MikroTik od podstaw do zaawansowania — część 7: SIEM i SOAR z Wazuh, MikroTik i Grafana
MikroTik od podstaw do zaawansowania — część 7: SIEM i SOAR z Wazuh, MikroTik i Grafana
Wstęp: Lokalna analiza i automatyzacja bezpieczeństwa z RouterOS
W nowoczesnej architekturze sieci, szczególnie na styku lokalnego edge computingu i rozwiązań chmurowych, zarządzanie bezpieczeństwem nie może bazować wyłącznie na urządzeniach peryferyjnych. MikroTik, mimo że znany z prostoty, może być w pełni zintegrowany z potężnymi open source’owymi narzędziami bezpieczeństwa klasy enterprise. Celem tego artykułu jest przedstawienie kompletnego, samodzielnego rozwiązania SIEM + SOAR opartego na narzędziach takich jak Wazuh, Grafana, TheHive, Cortex, w pełnej integracji z MikroTik i skryptami reagującymi na incydenty w czasie rzeczywistym.
1. Architektura systemu SIEM lokalnie z MikroTik
Komponenty systemu:
- MikroTik RouterOS – źródło logów syslog + interfejs reagujący (firewall, VLAN)
- Wazuh (fork OSSEC) – silnik detekcji, agregator logów, reguły analityczne
- Filebeat/Logstash (opcjonalnie) – przesyłanie logów do Elastic/Wazuh
- Grafana + Elasticsearch – wizualizacja i analiza
- TheHive – system zarządzania incydentami
- Cortex – silnik reakcji i automatyzacji (SOAR)
2. Konfiguracja MikroTik do integracji z Wazuh
Syslog z MikroTik:
/system logging action
add name=wazuh target=remote remote=192.168.1.100 remote-port=514
/system logging
add topics=firewall action=wazuh
add topics=info action=wazuh
add topics=critical action=wazuh
Firewall tagging – inteligentne kategorie:
Warto dodawać do logów własne komentarze, które ułatwią parsowanie w Wazuh:
/ip firewall filter
add chain=input src-address=0.0.0.0/0 protocol=tcp dst-port=22 action=drop log=yes log-prefix="SSH_BLOCKED"
3. Konfiguracja agenta Wazuh i odbiór logów MikroTik
Wazuh Manager – konfiguracja odbioru logów MikroTik:
W pliku ossec.conf dodajemy:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
</remote>
Reguły parsujące MikroTik (custom):
Tworzymy reguły w:
/var/ossec/etc/rules/local_rules.xml
Przykład reguły SSH block:
<rule id="100100" level="10">
<decoded_as>syslog</decoded_as>
<field name="full_log">.*SSH_BLOCKED.*</field>
<description>SSH brute-force zablokowany przez MikroTik</description>
</rule>
4. Integracja z TheHive i Cortex: automatyzacja reakcji
TheHive: Tworzenie incydentu z logów Wazuh
Używając webhooka lub brokera MQTT/Redis możemy przesłać z Wazuh do TheHive alert w formie JSON:
{
"title": "MikroTik SSH attack blocked",
"description": "Firewall RouterOS zablokował próbę SSH z adresu 203.0.113.5",
"source": "Wazuh",
"type": "intrusion-attempt"
}
Cortex + skrypt Python do blokady adresu IP:
Skrypt w Cortex do uruchomienia lokalnie:
from librouteros import connect
def block_ip(ip):
api = connect(username='admin', password='haslo', host='192.168.88.1')
api.path('ip', 'firewall', 'address-list').add(list='soar_block', address=ip, comment='SOAR auto-block')
5. Grafana + Wazuh jako pełne SIEM
Kroki:
- Zbieranie logów z MikroTik w Wazuh (syslog UDP).
- Indeksowanie danych w Elasticsearch.
- Wizualizacja dashboardu w Grafana z podziałem na:
- Najczęstsze źródła ataków
- Najczęściej atakowane porty
- Reguły firewall blokujące ruch
- Reakcje SOAR
Dashboard – przykłady wykresów:
- Top 10 IP atakujących SSH
- Statystyka dropów UDP
- Wykres czasowy detekcji EDR i reguł firewall
6. Pełny cykl życia incydentu
- MikroTik loguje blokadę.
- Wazuh przetwarza zdarzenie.
- TheHive tworzy incydent.
- Cortex uruchamia playbook SOAR.
- Python z Cortex blokuje adres IP.
- Grafana wizualizuje działania i alerty.
To kompletna automatyzacja cyberbezpieczeństwa edge.
7. Testowanie i symulacja ataków
Do weryfikacji całego cyklu polecam:
- Kali Linux + Hydra – brute force SSH
- nmap – skanowanie portów
- scapy/python – wysyłanie niestandardowych pakietów
- curl + api Cortex – manualne wywołanie playbooka
8. Dalszy rozwój: EDR + YARA + Threat Intelligence
Można rozszerzyć system o:
- Integrację Cortex z silnikiem YARA
- Reguły analizy plików binarnych z honeypota
- Feed’y Threat Intel z AbuseIPDB, AlienVault, MISP
- Dynamiczne reguły routingowe na MikroTik (BGP blackhole dla zagrożeń)
Podsumowanie i dalsze kierunki rozwoju
Ten etap serii pokazuje, jak przy użyciu darmowych narzędzi typu open source można zbudować pełnoprawne lokalne SIEM + SOAR dla MikroTik. Jest to nie tylko możliwe, ale także wydajne, bezpieczne i zgodne z podejściem Zero Trust + Infrastructure as Code.
W kolejnej części serii pokażemy Edge Data Collection z MikroTik + Prometheus + Node Exporter + Loki + Grafana, czyli jak mierzyć i analizować każdy pakiet, port i interfejs — w czasie rzeczywistym.
Kompleksowy przewodnik po systemach antywirusowych, antyspamowych i narzędziach bezpieczeństwa W dzisiejszym świecie cyfrowym zagrożenia czyhają na użytkowników nie tylko ze Czytaj dalej
🔑 Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła 🔍 Na czym polega Pass-the-Hash? Atak Pass-the-Hash (PtH) umożliwia uwierzytelnienie Czytaj dalej
