Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Alienvault OSSIM: Alert wenn Domänenadmin-Gruppe verändert wird

Mitglied: SeaStorm

SeaStorm (Level 3) - Jetzt verbinden

12.07.2019 um 11:12 Uhr, 604 Aufrufe

Hallo zusammen,

Freitagsfrage \o/


ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).

Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.

Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.

Ein paar Tipps oder brauchbare Anleitungen wären Super

Danke!

Mfg Sea
Ähnliche Inhalte
E-Mail

Postfix sender bbc nicht mit Header X-Amavis-Alert

Frage von Otto1699E-Mail

Hi, ich habe einen postfix der zu Archivzwecken alle mails per bcc versendet. Dazu habe ich in der main.cf ...

Webbrowser

Umleitung von IP-Adresse mit unbekanntem Verursacher und Ziel. (NETGEAR Security Alert)

Frage von ShakotaiWebbrowser13 Kommentare

Guten Morgen, Vielleicht weiß jemand von euch Rat? Vor einiger Zeit habe ich die Benachrichtigungsfunktion bei meinem alten Netgear ...

Neue Wissensbeiträge
Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 1 StundeExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 22 StundenViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit16 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs12 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Windows 10
Bildschirmschoner startet zu früh, trotz korrekter GPO
Frage von toddehbWindows 1011 Kommentare

Hi, habe für einen Kollegen gerade ein neues Dell 7410 Laptop eingerichtet. Wie alle anderen Nutzer auch, bekommt er ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...