doc/br/rules.txt

   1 OSSEC HIDS v0.7
   2 Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
   3                                         <dcid@ossec.net>
   4
   5
   6
   7 --- Classidicação das regras ---
   8
   9
  10 -- Classificação --
  11
  12 As regras são classificadas em vários niveis, indo do menos (00) para o maior (16).
  13 Alguns níveis não estão sendo usados. Você pode adicionar mais entre ou após estes.
  14
  15 **As regras serão lidas partindo do menor nivel para o maior. **
  16
  17 00 - Ignorado - Não há nehum ação. Usado para evitar falso positivos. Estas regras
  18      são escaneadas antes das demias e incluem eventos sem relevância de segurança.
  19 01 - Nenhuma -
  20 02 - Notificação do sistema com baixa prioridade - Notificações do sistema ou mensagens
  21      de status. Estas regras não posseum relevância de segurança.
  22 03 - Eventos de sucesso/Autorizado - Estes incluem tentativas de logins com sucesso,
  23      eventos permitidos pelo, etc.
  24 04 - Erros de sistema com baixa prioridade - Erros relatados por má configuração ou
  25      devices/aplicações não usadas. Estas não apresentam relevância de segurança e
  26      normalmente são causadas por instalações padrões ou software em testes.
  27 05 - Erros gerados pelo usuário - Este incluem senhas erradas, ações não permitidas,
  28      etc, mas não tem relevância de segurança.
  29 06 - Ataque de baixa relevância - Estas indicam que um worm ou vírus que não afetam
  30      o sistema (como o code red para servidores apache, etc). Incluem também eventos
  31      de IDS ou erros frequentes.
  32 07 - Combinação de "Bad word". Estas incluem palavras como "bad", "error", etc. Estes
  33      eventos normalmente não são classificados e possuem alguma relevância de segurança.
  34 08 - Visto pela primeira vez - Incluem eventos vistos pela primeira vez, primeira vez
  35      de ventos de IDS ou primeira vez que um usuário loga. Se você estiver começando a
  36      usar o OSSEC HIDS, estas mensagens serão frequêntes mas depois devem diminuir.
  37      Estas incluem também ações de segurança relevantes (como iniciar um sniffer ou
  38      algo do gênero).
  39 09 - Erro de fonte inválida - Inclue tentativas de login com um usuário desconhecido
  40      ou de uma fonte inválida. Pode haver relevância de segurança (princilmente se ocorrer
  41      repetidamente). Incluem também erros a respeito do usuário "root".
  42 10 - Erros gerador por vários usuários - Estas incluem vários bad passwords,
  43      vários logins falhos, etc. Podem indicar um ataque ou um usuário que esqueceu
  44      suas credenciais.
  45 11 - Advertência de checagem de integridade -Estas incluem mensagens a respeito da
  46      modificação de binários ou a presença de rootkits (pelo rootcheck). Se você
  47      houver modificado apenas a configuração do seu sistema, deve ficar atento as mensagens
  48      do "syscheck". Pode indicar um ataque com sucesso.
  49 12 - Evento de alta importância - Estas incluem erros ou avisos vindos do sistema, kernel,
  50      etc. Podem indicar um ataque a uma aplicação específica.
  51 13 - Erros incomuns (alta importância) -  A maioria das vezes mostra um ataque padrão.
  52 14 - Evendo de segurança de alta importância - Na maioria das vezes são eventos de
  53      corelação e indicam um ataque.
  54 15 - Ataque severo - Não há chanses de falso positivo. É necessária atenção imediata.
  55
  56
  57 == Grupos de regras ==
  58
  59 -Nós podemos especificar grupos para regras específicas. Isto é usado para
  60 razões de resposta ativa ou para corelação.
  61
  62
  63 == Configuração das regras ==
  64
  65 http://www.ossec.net/en/manual.html#rules
  66