И еще небольшая пачка тулзов для OSSIM

Выложил на гитхаб еще немного для OSSIM: два отчета и два полезных монитора.

Один монитор отслеживает регистрацию пользователей на хостах, Windows и Linux, доменную и локальную, а также удаленный доступ через cisco-asa. Второй — сеансы Exchange ActiveSync (события на шлюзе TMG). Их главное предназначение — обнаруживать использование учетных записей, в том числе «технических», которые давно не использовались. В качестве побочного продукта создают файлы в формате csv со списком использованных логонов (а ActiveSync еще и со списком устройств) и временем. Файлы с датой в имени — это сегодняшние первые отмеченные логоны. Файлы history содержат отметку о последней регистрации учетки в системе.

И отчеты. Один отчет вываливают данные о событиях Suricata, касающихся заданной группы объектов, пополненные данными Netflow, по каждому атакующему хосту. Второй делает то же самое по данным плагина nfotx. если, кто не в курсе — это плагин предложенный @PaketInspector для отслеживания в данных Netflow появления адресов из репутационной базы Open Threat Exchange. Отчеты делаются в виде файлов csv, под Excel по ним сразу видно стоит ли беспокоиться.

Все здесь: https://gist.github.com/ESGuardian

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s