Skip to content

Instantly share code, notes, and snippets.

ESGuardian

Block or report user

Report or block ESGuardian

Hide content and notifications from this user.

Learn more about blocking users

Contact Support about this user’s behavior.

Learn more about reporting abuse

Report abuse
View GitHub Profile
View !nstall_cuckoo_on_debian_jessie.md

Ку-ку, товарищи! И еще раз ку-ку!
-----------------------------------------
Кое-какие изменения
Я добавил скрипт для установки модифицированной cuckoo от Брэда Шпенглера (Brad Spengler)
https://github.com/brad-accuvant/cuckoo-modified
Компания Accuvant теперь называется Optiv. Поэтму модифицированную Кукушку теперь будем называть cuckoo-1.3-optiv. Разница между "стабильной" Кукушкой и версией Брэда, как между жигулями и тоётой. В том числе в стабильности.
В своем новом скрипте я тоже кое-что поменял. Функциональная разница в том, что теперь после импорта и настройки виртуалки, скрипт ее запускает и становится в позу ожидания нажатия Enter. Это сделано для того, чтобы можно было спокойно подключиться к виртуалке по rdp (порт 7001) и убедиться, что всё с ней в порядке и она нормально работает, а также настроить что-нибудь на машине дополнительно или установить еще какие-нибудь компоненты. Это полезно когда вы переносите виртуалку с одного типа хадваре на другой (например, другие процесс

View !ossim-russian-config.md

Sorry. This is for Russians only, so no english text.

Этот гист исключительно для русской аудитории. Здесь я сведу все советы по кастумизации OSSIM для работы с русским языком в одну инструкцию, понятную тем, кто этим языком пользуется в работе и жизни.

Ура! 29.07.2015 Пройдена проверка апдейтами на бою. Сегодня автоматически обновился из веб-интерфейса на версию 5.1 и ничего не отвалилось. Кстати, версия посимапатичней :)

Некоторые предварительные пояснения:
Я буду использовать недокументированные фичи и некоторые собственные хаки, которые помогают бороться с уничтожением всех внесенных изменений при апдейте системы. Для реализации хаков существуют два основных скрипта, которые лежат в дирректории

/usr/local/bin
и называются
check_my_config.py
и
check_mysql_config.py
соответственно. А еще в этой же директории обязан лежать файл с именем
my_ParserUtil.tail
который должен начинаться строкой
# my ParserUtil tail
(регистр имеет значение). Это

View !ossim-activesync-monitor.md

This plug-in to monitor Exchange ActiveSync Sync events. It collects data saved in alienvault-siem database from my own tmg-web plugin. It is analog of the my user-logon-monitor plugin.

The plugin uses my own Python script activesync-monitor.py that creates two work files /var/cache/logon-monitor/as-access-history.list and /var/cache/logon-monitor/as-access-[today]-.list and also write in /var/log/activesync-access-monitor.log 5 types of evants:

1 - Hello! If a user is logged the first time today and is already registered in the past 5 days

2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago

3 - Wow... Last time I saw you NN days ago! If a user last recorded more then 20 days ago

@ESGuardian
ESGuardian / !ossim-user-logon-monitor-plugin.md
Last active Aug 29, 2015
User logon today and history monitor
View !ossim-user-logon-monitor-plugin.md

This plug-in to monitor user registration in controlled systems. It collects data saved in alienvault-siem database from cisco-asa and ossec plugins. Controlled events are Windows logon success (both domain and local), pam unix logon, cisco remote access (AnyConnect) ip to user assined.

The plugin uses my own Python script user-logon-monitor that creates two work files /var/cache/logon-monitor/logon-history.list and /var/cache/logon-monitor/logon-<today_date>.list and also write in /var/log/user-logon-monitor.log 5 types of evants:

1 - Hello! If a user is logged the first time today and is already registered in the past 5 days

2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago

@ESGuardian
ESGuardian / !ossim-suricata-report.md
Last active Aug 29, 2015
Suricata (snort) csv report for OSSIM
View !ossim-suricata-report.md

This is the Python script wich create a csv report file from the OSSIM with suricata events and corresponding netflow data for the giving asset group. Used cp1251 encoding for Russian Windows and Excel

@ESGuardian
ESGuardian / !ossim_NfOTX_report.md
Last active Aug 29, 2015
OSSIM Netflow report for OTX matched host communication.
View !ossim_NfOTX_report.md

This is the Python script for reporting NfOTX Match events wich collected in OSSIM database by my modification of NfOTX plugin (initialy created by @PacketInspector). The script generate csv file with list of events and list of corresponded Netwlow data, so you can see what happend.

@ESGuardian
ESGuardian / !ossim_tmg_data_leak_report.md
Last active Aug 29, 2015
Simple script for reporting tmg events
View !ossim_tmg_data_leak_report.md

This is the simple Python script for generate the csv file from OSSIM database with "possible data leak" events collected by my own tmg-web plugin. "possible data leak" events have generated by plugin when large amount of data transfered to external host.

@ESGuardian
ESGuardian / !ossim_remote_access_report.md
Last active Aug 29, 2015
OSSIM report for Cisco AnyConnect
View !ossim_remote_access_report.md

This is the Python script for reporting Cisco AnyConnect (ip to user assign) events from OSSIM cisco-asa plugin data as csv file.

2015-07-09. Added ActiveSync events from my activesync-monitor plugin and GeoIP data (geolite2)

Be careful!!! you MUST previosly install geoip2 python module becouse it not installed by default

 
wget https://bootstrap.pypa.io/get-pip.py --no-check-certificate
python get-pip.py
pip install geoip2
View !ossim-account-change-report.md

This is usefull Python script to generate csv file with report of user account and group membership change based on ossec agent data stored in AlienVault OSSIM. This is for Russians :) cp1251 used for Russian Windows and Excel

View !ossim_report_apps_change.md

This is usefull python script for make csv file with the report of the integrity change, application install/uninstall regestered by ossec agent. This is for Russians :) cp1251 encoding used for working with Russian Windows and Excel

You can’t perform that action at this time.