Ку-ку, товарищи! И еще раз ку-ку!
-----------------------------------------
Кое-какие изменения
Я добавил скрипт для установки модифицированной cuckoo от Брэда Шпенглера (Brad Spengler)
https://github.com/brad-accuvant/cuckoo-modified
Компания Accuvant теперь называется Optiv. Поэтму модифицированную Кукушку теперь будем называть cuckoo-1.3-optiv. Разница между "стабильной" Кукушкой и версией Брэда, как между жигулями и тоётой. В том числе в стабильности.
В своем новом скрипте я тоже кое-что поменял. Функциональная разница в том, что теперь после импорта и настройки виртуалки, скрипт ее запускает и становится в позу ожидания нажатия Enter. Это сделано для того, чтобы можно было спокойно подключиться к виртуалке по rdp (порт 7001) и убедиться, что всё с ней в порядке и она нормально работает, а также настроить что-нибудь на машине дополнительно или установить еще какие-нибудь компоненты. Это полезно когда вы переносите виртуалку с одного типа хадваре на другой (например, другие процесс
ESGuardian
ESGuardian
/ !nstall_cuckoo_on_debian_jessie.md
Last active
May 8, 2017 04:31
ESGuardian
/ !ossim-russian-config.md
Last active
August 29, 2015 14:24
Sorry. This is for Russians only, so no english text.
Этот гист исключительно для русской аудитории. Здесь я сведу все советы по кастумизации OSSIM для работы с русским языком в одну инструкцию, понятную тем, кто этим языком пользуется в работе и жизни.
Ура! 29.07.2015 Пройдена проверка апдейтами на бою. Сегодня автоматически обновился из веб-интерфейса на версию 5.1 и ничего не отвалилось. Кстати, версия посимапатичней :)
Некоторые предварительные пояснения:
Я буду использовать недокументированные фичи и некоторые собственные хаки, которые помогают бороться с уничтожением всех внесенных изменений при апдейте системы.
Для реализации хаков существуют два основных скрипта, которые лежат в дирректории /usr/local/bin и называются check_my_config.py и check_mysql_config.py соответственно. А еще в этой же директории обязан лежать файл с именем my_ParserUtil.tail который должен начинаться строкой # my ParserUtil tail (регистр имеет значение). Это
ESGuardian
/ !ossim-activesync-monitor.md
Last active
August 29, 2015 14:24
This plug-in to monitor Exchange ActiveSync Sync events. It collects data saved in alienvault-siem database from my own tmg-web plugin. It is analog of the my user-logon-monitor plugin.
The plugin uses my own Python script activesync-monitor.py that creates two work files /var/cache/logon-monitor/as-access-history.list and /var/cache/logon-monitor/as-access-[today]-.list and also write in /var/log/activesync-access-monitor.log 5 types of evants:
1 - Hello! If a user is logged the first time today and is already registered in the past 5 days
2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago
3 - Wow... Last time I saw you NN days ago! If a user last recorded more then 20 days ago
ESGuardian
/ !ossim-user-logon-monitor-plugin.md
Last active
August 29, 2015 14:24
User logon today and history monitor
This plug-in to monitor user registration in controlled systems. It collects data saved in alienvault-siem database from cisco-asa and ossec plugins. Controlled events are Windows logon success (both domain and local), pam unix logon, cisco remote access (AnyConnect) ip to user assined.
The plugin uses my own Python script user-logon-monitor that creates two work files /var/cache/logon-monitor/logon-history.list and /var/cache/logon-monitor/logon-<today_date>.list and also write in /var/log/user-logon-monitor.log 5 types of evants:
1 - Hello! If a user is logged the first time today and is already registered in the past 5 days
2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago
ESGuardian
/ !ossim-suricata-report.md
Last active
August 29, 2015 14:23
Suricata (snort) csv report for OSSIM
This is the Python script wich create a csv report file from the OSSIM with suricata events and corresponding netflow data for the giving asset group. Used cp1251 encoding for Russian Windows and Excel
ESGuardian
/ !ossim_NfOTX_report.md
Last active
August 29, 2015 14:23
OSSIM Netflow report for OTX matched host communication.
This is the Python script for reporting NfOTX Match events wich collected in OSSIM database by my modification of NfOTX plugin (initialy created by @PacketInspector). The script generate csv file with list of events and list of corresponded Netwlow data, so you can see what happend.
ESGuardian
/ !ossim_tmg_data_leak_report.md
Last active
August 29, 2015 14:23
Simple script for reporting tmg events
This is the simple Python script for generate the csv file from OSSIM database with "possible data leak" events collected by my own tmg-web plugin. "possible data leak" events have generated by plugin when large amount of data transfered to external host.
ESGuardian
/ !ossim_remote_access_report.md
Last active
August 29, 2015 14:23
OSSIM report for Cisco AnyConnect
This is the Python script for reporting Cisco AnyConnect (ip to user assign) events from OSSIM cisco-asa plugin data as csv file.
2015-07-09. Added ActiveSync events from my activesync-monitor plugin and GeoIP data (geolite2)
Be careful!!! you MUST previosly install geoip2 python module becouse it not installed by default
wget https://bootstrap.pypa.io/get-pip.py --no-check-certificate python get-pip.py pip install geoip2
ESGuardian
/ !ossim-account-change-report.md
Last active
August 29, 2015 14:23
This is usefull Python script to generate csv file with report of user account and group membership change based on ossec agent data stored in AlienVault OSSIM. This is for Russians :) cp1251 used for Russian Windows and Excel
ESGuardian
/ !ossim_report_apps_change.md
Last active
August 29, 2015 14:23
This is usefull python script for make csv file with the report of the integrity change, application install/uninstall regestered by ossec agent. This is for Russians :) cp1251 encoding used for working with Russian Windows and Excel
NewerOlder