doc/pl/rules.txt

   1 OSSEC HIDS v0.7
   2 Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
   3                                         <dcid@ossec.net>
   4
   5
   6
   7 --- Klasyfikacja reguł ---
   8
   9
  10 -- Klasyfikacja --
  11
  12 Reguły są podzielone na 16 poziomów. Niektóre poziomy są aktualnie nie używane.
  13 Inne mogą być dodane pomiędzy nimi lub za.
  14
  15 **Reguły są czytane od najwyższego do najniższego poziomu. **
  16
  17 00 - Ignorowane - Nie jest podejmowana żadna akcja. Używane aby uniknąć
  18      fałszywych ataków. Te reguły są przetwarzane przed wszystkimi pozostałymi.
  19      Zawierają zdarzenia nie związane z bezpieczeństwem.
  20 01 - Brak -
  21 02 - Niski priorytet powiadomień systemowych - Powiadomienia systemowe lub
  22      wiadomości statusu. Nie związane z bezpieczeństwem.
  23 03 - Pomyślne/Autoryzowane akcje - Zawiera pomyślne próby logowania, dozwolone
  24      akcje firewall'a, itd.
  25 04 - Niski priorytet błędów systemowych - Błędy związane ze złą konfiguracją lub
  26      nieużywanymi urządzeniami/aplikacjami. Nie są związane z bezpieczeństwem,
  27      zazwyczaj są powodowane poprzez instalacje lub testowanie aplikacji.
  28 05 - Błędy wygenerowane przez użytkownika - Zawierają błędne logowania,
  29      zabronione akcje, itp. Nie mają wpływu na bezpieczeństwo, ponieważ już są
  30      blokowane.
  31 06 - Atak o niskim znaczeniu - Powodowane przez robaki lub wirusy które nie mają
  32      wpływu na system (takie jak code red dla serwera apache, itp). Zawierają
  33      także często akcje IDS oraz błędy.
  34 07 - Dopasowanie *bad word* - Zawierają słowa "bad', "error", itp. W większości
  35      niesklasyfikowane akcje, które mogą mieć wpływ na bezpieczeństwo.
  36 08 - Widziane poraz pierwszy - Zawierają akcje widziane poraz pierwszy. Np.
  37      pierwszy raz jest generowana akcja IDS albo pierwsze logowanie użytkownika.
  38      Jeśli dopiero zacząłeś używać OSSEC HIDS, takie akcje najprawsopodobniej
  39      będą występować często. Lecz po jakimś czasie znikną. Zawierają także akcje
  40      związane z bezpieczeństwem (takie jak uruchomienie sniffera lub podobnego
  41      narzędzia).
  42 09 - Błędy z nieznanego źródła - Zawierają próby logowania jako nieznany
  43      użytkownik lub z niepoprawnego źródła. Mogą mieć wpływ na bezpieczeństwo
  44      (szczególnie gdy powtarzane). Obejmują także błędy związane z kontem
  45      "administratora", root'a.
  46 10 - Powtarzalne błędy generowane przez użytkownika - Zawierają wielokrotne
  47      nieudane próby logowania, błędy autoryzacji itp. Mogą oznaczać atak lub
  48      poprostu użytkownik zapomiał swoich danych autoryzujących.
  49 11 - Ostrzeżenie, sprawdzanie spójności - Zawiera wiadomości oznaczające
  50      modyfikacje plików binarnych lub obecność rootkit'ów (generowane przez
  51      rootcheck). Jeśli aktualizowałeś system nie powinieneś się przejmować tymi
  52      ostrzeżeniami. Mogą oznaczać udany atak.
  53 12 - Wysoce istotne zdarzenia - Zawierają wiadomości błądów lub ostrzeżeń od
  54      systemu, jądra, itp. Moga oznaczać atak na konkretną aplikacje.
  55 13 - Niespotykane błędy (wysoce istotne) - W większości dopasowane do wzorców
  56      znanych ataków.
  57 14 - Wysoce istotne zdarzenia bezpieczeństwa - Akcje wykrywane poprzez związki
  58      ze sobą, zazwyczaj oznaczają atak.
  59 15 - Poważny atak - Natychmiastowa reakcja jest potrzebna (nie może być mowy tu
  60      o fałszywym ataku).
  61
  62
  63 == Grupa reguł ==
  64
  65 -Możemy wyspecyfikować grupy dla specyficznych reguł. Jest to używane do
  66  aktywnej ochrony oraz do relacji.
  67 -Aktualnie używamy następujących grup:
  68
  69 - invalid_login
  70 - authentication_success
  71 - authentication_failed
  72 - connection_attempt
  73 - attacks
  74 - adduser
  75 - sshd
  76 - ids
  77 - firewall
  78 - squid
  79 - apache
  80 - syslog
  81
  82
  83 == Konfiguracja reguł ==
  84
  85 http://www.ossec.net/en/manual.html#rules