ESGuardian

## !ossim-user-logon-monitor-plugin.md

      
              4 files
            
          
              0 forks
            
          
              0 comments
            
          
              0 stars
            
          
                ESGuardian
                / !ossim-user-logon-monitor-plugin.md
            
            
              Last active
              August 29, 2015 14:24
            
              
                User logon today and history monitor
              
          
    This plug-in to monitor user registration in controlled systems.
It collects data saved in alienvault-siem database from cisco-asa and ossec plugins.
Controlled events are Windows logon success (both domain and local), pam unix logon, cisco remote access (AnyConnect) ip to user assined.
The plugin uses my own Python script user-logon-monitor that creates two work files /var/cache/logon-monitor/logon-history.list and /var/cache/logon-monitor/logon-<today_date>.list and also write in /var/log/user-logon-monitor.log 5 types of evants:
1 - Hello! If a user is logged the first time today and is already registered in the past 5 days
2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago

  
## !ossim-activesync-monitor.md

      
              4 files
            
          
              0 forks
            
          
              0 comments
            
          
              0 stars
            
          
                ESGuardian
                / !ossim-activesync-monitor.md
            
            
              Last active
              August 29, 2015 14:24
            
          
    This plug-in to monitor Exchange ActiveSync Sync events. It collects data saved in alienvault-siem database from my own tmg-web plugin. It is analog of the my user-logon-monitor plugin.
The plugin uses my own Python script activesync-monitor.py that creates two work files /var/cache/logon-monitor/as-access-history.list and /var/cache/logon-monitor/as-access-[today]-.list and also write in /var/log/activesync-access-monitor.log 5 types of evants:
1 - Hello! If a user is logged the first time today and is already registered in the past 5 days
2 - Wellcome back! If a user is logged the first time today and has last recorded more than 5 but less than 20 days ago
3 - Wow... Last time I saw you NN days ago! If a user last recorded more then 20 days ago

  
## !ossim-russian-config.md

      
              4 files
            
          
              0 forks
            
          
              0 comments
            
          
              0 stars
            
          
                ESGuardian
                / !ossim-russian-config.md
            
            
              Last active
              August 29, 2015 14:24
            
          
    Sorry. This is for Russians only, so no english text.
Этот гист исключительно для русской аудитории. Здесь я сведу все советы по кастумизации OSSIM для работы с русским языком в одну инструкцию, понятную тем, кто этим языком пользуется в работе и жизни.


Ура! 29.07.2015 Пройдена проверка апдейтами на бою. Сегодня автоматически обновился из веб-интерфейса на версию 5.1 и ничего не отвалилось. Кстати, версия посимапатичней :)
Некоторые предварительные пояснения:

Я буду использовать недокументированные фичи и некоторые собственные хаки, которые помогают бороться с уничтожением всех внесенных изменений при апдейте системы.
Для реализации хаков существуют два основных скрипта, которые лежат в дирректории /usr/local/bin и называются check_my_config.py и check_mysql_config.py соответственно. А еще в этой же директории обязан лежать файл с именем my_ParserUtil.tail который должен начинаться строкой # my ParserUtil tail (регистр имеет значение). Это

  
## !nstall_cuckoo_on_debian_jessie.md

      
              3 files
            
          
              0 forks
            
          
              0 comments
            
          
              1 star
            
          
                ESGuardian
                / !nstall_cuckoo_on_debian_jessie.md
            
            
              Last active
              May 8, 2017 04:31
            
          
    Ку-ку, товарищи! И еще раз ку-ку!

-----------------------------------------

Кое-какие изменения

Я добавил скрипт для установки модифицированной cuckoo от Брэда Шпенглера (Brad Spengler)
 https://github.com/brad-accuvant/cuckoo-modified

Компания Accuvant теперь называется Optiv. Поэтму модифицированную Кукушку теперь будем называть cuckoo-1.3-optiv. Разница между "стабильной" Кукушкой и версией Брэда, как между жигулями и тоётой. В том числе в стабильности.

В своем новом скрипте я тоже кое-что поменял. Функциональная разница в том, что теперь после импорта и настройки виртуалки, скрипт ее запускает и становится в позу ожидания нажатия Enter. Это сделано для того, чтобы можно было спокойно подключиться к виртуалке по rdp (порт 7001) и убедиться, что всё с ней в порядке и она нормально работает, а также настроить что-нибудь на машине дополнительно или установить еще какие-нибудь компоненты. Это полезно когда вы переносите виртуалку с одного типа хадваре на другой (например, другие процесс

  
## !ossim_plugin_myILO.md

      
              3 files
            
          
              0 forks
            
          
              0 comments
            
          
              1 star
            
          
                ESGuardian
                / !ossim_plugin_myILO.md
            
            
              Last active
              July 3, 2019 13:19
            
              
                OSSIM plugin for HP iLO
              
          
    This is the plugin for parsing HP iLO v. 4 login/logout events on AlienVault OSSIM