projects / ossec-hids.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Imported Upstream version 2.7
[ossec-hids.git] / etc / rules / ossec_rules.xml
1 <!-- @(#) $Id: ./etc/rules/ossec_rules.xml, 2012/03/30 dcid Exp $
2
3   -  Official ossec rules for OSSEC.
4   -
5   -  Copyright (C) 2009 Trend Micro Inc.
6   -  All rights reserved.
7   -
8   -  This program is a free software; you can redistribute it
9   -  and/or modify it under the terms of the GNU General Public
10   -  License (version 2) as published by the FSF - Free Software
11   -  Foundation.
12   -
13   -  License details: http://www.ossec.net/en/licensing.html
14   -->
15
16
17
18 <group name="ossec,">
19   <rule id="500" level="0">
20     <category>ossec</category>
21     <decoded_as>ossec</decoded_as>
22     <description>Grouping of ossec rules.</description>
23   </rule>
24   
25   <rule id="501" level="3">
26     <if_sid>500</if_sid>
27     <if_fts />
28     <options>alert_by_email</options>
29     <match>Agent started</match>
30     <description>New ossec agent connected.</description>
31   </rule>
32   
33   <rule id="502" level="3">
34     <if_sid>500</if_sid>
35     <options>alert_by_email</options>
36     <match>Ossec started</match>
37     <description>Ossec server started.</description>
38   </rule>
39
40   <rule id="503" level="3">
41     <if_sid>500</if_sid>
42     <options>alert_by_email</options>
43     <match>Agent started</match>
44     <description>Ossec agent started.</description>
45   </rule>
46
47   <rule id="504" level="3">
48     <if_sid>500</if_sid>
49     <options>alert_by_email</options>
50     <match>Agent disconnected</match>
51     <description>Ossec agent disconnected.</description>
52   </rule>
53   
54   <rule id="509" level="0">
55     <category>ossec</category>
56     <decoded_as>rootcheck</decoded_as>
57     <description>Rootcheck event.</description>
58     <group>rootcheck,</group>
59   </rule>
60
61   <rule id="510" level="7">
62     <if_sid>509</if_sid>
63     <description>Host-based anomaly detection event (rootcheck).</description>
64     <group>rootcheck,</group>
65     <if_fts />
66   </rule>
67
68   <rule id="511" level="0">
69     <if_sid>510</if_sid>
70     <match>^NTFS Alternate data stream found</match>
71     <regex>Thumbs.db:encryptable'.|:Zone.Identifier'.|</regex>
72     <regex>Exchsrvr/Mailroot/vsi</regex>
73     <description>Ignored common NTFS ADS entries.</description>
74     <group>rootcheck,</group>
75   </rule>
76
77   <rule id="512" level="3">
78     <if_sid>510</if_sid>
79     <match>^Windows Audit</match>
80     <description>Windows Audit event.</description>
81     <group>rootcheck,</group>
82   </rule>
83   
84   <rule id="513" level="9">
85     <if_sid>510</if_sid>
86     <match>^Windows Malware</match>
87     <description>Windows malware detected.</description>
88     <group>rootcheck,</group>
89   </rule>
90   
91   <rule id="514" level="2">
92     <if_sid>510</if_sid>
93     <match>^Application Found</match>
94     <description>Windows application monitor event.</description>
95     <group>rootcheck,</group>
96   </rule>
97
98   <rule id="515" level="0">
99     <if_sid>510</if_sid>
100     <match>^Starting rootcheck scan|^Ending rootcheck scan.|</match>
101     <match>^Starting syscheck scan|^Ending syscheck scan.</match>
102     <description>Ignoring rootcheck/syscheck scan messages.</description>
103     <group>rootcheck,syscheck</group>
104   </rule>
105
106   <rule id="516" level="3">
107     <if_sid>510</if_sid>
108     <match>^System Audit</match>
109     <description>System Audit event.</description>
110     <group>rootcheck,</group>
111   </rule>
112   
113   <rule id="518" level="9">
114     <if_sid>514</if_sid>
115     <match>Adware|Spyware</match>
116     <description>Windows Adware/Spyware application found.</description>
117     <group>rootcheck,</group>
118   </rule>
119
120   <rule id="519" level="7">
121     <if_sid>516</if_sid>
122     <match>^System Audit: Web vulnerability</match>
123     <description>System Audit: Vulnerable web application found.</description>
124     <group>rootcheck,</group>
125   </rule>
126
127   <!-- Process monitoring rules -->
128   <rule id="530" level="0">
129     <if_sid>500</if_sid>
130     <match>^ossec: output: </match>
131     <description>OSSEC process monitoring rules.</description>
132     <group>process_monitor,</group>
133   </rule>
134
135   <rule id="531" level="7" ignore="7200">
136     <if_sid>530</if_sid>
137     <match>ossec: output: 'df -h': /dev/</match>
138     <regex>100%</regex>
139     <description>Partition usage reached 100% (disk space monitor).</description> 
140     <group>low_diskspace,</group>
141   </rule>
142
143  <rule id="532" level="0">
144     <if_sid>531</if_sid>
145     <match>cdrom|/media|usb|/mount|floppy|dvd</match>
146     <description>Ignoring external medias.</description> 
147   </rule>
148
149   <rule id="533" level="7">
150     <if_sid>530</if_sid>
151     <match>ossec: output: 'netstat -tan</match>
152     <check_diff />
153     <description>Listened ports status (netstat) changed (new port opened or closed).</description> 
154   </rule>
155
156   <rule id="534" level="1">
157     <if_sid>530</if_sid>
158     <match>ossec: output: 'w'</match>
159     <check_diff />
160     <options>no_log</options>
161     <description>List of logged in users. It will not be alerted by default.</description> 
162   </rule>
163
164   <rule id="535" level="1">
165     <if_sid>530</if_sid>
166     <match>ossec: output: 'last -n </match>
167     <check_diff />
168     <options>no_log</options>
169     <description>List of the last logged in users.</description> 
170   </rule>
171
172   <rule id="550" level="7">
173     <category>ossec</category>
174     <decoded_as>syscheck_integrity_changed</decoded_as>
175     <description>Integrity checksum changed.</description>
176     <group>syscheck,</group>
177   </rule>
178   
179   <rule id="551" level="7">
180     <category>ossec</category>
181     <decoded_as>syscheck_integrity_changed_2nd</decoded_as>
182     <description>Integrity checksum changed again (2nd time).</description>
183     <group>syscheck,</group>
184   </rule>
185   
186   <rule id="552" level="7">
187     <category>ossec</category>
188     <decoded_as>syscheck_integrity_changed_3rd</decoded_as>
189     <description>Integrity checksum changed again (3rd time).</description>
190     <group>syscheck,</group>
191   </rule>
192   
193   <rule id="553" level="7">
194     <category>ossec</category>
195     <decoded_as>syscheck_deleted</decoded_as>
196     <description>File deleted. Unable to retrieve checksum.</description>
197     <group>syscheck,</group>
198   </rule>
199   
200   <rule id="554" level="0">
201     <category>ossec</category>
202     <decoded_as>syscheck_new_entry</decoded_as>
203     <description>File added to the system.</description>
204     <group>syscheck,</group>
205   </rule>
206
207   <rule id="555" level="7">
208     <if_sid>500</if_sid>
209     <match>^ossec: agentless: </match>
210     <description>Integrity checksum for agentless device changed.</description>
211     <group>syscheck,agentless</group>
212   </rule>
213
214   <!-- Hostinfo rules -->  
215   <rule id="580" level="8">
216     <category>ossec</category>
217     <decoded_as>hostinfo_modified</decoded_as>
218     <description>Host information changed.</description>
219     <group>hostinfo,</group>
220   </rule>
221   
222   <rule id="581" level="8">
223     <category>ossec</category>
224     <decoded_as>hostinfo_new</decoded_as>
225     <description>Host information added.</description>
226     <group>hostinfo,</group>
227   </rule>
228
229
230   <!-- File rotation/reducded rules -->
231   <rule id="591" level="3">
232     <if_sid>500</if_sid>
233     <match>^ossec: File rotated </match>
234     <description>Log file rotated.</description>
235   </rule>
236   
237   <rule id="592" level="8">
238     <if_sid>500</if_sid>
239     <match>^ossec: File size reduced</match>
240     <description>Log file size reduced.</description>
241     <group>attacks,</group>
242   </rule>
243
244   <rule id="593" level="9">
245     <if_sid>500</if_sid>
246     <match>^ossec: Event log cleared</match>
247     <description>Microsoft Event log cleared.</description>
248     <group>logs_cleared,</group>
249   </rule>
250
251   <rule id="594" level="5">
252     <category>ossec</category>
253     <if_sid>550</if_sid>
254     <hostname>syscheck-registry</hostname>
255     <group>syscheck,</group>
256     <description>Registry Integrity Checksum Changed</description>
257   </rule>
258
259   <rule id="595" level="5">
260     <category>ossec</category>
261     <if_sid>551</if_sid>
262     <hostname>syscheck-registry</hostname>
263     <group>syscheck,</group>
264     <description>Registry Integrity Checksum Changed Again (2nd time)</description>
265   </rule>
266
267   <rule id="596" level="5">
268     <category>ossec</category>
269     <if_sid>552</if_sid>
270     <hostname>syscheck-registry</hostname>
271     <group>syscheck,</group>
272     <description>Registry Integrity Checksum Changed Again (3rd time)</description>
273   </rule>
274
275   <rule id="597" level="5">
276     <category>ossec</category>
277     <if_sid>553</if_sid>
278     <hostname>syscheck-registry</hostname>
279     <group>syscheck,</group>
280     <description>Registry Entry Deleted. Unable to Retrieve Checksum</description>
281   </rule>
282
283   <rule id="598" level="5">
284     <category>ossec</category>
285     <if_sid>554</if_sid>
286     <hostname>syscheck-registry</hostname>
287     <group>syscheck,</group>
288     <description>Registry Entry Added to the System</description>
289   </rule>
290
291 <!-- active response rules
292 Example:
293 Sat May  7 03:27:57 CDT 2011 /var/ossec/active-response/bin/firewall-drop.sh delete - 172.16.0.1 1304756247.60385 31151
294 -->
295
296 <rule id="600" level="0">
297     <decoded_as>ar_log</decoded_as>
298     <description>Active Response Messages Grouped</description>
299     <group>active_response,</group>
300   </rule>
301
302   <rule id="601" level="3">
303     <if_sid>600</if_sid>
304     <action>firewall-drop.sh</action>
305     <status>add</status>
306     <description>Host Blocked by firewall-drop.sh Active Response</description>
307     <group>active_response,</group>
308   </rule>
309
310   <rule id="602" level="3">
311     <if_sid>600</if_sid>
312     <action>firewall-drop.sh</action>
313     <status>delete</status>
314     <description>Host Unblocked by firewall-drop.sh Active Response</description>
315     <group>active_response,</group>
316   </rule>
317
318   <rule id="603" level="3">
319     <if_sid>600</if_sid>
320     <action>host-deny.sh</action>
321     <status>add</status>
322     <description>Host Blocked by host-deny.sh Active Response</description>
323     <group>active_response,</group>
324   </rule>
325
326   <rule id="604" level="3">
327     <if_sid>600</if_sid>
328     <action>host-deny.sh</action>
329     <status>delete</status>
330     <description>Host Unblocked by host-deny.sh Active Response</description>
331     <group>active_response,</group>
332   </rule>
333
334   <rule id="605" level="3">
335     <if_sid>600</if_sid>
336     <action>route-null.sh</action>
337     <status>add</status>
338     <description>Host Blocked by route-null.sh Active Response</description>
339     <group>active_response,</group>
340   </rule>
341
342   <rule id="606" level="3">
343     <if_sid>600</if_sid>
344     <action>route-null.sh</action>
345     <status>delete</status>
346     <description>Host Unblocked by route-null.sh Active Response</description>
347     <group>active_response,</group>
348   </rule>
349
350 </group> <!-- OSSEC -->
ossec-hids