0
Alienvault OSSIM: Alert wenn Domänenadmin-Gruppe verändert wird
Hallo zusammen,
Freitagsfrage \o/
ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).
Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.
Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.
Ein paar Tipps oder brauchbare Anleitungen wären Super
Danke!
Mfg Sea
Freitagsfrage \o/
ich beschäftige mich zZ mit OSSIM und versuche zu verstehen, wie ich hier eigene Alerts bauen kann.
z.B würde ich gerne spezielle AD-Gruppen überwachen, ob sich was ändert, so wie lokale Gruppen (Admins vor allem).
Das Auditing auf den Clients/DCs ist aktiviert und OSSIM bekommt die entsprechenden Events auch. Am "asset" sehe ich auch, das er das anhand der vorgefertigten rules auch sieht und protokolliert.
Eine Meldung in Form eines Alerts oÄ erhalte ich darüber allerdings leider nicht.
Also will ich das selbst basteln, finde aber keine vernünftigen Informationen wie das gehen soll.
Hat hier jemand Erfahrung mit OSSIM und kann mir einen Tipp geben?
Ich bin leicht irritiert über die Funktionalität des Systems. Scheinbar kann man mit den "Correlation Directives" das ganze machen, aber wie ich hier drin mein Event finden soll, erschliesst sich mir nicht.
Die IDs die hier angezeigt werden sind ja nicht die Event-IDs aus Windows, sondern kommen aus den "rules" (oder?). Aber auch da kann ich nicht suchen. Die Suche erfolgt hier nur auf den Beschreibungen des Events. Wie die allerdings heisen, kann ich ja nicht wissen. Von der Beschreibung her kann da vieles passen.
Ein paar Tipps oder brauchbare Anleitungen wären Super
Danke!
Mfg Sea
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 472518
Url: https://administrator.de/forum/alienvault-ossim-alert-wenn-domaenenadmin-gruppe-veraendert-wird-472518.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
