etc/rules/symantec-av_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/symantec-av_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Official Symantec AV rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <!-- For more info:
  18   - http://www.ossec.net/wiki/index.php/Symantec_Antivirus
  19   - Data submited by:
  20   -->
  21
  22
  23 <group name="symantec,">
  24   <rule id="7300" level="0">
  25     <decoded_as>symantec-av</decoded_as>
  26     <description>Grouping of Symantec AV rules.</description>
  27   </rule>
  28
  29   <rule id="7301" level="0">
  30     <category>windows</category>
  31     <extra_data>^Symantec AntiVirus</extra_data>
  32     <description>Grouping of Symantec AV rules from eventlog.</description>
  33   </rule>
  34
  35   <rule id="7310" level="9">
  36     <if_sid>7300, 7301</if_sid>
  37     <id>^5$|^17$</id>
  38     <group>virus</group>
  39     <description>Virus detected.</description>
  40   </rule>
  41
  42   <rule id="7320" level="3">
  43     <if_sid>7300, 7301</if_sid>
  44     <id>^2$|^3$|^4$|^13$</id>
  45     <description>Virus scan updated,started or stopped.</description>
  46   </rule>
  47
  48 </group> <!-- symantec -->
  49
  50
  51 <!-- EOF -->