Собрал репозитарий доработок OSSIM

Вот. Собрал всё вместе на https://bitbucket.org/esguardian/ossim. На гитхабе не очень получается, что-то там плохо совсем с кодировкой cp1251. Так я и не въехал, как ему объяснить, что нельзя мне utf-8 строки писать. А на битбакете вроде терпимо. Тоже иногда косячит по неясной причине, но в raw, по крайней мере, всё правильно рисует. А работать с ними…

И еще раз: «ку-ку»

Кое-какие изменения Я добавил скрипт для установки модифицированной cuckoo от Брэда Шпенглера (Brad Spengler) https://github.com/brad-accuvant/cuckoo-modified Компания Accuvant теперь называется Optiv. Поэтму модифицированную Кукушку теперь будем называть cuckoo-1.3-optiv. Разница между «стабильной» Кукушкой и версией Брэда, как между жигулями и тоётой. В том числе в стабильности. В своем новом скрипте я тоже кое-что поменял. Функциональная разница в…

Ку-ку, товарищи! И еще раз ку-ку!

Как понятно, речь пойдет о Cuckoo, известной как «бесплатная песочница». Написано о ней много. Ну, и я свои пять копеек вставлю. Собственно эту статью можно считать свежим руководством по установке Cuckoo. И она сопровождается скриптом для автоматической установки и конфигурации песочницы, после запуска которого она точно будет работать. Опять же это не первая такая статья.…

OSSIM плагин для домашнего маршрутизатора ASUS

Это так, чисто поржать. Плагин для домашнего рутера ASUS RT-AC52U. Но работает вполне серьезно 🙂 /etc/ossim/agent/plugins/asus-rt-ac52.cfg # Alienvault plugin # Author: Eugene Sokolov at esguardian@outlook.com # Plugin asus-rt-ac52 id:9008 version: 0.0.2 # Last modification: 2015-07-12 16:10 # # Accepted products: # asus RT-AC52U wifi router # # /etc/rsyslog.d/myasus.conf # if $fromhost-ip == ‘192.168.10.1’ then /var/log/asus.log…

Кастомизация OSSIM

Sorry. This is for Russians only, so no English more. Этот гист исключительно для русской аудитории. Здесь я сведу все советы по кастумизации OSSIM для работы с русским языком в одну инструкцию, понятную тем, кто этим языком пользуется в работе и жизни. Некоторые предварительные пояснения: Я буду использовать недокументированные фичи и некоторые собственные хаки, которые…

И еще небольшая пачка тулзов для OSSIM

Выложил на гитхаб еще немного для OSSIM: два отчета и два полезных монитора. Один монитор отслеживает регистрацию пользователей на хостах, Windows и Linux, доменную и локальную, а также удаленный доступ через cisco-asa. Второй — сеансы Exchange ActiveSync (события на шлюзе TMG). Их главное предназначение — обнаруживать использование учетных записей, в том числе «технических», которые давно…

И еще несколько отчетов для OSSIM …

Выложил на гитхаб еще несколько отчетов «на каждый день»: !ossim-account-change-report — данные по добавлению/удалению членов локальных, глобальных, универсальных групп, а также по созданию или разблокированию пользователей; !ossim_remote_access_report — данные по соединению VPN-клиентов с Cisco ASA; !ossim_tmg_report — перечень сеансов на MS TMG с отправкой значительных объемов данных наружу, эти данные собираются моим собственным плагином для…

Отчет Integrity change для OSSIM

Я собрал всякие свои мелкие доработки для AlienVault OSSIM на гитхабе в виде гистов. И вот добавил скрипт на Python, который генерирует отчет об установке/удалении приложений, изменении контролируемых файлов и обнаружении «не очень хороших» программ (вроде скайпа). К сожалению OSSIM не имеет удобных средств построения отчетов, но это вполне компенсируется открытостью системы. Все хозяйство лежит здесь: https://gist.github.com/ESGuardian для…

Мониторинг ИБ. История одного пакета.

В своих статьях я постоянно говорю о мониторинге событий ИБ. Что он совершенно необходим в любой компании. Что дело это не сложное, больших затрат сил и времени не требует, но требует навыков и знаний, впрочем, доступных любому человеку. Что есть технические средства мониторинга, в том числе бесплатные. Вот я подумал, что полезно привести пример. Расскажу…

Защита информации в SMB. Внешнее проникновение.

Если вы еще не прочитали статью «Защита информации в SMB. Введение.» Прочитайте обязательно, иначе дальнейшее может быть непонятно. В этой записи много букв. Я постарался ее структурировать. Вначале поговорим об общих принципах. В конце укажем конкретные сценарии для различных типов ИТ инфраструктуры предприятия и различных бюджетов. Общие принципы. Все хакерские атаки выполняются через инфраструктуру, поэтому…