Zum Hauptinhalt springen

T-Pot Honeypot Integration 🐝

Aktuell unterstützt NxtFireGuard die Integration von Suricata-Protokollen aus T-Pot, insbesondere von denen, die das alert-Feld enthalten. Befolgen Sie die folgenden Schritte, um Ihre T-Pot-Einrichtung zu verbinden und Protokolle an NxtFireGuard zu senden.

Da T-Pot das direkte Senden von Protokollen an ein HTTP-Ziel nicht unterstützt, verwenden wir einen benutzerdefinierten Logstash-Container. Unsere Einrichtung sieht folgendermaßen aus: T-Pot Übersicht

Anforderungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie:

  • ✅ Einen gültigen NxtFireGuard-Lizenzschlüssel haben.
  • T-Pot installiert ist, entweder als Standalone (HIVE)-Installation oder als verteilte Einrichtung.

Für Standalone-T-Pot-Installationen sollten diese Schritte auf jeder T-Pot-Installation abgeschlossen werden.
Für verteilte T-Pot-Installationen führen Sie diese Installation nur auf der Hauptinstanz durch, auf der Elasticsearch installiert ist.

Installationsschritte

Schritt 1: Greifen Sie auf Ihren T-Pot-Server zu 🖥️

Verbinden Sie sich über SSH mit Ihrem T-Pot-Server:

ssh <username>@<t-pot-ip> -p 64295

Schritt 2: Laden Sie den NxtFireGuard-Log-Forwarder herunter 📥

Laden Sie die neueste Version des NxtFireGuard-Syslog-forwarder herunter:

wget https://github.com/NxtGenIT/NxtFireGuard-Syslog-forwarder/archive/refs/heads/main.zip

Schritt 3: Entpacken Sie die heruntergeladene Datei 📂

Extrahieren Sie den Inhalt der heruntergeladenen Datei:

unzip main.zip && cd NxtFireGuard-Syslog-forwarder-main

Wenn Sie unzip nicht installiert haben, können Sie es unter Ubuntu oder Debian mit folgendem Befehl installieren:

sudo apt install unzip

Schritt 4: Konfigurieren Sie die Umgebungsvariablen 🛠️

  1. Benennen Sie die Umgebungsdatei um:

    mv .env.example .env

  2. Bearbeiten Sie die Umgebungsdatei, um Ihre Umgebungsvariablen festzulegen. Verwenden Sie einen Texteditor Ihrer Wahl (z. B. VIM):

    vim .env

    In dieser Datei setzen Sie die folgenden Variablen:

    ELK_URL=http://elasticsearch:9200  
    ELK_USER=elastic  
    ELK_PASSWORD=changeme  
    DESTINATION_URL=https://collector.nxtfireguard.de/t-pot  
    X_LICENSE_KEY=your_license_key

    Hinweis: ELK_URL und DESTINATION_URL sind für Standard-T-Pot-Installationen voreingestellt. Sie müssen nur ELK_USER, ELK_PASSWORD und X_LICENSE_KEY aktualisieren.

Schritt 5: Starten Sie den Log Forwarder-Container 🚀

Führen Sie den folgenden Befehl aus, um den Log Forwarder-Container zu starten:

docker compose up nfg-logstash -d

Nächste Schritte

Sobald die Einrichtung abgeschlossen ist, können Sie zur Hinzufügen eines Hosts Sektion zurückkehren, um die Verbindung in NxtFireGuard zu überprüfen.

Bei Fragen oder Problemen können Sie sich über dieses Kontaktformular an unser Support-Team wenden.