doc/rules.txt

   1 OSSEC HIDS v0.9
   2 Copyright (C) 2009 Trend Micro Inc.
   3
   4
   5
   6 --- Rules Classification ---
   7
   8
   9 -- Classification --
  10
  11 The rules are classified in multiple levels. From the lowest (00) to the maximum
  12 level 16. Some levels are not used right now. Other levels can be added between
  13 them or after them.
  14
  15 **The rules will be read from the highest to the lowest level. **
  16
  17 00 - Ignored - No action taken. Used to avoid false positives. These rules
  18      are scanned before all the others. They include events with no
  19      security relevance.
  20 01 - None -
  21 02 - System low priority notification - System notification or
  22      status messages. They have no security relevance.
  23 03 - Successful/Authorized events - They include successful login attempts,
  24      firewall allow events, etc.
  25 04 - System low priority error - Errors related to bad configurations or
  26      unused devices/applications. They have no security relevance and
  27      are usually caused by default installations or software testing.
  28 05 - User generated error - They include missed passwords, denied
  29      actions, etc. By itself they have no security relevance.
  30 06 - Low relevance attack - They indicate a worm or a virus that have
  31      no affect to the system (like code red for apache servers, etc).
  32      They also include frequently IDS events and frequently errors.
  33 07 - "Bad word" matching. They include words like "bad", "error", etc.
  34      These events are most of the time unclassified and may have
  35      some security relevance.
  36 08 - First time seen - Include first time seen events. First time
  37      an IDS event is fired or the first time an user logged in.
  38      If you just started using OSSEC HIDS these messages will
  39      probably be frequently. After a while they should go away.
  40      It also includes security relevant actions (like the starting
  41      of a sniffer or something like that).
  42 09 - Error from invalid source - Include attempts to login as
  43      an unknown user or from an invalid source. May have security
  44      relevance (specially if repeated). They also include errors
  45      regarding the "admin" (root) account.
  46 10 - Multiple user generated errors - They include multiple bad
  47      passwords, multiple failed logins, etc. They may indicate an
  48      attack or may just be that a user just forgot his credencials.
  49 11 - Integrity checking warning - They include messages regarding
  50      the modification of binaries or the presence of rootkits (by
  51      rootcheck). If you just modified your system configuration
  52      you should be fine regarding the "syscheck" messages. They
  53      may indicate a successful attack. Also included IDS events
  54      that will be ignored (high number of repetitions).
  55 12 - High importancy event - They include error or warning messages
  56      from the system, kernel, etc. They may indicate an attack against
  57      a specific application.
  58 13 - Unusual error (high importance) -  Most of the times it matches a
  59      common attack pattern.
  60 14 - High importance security event. Most of the times done with
  61      correlation and it indicates an attack.
  62 15 - Severe attack - No chances of false positives. Immediate
  63      attention is necessary.
  64
  65
  66 == Rules Group ==
  67
  68 -We can specify groups for specific rules. It's used for active
  69 response reasons and for correlation.
  70 - We currently use the following groups:
  71
  72 - invalid_login
  73 - authentication_success
  74 - authentication_failed
  75 - connection_attempt
  76 - attacks
  77 - adduser
  78 - sshd
  79 - ids
  80 - firewall
  81 - squid
  82 - apache
  83 - syslog
  84
  85
  86
  87 == Rules Config ==
  88
  89 http://www.ossec.net/en/manual.html#rules
  90