0
Alienvault OSSIM: Alert wenn Domänenadmin-Gruppe verändert wird
Hallo zusammen,
Freitagsfrage \o/
ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).
Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.
Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.
Ein paar Tipps oder brauchbare Anleitungen wären Super
Danke!
Mfg Sea
Freitagsfrage \o/
ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).
Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.
Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.
Ein paar Tipps oder brauchbare Anleitungen wären Super
Danke!
Mfg Sea
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 472518
Url: https://administrator.de/contentid/472518
Printed on: April 23, 2024 at 15:04 o'clock
