Alienvault OSSIM: Alert wenn Domänenadmin-Gruppe verändert wird

Mitglied: SeaStorm

SeaStorm (Level 2)

12.07.2019 um 11:12 Uhr, 250 Aufrufe

Hallo zusammen,

Freitagsfrage \o/


ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).

Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.

Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.

Ein paar Tipps oder brauchbare Anleitungen wären Super

Danke!

Mfg Sea
Titel: Alienvault OSSIM: Alert wenn Domänenadmin-Gruppe verändert wird
Content-ID: 472518
Art des Inhalts: Frage
Ausgedruckt am: 25.08.2019 um 00:58:39 Uhr
URL: https://administrator.de/contentid/472518