etc/rules/netscreenfw_rules.xml

   1 <!-- @(#) $Id: netscreenfw_rules.xml,v 1.14 2009/07/31 18:06:10 dcid Exp $
   2   -  Official Netscreen Firewall rules for OSSEC.
   3   -
   4   -  Copyright (C) 2009 Trend Micro Inc.
   5   -  All rights reserved.
   6   -
   7   -  This program is a free software; you can redistribute it
   8   -  and/or modify it under the terms of the GNU General Public
   9   -  License (version 3) as published by the FSF - Free Software
  10   -  Foundation.
  11   -
  12   -  License details: http://www.ossec.net/en/licensing.html
  13   -->
  14
  15
  16 <group name="netscreenfw,">
  17   <rule id="4500" level="0">
  18     <decoded_as>netscreenfw</decoded_as>
  19     <description>Grouping for the Netscreen Firewall rules</description>
  20   </rule>
  21
  22   <rule id="4501" level="3">
  23     <if_sid>4500</if_sid>
  24     <action>notification</action>
  25     <description>Netscreen notification message.</description>
  26   </rule>
  27
  28   <rule id="4502" level="4">
  29     <if_sid>4500</if_sid>
  30     <action>warning</action>
  31     <description>Netscreen warning message.</description>
  32   </rule>
  33
  34   <rule id="4503" level="5">
  35     <if_sid>4500</if_sid>
  36     <action>critical</action>
  37     <description>Netscreen critical/alert message.</description>
  38   </rule>
  39
  40   <rule id="4513" level="5">
  41     <if_sid>4500</if_sid>
  42     <action>alert</action>
  43     <description>Netscreen critical/alert message.</description>
  44   </rule>
  45
  46   <rule id="4504" level="5">
  47     <if_sid>4500</if_sid>
  48     <action>information</action>
  49     <description>Netscreen informational message.</description>
  50   </rule>
  51
  52   <!-- ns204: NetScreen device_id=ns204 [Root]system-critical-00027:
  53      - Configuration Erase sequence accepted -->
  54   <rule id="4505" level="11">
  55     <if_sid>4503</if_sid>
  56     <id>^00027</id>
  57     <description>Netscreen Erase sequence started.</description>
  58     <group>service_availability,</group>
  59   </rule>
  60
  61   <rule id="4506" level="8">
  62     <if_sid>4501</if_sid>
  63     <id>^00002</id>
  64     <description>Successfull admin login to the Netscreen firewall</description>
  65     <group>authentication_success,</group>
  66   </rule>
  67
  68   <rule id="4507" level="8">
  69     <if_sid>4502</if_sid>
  70     <id>^00515</id>
  71     <description>Successfull admin login to the Netscreen firewall</description>
  72     <group>authentication_success,</group>
  73   </rule>
  74
  75   <rule id="4508" level="8">
  76     <if_sid>4501</if_sid>
  77     <id>^00018</id>
  78     <description>Firewall policy changed.</description>
  79     <group>config_changed,</group>
  80   </rule>
  81
  82   <rule id="4509" level="8">
  83     <if_sid>4504</if_sid>
  84     <id>^00767</id>
  85     <description>Firewall configuration changed.</description>
  86     <group>config_changed,</group>
  87   </rule>
  88
  89   <rule id="4550" level="10" frequency="4" timeframe="180" ignore="60">
  90     <if_matched_sid>4503</if_matched_sid>
  91     <same_source_ip />
  92     <description>Multiple Netscreen critical messages from </description>
  93     <description>same source IP.</description>
  94   </rule>
  95
  96   <rule id="4551" level="10" frequency="6" timeframe="180" ignore="60">
  97     <if_matched_sid>4503</if_matched_sid>
  98     <description>Multiple Netscreen critical messages.</description>
  99   </rule>
 100
 101   <rule id="4552" level="10" frequency="4" timeframe="180" ignore="60">
 102     <if_matched_sid>4513</if_matched_sid>
 103     <same_source_ip />
 104     <description>Multiple Netscreen alert messages from </description>
 105     <description>same source IP.</description>
 106   </rule>
 107
 108   <rule id="4553" level="10" frequency="8" timeframe="100" ignore="60">
 109     <if_matched_sid>4513</if_matched_sid>
 110     <description>Multiple Netscreen alert messages.</description>
 111   </rule>
 112 </group> <!-- SYSLOG,NETSCREENFW -->