И еще небольшая пачка тулзов для OSSIM

Выложил на гитхаб еще немного для OSSIM: два отчета и два полезных монитора. Один монитор отслеживает регистрацию пользователей на хостах, Windows и Linux, доменную и локальную, а также удаленный доступ через cisco-asa. Второй — сеансы Exchange ActiveSync (события на шлюзе TMG). Их главное предназначение — обнаруживать использование учетных записей, в том числе «технических», которые давно…

И еще несколько отчетов для OSSIM …

Выложил на гитхаб еще несколько отчетов «на каждый день»: !ossim-account-change-report — данные по добавлению/удалению членов локальных, глобальных, универсальных групп, а также по созданию или разблокированию пользователей; !ossim_remote_access_report — данные по соединению VPN-клиентов с Cisco ASA; !ossim_tmg_report — перечень сеансов на MS TMG с отправкой значительных объемов данных наружу, эти данные собираются моим собственным плагином для…

Отчет Integrity change для OSSIM

Я собрал всякие свои мелкие доработки для AlienVault OSSIM на гитхабе в виде гистов. И вот добавил скрипт на Python, который генерирует отчет об установке/удалении приложений, изменении контролируемых файлов и обнаружении «не очень хороших» программ (вроде скайпа). К сожалению OSSIM не имеет удобных средств построения отчетов, но это вполне компенсируется открытостью системы. Все хозяйство лежит здесь: https://gist.github.com/ESGuardian для…

Обработка логов MS TMG-2010 на OSSIM

Да, TMG — закончил свою жизнь, как думает Microsoft, но сисадмины огромного количества больших и маленьких компаний верят в жизнь после смерти. И с этим фактом придется мириться. Займемся интеграцией TMG и Open Source SIEM (OSSIM). И постараемся извлечь из логов TMG кое-какую интересную для ИБ информацию. Отправка логов с TMG на OSSIM. Прежде всего,…

MS FEP плагин для OSSIM

Это техническая заметка о том, как написать плагин для сбора на OSSIM журнала событий MS System Center Endpoint Protection. Вы можете понять ее содержание, если вы знаете хотя бы часть из этого списка: Что такое OSSIM (Open Source SIEM); Что такое Debian Linux и кто такая FreeTDS; Что такое Microsoft System Center и Microsoft System Center…

Преобразователь CSV для OSSIM

Чисто техническая запись. Кто не может понять о чем речь, не волнуйтесь, с вами как раз всё в порядке. Печалька у тех, кто понял. Если вы такой же жмот, как я, и поэтому используете OSSIM, то вы точно сталкивались с его странностями при экспорте отчетов в CSV для Excel. Особенно, если отчет содержит поле Payload. Я…

Мониторинг ИБ. История одного пакета.

В своих статьях я постоянно говорю о мониторинге событий ИБ. Что он совершенно необходим в любой компании. Что дело это не сложное, больших затрат сил и времени не требует, но требует навыков и знаний, впрочем, доступных любому человеку. Что есть технические средства мониторинга, в том числе бесплатные. Вот я подумал, что полезно привести пример. Расскажу…