Контроль изменений параметров UAC

В данной статье я хочу рассмотреть реализацию детектирования следующего сценария с помощью системы сбора и обработки событий ИБ OSSIM: Выявлять инцидент ИБ, которым является включение параметра «password never expires» для учетных записей (далее — УЗ) пользователей, находящихся в определенном Organizational Unit (далее — OU). Для этого я буду использовать функционал custom functions. Постараюсь быть краток […]

Читать далее


Факультатив по настройке OSSEC

Доброго всем здоровья! В данной статье я хочу описать несколько важных (на мой взгляд) моментов, которые нужно иметь ввиду при настройке программного обеспечения OSSEC (HIDS, SIEM система). Официальная документация по системе представлена в достаточно большом объеме на просторах сети, однако некоторые важные моменты абсолютно нигде не описываются. В качестве «путевых заметок» приведу их ниже.

Читать далее


Сбор логов с Windows по WMI. Спасительное зло.

В жизни каждого наступает тот самый момент, когда нет возможности собирать логи с Windows сервера, установив на него маленький и легковесный агент OSSEC, который не только собирает логи, но и выполняет контроль целостности, обнаружение вторжений и многое другое.

Читать далее


Активные списки в OSSIM

Доброго времени суток, уважаемые читатели! В этой статье хочу рассказать о реализации функционала активных списков, или как его называют на-английском — «active lists», в системах OSSIM/USM.

Читать далее


OSSIM. Создание простого плагина для разбора syslog

Данный материал будет полезен начинающим администраторам, проявляющим интерес к системе OSSIM. Установка системы уже была подробно описана на хабре, поэтому на данном моменте я останавливаться не буду. В статье описана процедура написания плагина для обработки журналов событий, получаемых системой OSSIM по протоколу syslog от приложения, работающего на удаленной машине.

Читать далее


MongoDB в качестве логгера для OSSIM

Доброго дня, уважаемые читатели! Эта статья задумывалась мной как дополнение к замечательной статье Евгения Соколова об использовании MongoDB в качестве логгера для OSSIM (т.е. долгосрочного хранилища журналов событий). Я дополнил оригинальную статью Евгения комментариями и разъяснениями, где, на мой взгляд, это было необходимо для лучшего понимания.

Читать далее


Функционал custom functions в парсерах OSSIM

Доброго дня, уважаемые! В продолжение моей статьи хочу рассмотреть и поделиться опытом работы с функционалом «custom functions», используемом в OSSIM. Это функции, которые предназначены для обработки полученной вследствие разбора (парсинга) журналов событий информации. Обработка может заключаться в разрешении имени по IP адресу, определении геолокации и всего того, на что хватит фантазии. В примере ниже я […]

Читать далее


Создание плагина OSSIM для сбора логов из базы данных

Данная статья ранее была уже опубликована мной на habrahabr.ru. 1. Для чего это нужно? Предположим, у вас есть приложение, которое ведет запись журналов событий в базу данных(например, Kaspersky Security Center, Symantec Endpoint Security Server, и многие другие) и вы хотите собирать эти журналы с помощью SIEM системы Alienvault OSSIM (USM), но в поставке «из коробки» […]

Читать далее