve Kurallar

rule.description – Olayın kısa açıklaması (örnek: Multiple pfSense firewall blocks events from same source.)
rule.id – Eşleşen kural ID’si (mevcutsa)
rule.level – Olayın önem derecesi

📌 Örnek Discover Sorguları

data.action: "block" AND data.protocol: "tcp"
# TCP protokolü üzerinden gelen engellenmiş trafiği gösterir

data.srcip: "104.28.154.248"
# Belirli bir kaynaktan gelen tüm olayları listeler

GeoLocation.country_name: "United States" AND data.dport: 1514
# ABD'den gelen ve hedef portu 1514 olan bağlantılar

rule.mitre.technique: "Brute Force"
# Brute Force olarak tanımlanmış tüm olaylar

🧰 Ekstra İpuçları

Alan türlerine dikkat edin: Bazı alanlar keyword bazıları text tipinde olabilir. Gerekirse .keyword uzantısı ekleyin.
Filtreleme yerine görselleştirme: Discover’da test ettiğiniz filtreleri Dashboard’da görselleştirmeye çevirebilirsiniz.
Wazuh Field Reference: Wazuh’un dökümantasyonundan log alanlarını detaylıca inceleyin.

✅ Kısa Özet Tablosu

Alan	Açıklama
`data.srcip`	Kaynak IP adresi
`data.dstip`	Hedef IP adresi
`data.protocol`	Kullanılan protokol
`data.action`	İzin verildi mi, engellendi mi?
`rule.mitre.technique`	MITRE saldırı tekniği
`GeoLocation.country_name`	IP’nin ülke bilgisi
`timestamp`	Log’un işlendiği zaman

🔍 Temel Filtre Alanları

Filtre Alan	Komut	Açıklama
`data.action`	`data.action: "block"`	Firewall tarafından engellenen trafiği listeler.
`data.protocol`	`data.protocol: "tcp"`	Belirli bir protokole (örnek: TCP) göre filtreleme yapar.
`data.srcip`	`data.srcip: "104.28.154.248"`	Kaynak IP adresine göre olayları filtreler.
`data.dstip`	`data.dstip: "38.130.81.93"`	Hedef IP adresine göre filtreleme yapar.
`data.srcport`	`data.srcport: 35045`	Kaynak port üzerinden gelen trafiği filtreler.
`data.dsport`	`data.dsport: 1514`	Belirli hedef port’a gelen bağlantıları gösterir.
`GeoLocation.country_name`	`GeoLocation.country_name: "United States"`	Kaynak IP’nin ülkesine göre filtreleme sağlar.
`predecoder.timestamp`	`predecoder.timestamp: [ZAMAN_ARALIĞI]`	Gerçek zamanlı olay anına göre filtreleme yapılabilir.
`timestamp`	`timestamp: [ZAMAN_ARALIĞI]`	Log’un Wazuh tarafından işlendiği zamana göre filtreleme yapılır.
`location`	`location: "/var/log/pfsense.log"`	Log’un hangi dosyadan geldiğini belirtir.

Arif Akyüz Sistem Network Yöneticisi ve Siber Güvenlik Uzmanı

Arif Akyüz
Bilgi Teknolojileri
Sistem Network Yöneticisi
ve Siber Güvenlik Uzmanı
[email protected]