2 Copyright (c) 2004-2006 Daniel B. Cid <daniel.cid@gmail.com>
7 --- Klasyfikacja reguł ---
12 Reguły są podzielone na 16 poziomów. Niektóre poziomy są aktualnie nie używane.
13 Inne mogą być dodane pomiędzy nimi lub za.
15 **Reguły są czytane od najwyższego do najniższego poziomu. **
17 00 - Ignorowane - Nie jest podejmowana żadna akcja. Używane aby uniknąć
18 fałszywych ataków. Te reguły są przetwarzane przed wszystkimi pozostałymi.
19 Zawierają zdarzenia nie związane z bezpieczeństwem.
21 02 - Niski priorytet powiadomień systemowych - Powiadomienia systemowe lub
22 wiadomości statusu. Nie związane z bezpieczeństwem.
23 03 - Pomyślne/Autoryzowane akcje - Zawiera pomyślne próby logowania, dozwolone
24 akcje firewall'a, itd.
25 04 - Niski priorytet błędów systemowych - Błędy związane ze złą konfiguracją lub
26 nieużywanymi urządzeniami/aplikacjami. Nie są związane z bezpieczeństwem,
27 zazwyczaj są powodowane poprzez instalacje lub testowanie aplikacji.
28 05 - Błędy wygenerowane przez użytkownika - Zawierają błędne logowania,
29 zabronione akcje, itp. Nie mają wpływu na bezpieczeństwo, ponieważ już są
31 06 - Atak o niskim znaczeniu - Powodowane przez robaki lub wirusy które nie mają
32 wpływu na system (takie jak code red dla serwera apache, itp). Zawierają
33 także często akcje IDS oraz błędy.
34 07 - Dopasowanie *bad word* - Zawierają słowa "bad', "error", itp. W większości
35 niesklasyfikowane akcje, które mogą mieć wpływ na bezpieczeństwo.
36 08 - Widziane poraz pierwszy - Zawierają akcje widziane poraz pierwszy. Np.
37 pierwszy raz jest generowana akcja IDS albo pierwsze logowanie użytkownika.
38 Jeśli dopiero zacząłeś używać OSSEC HIDS, takie akcje najprawsopodobniej
39 będą występować często. Lecz po jakimś czasie znikną. Zawierają także akcje
40 związane z bezpieczeństwem (takie jak uruchomienie sniffera lub podobnego
42 09 - Błędy z nieznanego źródła - Zawierają próby logowania jako nieznany
43 użytkownik lub z niepoprawnego źródła. Mogą mieć wpływ na bezpieczeństwo
44 (szczególnie gdy powtarzane). Obejmują także błędy związane z kontem
45 "administratora", root'a.
46 10 - Powtarzalne błędy generowane przez użytkownika - Zawierają wielokrotne
47 nieudane próby logowania, błędy autoryzacji itp. Mogą oznaczać atak lub
48 poprostu użytkownik zapomiał swoich danych autoryzujących.
49 11 - Ostrzeżenie, sprawdzanie spójności - Zawiera wiadomości oznaczające
50 modyfikacje plików binarnych lub obecność rootkit'ów (generowane przez
51 rootcheck). Jeśli aktualizowałeś system nie powinieneś się przejmować tymi
52 ostrzeżeniami. Mogą oznaczać udany atak.
53 12 - Wysoce istotne zdarzenia - Zawierają wiadomości błądów lub ostrzeżeń od
54 systemu, jądra, itp. Moga oznaczać atak na konkretną aplikacje.
55 13 - Niespotykane błędy (wysoce istotne) - W większości dopasowane do wzorców
57 14 - Wysoce istotne zdarzenia bezpieczeństwa - Akcje wykrywane poprzez związki
58 ze sobą, zazwyczaj oznaczają atak.
59 15 - Poważny atak - Natychmiastowa reakcja jest potrzebna (nie może być mowy tu
65 -Możemy wyspecyfikować grupy dla specyficznych reguł. Jest to używane do
66 aktywnej ochrony oraz do relacji.
67 -Aktualnie używamy następujących grup:
70 - authentication_success
71 - authentication_failed
83 == Konfiguracja reguł ==
85 http://www.ossec.net/en/manual.html#rules