etc/rules/hordeimp_rules.xml

   1 <!-- @(#) $Id$
   2   -  Official Horde IMP rules for OSSEC.
   3   -
   4   -  Copyright (C) 2009 Trend Micro Inc.
   5   -  All rights reserved.
   6   -
   7   -  This program is a free software; you can redistribute it
   8   -  and/or modify it under the terms of the GNU General Public
   9   -  License (version 2) as published by the FSF - Free Software
  10   -  Foundation.
  11   -
  12   -  License details: http://www.ossec.net/en/licensing.html
  13   -->
  14
  15
  16 <group name="syslog,hordeimp,">
  17   <rule id="9300" level="0">
  18     <decoded_as>horde_imp</decoded_as>
  19     <description>Grouping for the Horde imp rules.</description>
  20   </rule>
  21
  22   <rule id="9301" level="0">
  23     <if_sid>9300</if_sid>
  24     <match>^[info]</match>
  25     <description>Horde IMP informational message.</description>
  26   </rule>
  27
  28   <rule id="9302" level="3">
  29     <if_sid>9300</if_sid>
  30     <match>^[notice]</match>
  31     <description>Horde IMP notice message.</description>
  32   </rule>
  33
  34   <rule id="9303" level="5">
  35     <if_sid>9300</if_sid>
  36     <match>^[error]</match>
  37     <description>Horde IMP error message.</description>
  38   </rule>
  39
  40   <rule id="9304" level="9" ignore="60">
  41     <if_sid>9300</if_sid>
  42     <match>^[emergency]</match>
  43     <description>Horde IMP emergency message.</description>
  44     <group>service_availability,</group>
  45   </rule>
  46
  47   <rule id="9305" level="3">
  48     <if_sid>9302</if_sid>
  49     <match>Login success for </match>
  50     <description>Horde IMP successful login.</description>
  51     <group>authentication_success,</group>
  52   </rule>
  53
  54   <rule id="9306" level="5">
  55     <if_sid>9303</if_sid>
  56     <match>FAILED LOGIN </match>
  57     <description>Horde IMP Failed login.</description>
  58     <group>authentication_failed,</group>
  59   </rule>
  60
  61   <rule id="9351" level="10" frequency="6" timeframe="120">
  62     <if_matched_sid>9306</if_matched_sid>
  63     <same_source_ip />
  64     <description>Horde brute force (multiple failed logins).</description>
  65     <group>authentication_failures,</group>
  66   </rule>
  67
  68   <rule id="9352" level="10" frequency="4" timeframe="320">
  69     <if_matched_sid>9304</if_matched_sid>
  70     <description>Multiple Horde emergency messages.</description>
  71     <group>service_availability,</group>
  72   </rule>
  73
  74 </group> <!-- SYSLOG,HORDE_IMP -->
  75
  76
  77 <!-- EOF -->