2 Copyright (c) 2004-2006 Daniel B. Cid <daniel.cid@gmail.com>
7 --- Classidicação das regras ---
12 As regras são classificadas em vários niveis, indo do menos (00) para o maior (16).
13 Alguns níveis não estão sendo usados. Você pode adicionar mais entre ou após estes.
15 **As regras serão lidas partindo do menor nivel para o maior. **
17 00 - Ignorado - Não há nehum ação. Usado para evitar falso positivos. Estas regras
18 são escaneadas antes das demias e incluem eventos sem relevância de segurança.
20 02 - Notificação do sistema com baixa prioridade - Notificações do sistema ou mensagens
21 de status. Estas regras não posseum relevância de segurança.
22 03 - Eventos de sucesso/Autorizado - Estes incluem tentativas de logins com sucesso,
23 eventos permitidos pelo, etc.
24 04 - Erros de sistema com baixa prioridade - Erros relatados por má configuração ou
25 devices/aplicações não usadas. Estas não apresentam relevância de segurança e
26 normalmente são causadas por instalações padrões ou software em testes.
27 05 - Erros gerados pelo usuário - Este incluem senhas erradas, ações não permitidas,
28 etc, mas não tem relevância de segurança.
29 06 - Ataque de baixa relevância - Estas indicam que um worm ou vírus que não afetam
30 o sistema (como o code red para servidores apache, etc). Incluem também eventos
31 de IDS ou erros frequentes.
32 07 - Combinação de "Bad word". Estas incluem palavras como "bad", "error", etc. Estes
33 eventos normalmente não são classificados e possuem alguma relevância de segurança.
34 08 - Visto pela primeira vez - Incluem eventos vistos pela primeira vez, primeira vez
35 de ventos de IDS ou primeira vez que um usuário loga. Se você estiver começando a
36 usar o OSSEC HIDS, estas mensagens serão frequêntes mas depois devem diminuir.
37 Estas incluem também ações de segurança relevantes (como iniciar um sniffer ou
39 09 - Erro de fonte inválida - Inclue tentativas de login com um usuário desconhecido
40 ou de uma fonte inválida. Pode haver relevância de segurança (princilmente se ocorrer
41 repetidamente). Incluem também erros a respeito do usuário "root".
42 10 - Erros gerador por vários usuários - Estas incluem vários bad passwords,
43 vários logins falhos, etc. Podem indicar um ataque ou um usuário que esqueceu
45 11 - Advertência de checagem de integridade -Estas incluem mensagens a respeito da
46 modificação de binários ou a presença de rootkits (pelo rootcheck). Se você
47 houver modificado apenas a configuração do seu sistema, deve ficar atento as mensagens
48 do "syscheck". Pode indicar um ataque com sucesso.
49 12 - Evento de alta importância - Estas incluem erros ou avisos vindos do sistema, kernel,
50 etc. Podem indicar um ataque a uma aplicação específica.
51 13 - Erros incomuns (alta importância) - A maioria das vezes mostra um ataque padrão.
52 14 - Evendo de segurança de alta importância - Na maioria das vezes são eventos de
53 corelação e indicam um ataque.
54 15 - Ataque severo - Não há chanses de falso positivo. É necessária atenção imediata.
57 == Grupos de regras ==
59 -Nós podemos especificar grupos para regras específicas. Isto é usado para
60 razões de resposta ativa ou para corelação.
63 == Configuração das regras ==
65 http://www.ossec.net/en/manual.html#rules