etc/rules/pix_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/pix_rules.xml, 2011/11/01 dcid Exp $
   2
   3   -  Official PIX rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <!-- For more info:
  18   - http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/syslog/logsev.htm
  19   - http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_61/config/sysmgmt.htm
  20   -->
  21
  22
  23 <group name="syslog,pix,">
  24   <rule id="4300" level="0">
  25     <decoded_as>pix</decoded_as>
  26     <description>Grouping of PIX rules</description>
  27   </rule>
  28
  29   <rule id="4310" level="5">
  30     <if_sid>4300</if_sid>
  31     <id>^1-</id>
  32     <description>PIX alert message.</description>
  33   </rule>
  34
  35   <rule id="4311" level="5">
  36     <if_sid>4300</if_sid>
  37     <id>^2-</id>
  38     <description>PIX critical message.</description>
  39   </rule>
  40
  41   <rule id="4312" level="4">
  42     <if_sid>4300</if_sid>
  43     <id>^3-</id>
  44     <description>PIX error message.</description>
  45   </rule>
  46
  47   <rule id="4313" level="4">
  48     <if_sid>4300</if_sid>
  49     <id>^4-</id>
  50     <description>PIX warning message.</description>
  51   </rule>
  52
  53   <rule id="4314" level="0">
  54     <if_sid>4300</if_sid>
  55     <id>^5-|^6-</id>
  56     <description>PIX notification/informational message.</description>
  57   </rule>
  58
  59   <rule id="4315" level="0">
  60     <if_sid>4300</if_sid>
  61     <id>^7-</id>
  62     <description>PIX debug message.</description>
  63   </rule>
  64
  65   <rule id="4321" level="9">
  66     <if_sid>4314</if_sid>
  67     <id>^6-605004</id>
  68     <description>Failed login attempt at the PIX firewall.</description>
  69     <group>authentication_failed,</group>
  70   </rule>
  71
  72   <rule id="4322" level="3">
  73     <if_sid>4314</if_sid>
  74     <id>^5-502103</id>
  75     <description>Privilege changed in the PIX firewall.</description>
  76   </rule>
  77
  78   <rule id="4323" level="3">
  79     <if_sid>4314</if_sid>
  80     <id>^6-605005</id>
  81     <description>Successful login to the PIX firewall.</description>
  82     <group>authentication_success,</group>
  83   </rule>
  84
  85   <rule id="4324" level="9">
  86     <if_sid>4314</if_sid>
  87     <id>^6-308001</id>
  88     <description>Password mismatch while running 'enable' </description>
  89     <description>on the PIX.</description>
  90     <group>authentication_failed,</group>
  91   </rule>
  92
  93   <rule id="4325" level="8">
  94     <if_sid>4313</if_sid>
  95     <id>^4-405001</id>
  96     <description>ARP collision detected by the PIX.</description>
  97   </rule>
  98
  99   <rule id="4326" level="8">
 100     <if_sid>4313</if_sid>
 101     <id>^4-401004</id>
 102     <description>Attempt to connect from a blocked (shunned) IP.</description>
 103     <group>access_denied,</group>
 104   </rule>
 105
 106   <rule id="4327" level="8">
 107     <if_sid>4313</if_sid>
 108     <id>^4-710004</id>
 109     <description>Connection limit exceeded.</description>
 110   </rule>
 111
 112   <rule id="4330" level="8">
 113     <if_sid>4310</if_sid>
 114     <id>^1-106021|^1-106022</id>
 115     <description>Attack in progress detected by the PIX.</description>
 116   </rule>
 117
 118   <rule id="4331" level="8">
 119     <if_sid>4311</if_sid>
 120     <id>^2-106012|^2-106017|^2-106020</id>
 121     <description>Attack in progress detected by the PIX.</description>
 122   </rule>
 123
 124   <rule id="4332" level="8">
 125     <if_sid>4313</if_sid>
 126     <id>^4-4000</id>
 127     <description>Attack in progress detected by the PIX.</description>
 128   </rule>
 129
 130   <!-- Grouping of attack in progress messages. The three above
 131     -  will never be alerted, but this one instead.
 132     -->
 133   <rule id="4333" level="8">
 134     <if_sid>4330, 4331, 4332</if_sid>
 135     <description>Attack in progress detected by the PIX.</description>
 136     <group>ids,</group>
 137   </rule>
 138
 139   <rule id="4334" level="5">
 140     <if_sid>4314</if_sid>
 141     <id>^6-113005</id>
 142     <description>AAA (VPN) authentication failed.</description>
 143     <group>authentication_failed,</group>
 144   </rule>
 145
 146   <rule id="4335" level="3">
 147     <if_sid>4314</if_sid>
 148     <id>^6-113004</id>
 149     <description>AAA (VPN) authentication successful.</description>
 150     <group>authentication_success,</group>
 151   </rule>
 152
 153   <rule id="4336" level="8">
 154     <if_sid>4314</if_sid>
 155     <id>^6-113006</id>
 156     <description>AAA (VPN) user locked out.</description>
 157     <group>authentication_failed,</group>
 158   </rule>
 159
 160   <rule id="4337" level="8">
 161     <if_sid>4312</if_sid>
 162     <id>^3-201008</id>
 163     <description>The PIX is disallowing new connections.</description>
 164     <group>service_availability,</group>
 165   </rule>
 166
 167   <rule id="4338" level="8">
 168     <if_sid>4310</if_sid>
 169     <id>^1-105005|^1-105009|^1-105043</id>
 170     <match>Failed|Lost Failover</match>
 171     <description>Firewall failover pair communication problem.</description>
 172     <group>service_availability,</group>
 173   </rule>
 174
 175   <rule id="4339" level="8">
 176     <if_sid>4314</if_sid>
 177     <id>^5-111003</id>
 178     <description>Firewall configuration deleted.</description>
 179     <group>config_changed,</group>
 180   </rule>
 181
 182   <rule id="4340" level="8">
 183     <if_sid>4314</if_sid>
 184     <id>^5-111005|^5-111004|^5-111002|^5-111007</id>
 185     <description>Firewall configuration changed.</description>
 186     <group>config_changed,</group>
 187   </rule>
 188
 189   <rule id="4341" level="3">
 190     <if_sid>4314</if_sid>
 191     <id>^5-111008|^7-111009</id>
 192     <description>Firewall command executed (for accounting only).</description>
 193   </rule>
 194
 195   <rule id="4342" level="8">
 196     <if_sid>4314</if_sid>
 197     <id>^5-502101|^5-502102</id>
 198     <description>User created or modified on the Firewall.</description>
 199     <group>adduser,account_changed,</group>
 200   </rule>
 201
 202   <rule id="4380" level="10" frequency="6" timeframe="360">
 203     <if_matched_sid>4310</if_matched_sid>
 204     <description>Multiple PIX alert messages.</description>
 205   </rule>
 206
 207   <rule id="4381" level="10" frequency="6" timeframe="360">
 208     <if_matched_sid>4311</if_matched_sid>
 209     <description>Multiple PIX critical messages.</description>
 210   </rule>
 211
 212   <rule id="4382" level="10" frequency="8" timeframe="120">
 213     <if_matched_sid>4312</if_matched_sid>
 214     <description>Multiple PIX error messages.</description>
 215     <group>system_error,</group>
 216   </rule>
 217
 218   <rule id="4383" level="10" frequency="8" timeframe="120">
 219     <if_matched_sid>4313</if_matched_sid>
 220     <description>Multiple PIX warning messages.</description>
 221   </rule>
 222
 223   <rule id="4385" level="10" frequency="8" timeframe="240" ignore="90">
 224     <if_matched_sid>4333</if_matched_sid>
 225     <same_source_ip />
 226     <description>Multiple attack in progress messages.</description>
 227   </rule>
 228
 229   <rule id="4386" level="10" frequency="8" timeframe="240">
 230     <if_matched_sid>4334</if_matched_sid>
 231     <description>Multiple AAA (VPN) authentication failures.</description>
 232     <group>authentication_failures,</group>
 233   </rule>
 234 </group> <!-- SYSLOG,PIX -->
 235
 236
 237 <!-- EOF -->