etc/rules/arpwatch_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/arpwatch_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Official Arpwatch rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <group name="syslog,arpwatch,">
  18   <rule id="7200" level="0" noalert="1">
  19     <decoded_as>arpwatch</decoded_as>
  20     <description>Grouping of the arpwatch rules.</description>
  21   </rule>
  22
  23   <rule id="7201" level="4">
  24     <if_sid>7200</if_sid>
  25     <options>alert_by_email</options>
  26     <if_fts />
  27     <description>Arpwatch new host detected.</description>
  28     <group>new_host,</group>
  29   </rule>
  30
  31   <rule id="7202" level="9">
  32     <if_sid>7200</if_sid>
  33     <match>flip flop </match>
  34     <description>Arpwatch "flip flop" message. </description>
  35     <description>IP address/MAC relation changing too often.</description>
  36     <group>ip_spoof,</group>
  37   </rule>
  38
  39   <rule id="7203" level="3">
  40     <if_sid>7200</if_sid>
  41     <match>reaper: pid </match>
  42     <description>Arpwatch exiting.</description>
  43     <group>service_availability,</group>
  44   </rule>
  45
  46   <rule id="7204" level="9">
  47     <if_sid>7200</if_sid>
  48     <match>changed ethernet address </match>
  49     <description>Changed network interface for ip address.</description>
  50     <group>ip_spoof,</group>
  51   </rule>
  52
  53   <rule id="7205" level="0">
  54     <if_sid>7200</if_sid>
  55     <match>bad interface eth0|exiting|Running as </match>
  56     <description>Arpwatch startup/exiting messages.</description>
  57   </rule>
  58
  59   <rule id="7206" level="0">
  60     <if_sid>7200</if_sid>
  61     <match>sent bad addr len</match>
  62     <description>Arpwatch detected bad address len (ignored).</description>
  63   </rule>
  64
  65   <rule id="7207" level="1">
  66     <if_sid>7200</if_sid>
  67     <match>/dev/bpf0: Permission denied</match>
  68     <description>arpwatch probably run with wrong permissions</description>
  69   </rule>
  70
  71   <rule id="7208" level="1">
  72     <if_sid>7200</if_sid>
  73     <match>reused old ethernet address</match>
  74     <description>An IP has reverted to an old ethernet address.</description>
  75   </rule>
  76
  77   <rule id="7209" level="7">
  78     <if_sid>7200</if_sid>
  79     <match>ethernet mismatch</match>
  80     <description>Possible arpspoofing attempt.</description>
  81     <group>ip_spoof,</group>
  82   </rule>
  83
  84
  85
  86 </group> <!-- SYSLOG,arpwatch, -->
  87
  88
  89 <!-- EOF -->