Вот и появился повод вновь написать об OSSIM, впрочем скорее о его коммерческом собрате AlienVault USM. Повод не очень приятный. В AV USM 5.4 валятся плагины, обрабатывающие логи в кодировке utf8 (по крайней мере русские логи). Но это повод. Заметка будет не только об этом. Вообще о разнице между коммерческой и свободной версиями. Но, пока,…
Монитор журнала аудита ORACLE Что это? Зачем это? Всё началось с желания получить на OSSIM более приличный журнал доступа к СУБД ORACLE. Более приличный, чем получается по сислогу. Это значит, что нужно читать его из базы данных, из вьюхи DBA_AUDIT_TRAIL. Но, вот беда, database плагины OSSIM не умеют читать из БД ORACLE. Точнее говоря, чтобы…
OSSIM — пользуемся комплексной Open Source системой управления безопасностью. Эта статья написана под впечатлением от опубликованной на Хабре OSSIM — разворачиваем комплексную open source систему управления безопасностью и предназначалась для публикации там же, но поскольку Хабр отказывается её публиковать, пусть будет здесь. Я не буду повторяться и описывать сам процесс установки системы. Я хочу только…
Слил мастер с рабочей веткой, где уже новая документация, новые скрипты для русификации, ну и мелкие ошибки устранены. Всё здесь https://bitbucket.org/esguardian/ossim
Вот. Собрал всё вместе на https://bitbucket.org/esguardian/ossim. На гитхабе не очень получается, что-то там плохо совсем с кодировкой cp1251. Так я и не въехал, как ему объяснить, что нельзя мне utf-8 строки писать. А на битбакете вроде терпимо. Тоже иногда косячит по неясной причине, но в raw, по крайней мере, всё правильно рисует. А работать с ними…
Это так, чисто поржать. Плагин для домашнего рутера ASUS RT-AC52U. Но работает вполне серьезно 🙂 /etc/ossim/agent/plugins/asus-rt-ac52.cfg # Alienvault plugin # Author: Eugene Sokolov at esguardian@outlook.com # Plugin asus-rt-ac52 id:9008 version: 0.0.2 # Last modification: 2015-07-12 16:10 # # Accepted products: # asus RT-AC52U wifi router # # /etc/rsyslog.d/myasus.conf # if $fromhost-ip == ‘192.168.10.1’ then /var/log/asus.log…
Sorry. This is for Russians only, so no English more. Этот гист исключительно для русской аудитории. Здесь я сведу все советы по кастумизации OSSIM для работы с русским языком в одну инструкцию, понятную тем, кто этим языком пользуется в работе и жизни. Некоторые предварительные пояснения: Я буду использовать недокументированные фичи и некоторые собственные хаки, которые…
Выложил на гитхаб еще немного для OSSIM: два отчета и два полезных монитора. Один монитор отслеживает регистрацию пользователей на хостах, Windows и Linux, доменную и локальную, а также удаленный доступ через cisco-asa. Второй — сеансы Exchange ActiveSync (события на шлюзе TMG). Их главное предназначение — обнаруживать использование учетных записей, в том числе «технических», которые давно…
Выложил на гитхаб еще несколько отчетов «на каждый день»: !ossim-account-change-report — данные по добавлению/удалению членов локальных, глобальных, универсальных групп, а также по созданию или разблокированию пользователей; !ossim_remote_access_report — данные по соединению VPN-клиентов с Cisco ASA; !ossim_tmg_report — перечень сеансов на MS TMG с отправкой значительных объемов данных наружу, эти данные собираются моим собственным плагином для…
Я собрал всякие свои мелкие доработки для AlienVault OSSIM на гитхабе в виде гистов. И вот добавил скрипт на Python, который генерирует отчет об установке/удалении приложений, изменении контролируемых файлов и обнаружении «не очень хороших» программ (вроде скайпа). К сожалению OSSIM не имеет удобных средств построения отчетов, но это вполне компенсируется открытостью системы. Все хозяйство лежит здесь: https://gist.github.com/ESGuardian для…
ESGUARDIAN 