plein de changements

2026-03-26 10:02:20 +01:00 · 2026-03-26 10:02:20 +01:00 · ce8ad9f5a2
parent 4e7fc6c9f8
commit ce8ad9f5a2
8 changed files with 435 additions and 18 deletions
--- a/Suricata.xml
+++ b/Suricata.xml
@ -147,6 +147,27 @@
 </group>


+<!-- Réduction bruit - 3way handshake ack invalid -->
+<group name="ids, suricata">
+    <rule id="100534" level="0">
+        <if_sid>86601</if_sid>
+        <field name="alert.signature">^SURICATA STREAM 3way handshake SYNACK with wrong ack$</field>
+        <description>Suricata: Alert - 3way handshake SYNACK with wrong ack</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+
+<!-- Multiple - 3way handshake ack invalid -->
+<group name="ids, suricata">
+    <rule id="100535" level="7" frequency="50" timeframe="300">
+        <if_matched_sid>100534</if_matched_sid>
+        <same_field>flow.src_ip</same_field>
+        <description>Suricata: Alert - Multiple 3way handshake SYNACK with wrong ack</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+

 <!-- Reduction bruit TLS Fail -->
 <group name="ids, suricata">
@ -296,7 +317,7 @@
    <rule id="100590" level="1">
        <if_sid>86601</if_sid>
        <field name="alert.signature">^SURICATA SMB too many transactions$</field>
-        <field type="pcre2" name="flow.dest_ip">(10.171.101.36|10.172.101.113)</field>
+        <field type="pcre2" name="flow.dest_ip">(10.171.101.36|10.172.101.113|10.172.101.114)</field>
        <description>Suricata: Alert - $(alert.signature)</description>
        <options>no_full_log</options>
    </rule>
@ -307,7 +328,7 @@
    <rule id="100591" level="1">
        <if_sid>86601</if_sid>
        <field name="alert.signature">^SURICATA SMB too many transactions$</field>
-        <field type="pcre2" name="flow.src_ip">(10.171.101.36|10.172.101.113)</field>
+        <field type="pcre2" name="flow.src_ip">(10.171.101.36|10.172.101.113|10.172.101.114)</field>
        <description>Suricata: Alert - $(alert.signature)</description>
        <options>no_full_log</options>
    </rule>
@ -640,7 +661,7 @@

 <!-- Reduction bruit DNS over HTTPS (DOH) -->
 <group name="ids, suricata">
-        <rule id="100700" level="1">
+    <rule id="100700" level="1">
        <if_sid>86601</if_sid>
        <field name="alert.metadata.tag">DoH</field>
        <description>Suricata : DNS over HTTPS</description>
@ -659,4 +680,34 @@
        </mitre>
        <options>no_full_log</options>
    </rule>
+</group>
+
+<!-- Filtre bruit : QUIC error (n'arrive pas à récup data protocol quic) -->
+<group name="ids, suricata">
+    <rule id="100710" level="0">
+        <if_sid>86601</if_sid>
+        <field name="alert.signature">SURICATA QUIC error on data</field>
+        <description>Suricata : QUIC ERROR</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+<!-- Filtre bruit : QUIC failed (n'arrive pas à récup data protocol quic) -->
+<group name="ids, suricata">
+    <rule id="100711" level="0">
+        <if_sid>86601</if_sid>
+        <field name="alert.signature">SURICATA QUIC failed decrypt</field>
+        <description>Suricata : QUIC FAILED</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+<!-- Filtre alertes de types informational -->
+<group name="ids, suricata">
+    <rule id="100720" level="1">
+        <if_sid>86601</if_sid>
+        <field name="alert.metadata.signature_severity">Informational</field>
+        <description>Suricata : Alertes informationnel</description>
+        <options>no_full_log</options>
+    </rule>
 </group>
--- a/brut-force.xml
+++ b/brut-force.xml
@ -1,6 +1,6 @@
 <!-- Alerte si erreur euthentification X10 en moins de 180 seconde -->
 <group name="windows,windows_security,">
-  <rule id="100150" level="15" frequency="10" timeframe="60">
+  <rule id="100150" level="15" frequency="10" timeframe="60" ignore="30">
    <if_matched_sid>60122</if_matched_sid>
    <same_field>win.eventdata.ipAddress</same_field>
    <description>Brut force</description>
@ -18,7 +18,7 @@


 <group name="windows,windows_security,">
-  <rule id="100152" level="15" frequency="10" timeframe="60">
+  <rule id="100152" level="15" frequency="10" timeframe="60" ignore="30">
    <same_field>win.eventdata.ipAddress</same_field>
    <if_matched_sid>60105</if_matched_sid>
    <description>Brut force</description>
--- a/fim-fs17101.xml
+++ b/fim-fs17101.xml
@ -1,4 +1,4 @@
-<!-- FILE INTEGRITY MANAGER -->
+<!-- FILE INTEGRITY MANAGER - SYSMON -->


 <!-- Filtre accès objet win - Supression/modif/créa -->
@ -10,9 +10,27 @@
  </rule>
 </group>

+<!-- Filtre accès objet win - Supression/modif/créa -->
+<group name="windows,windows_security,">
+  <rule id="100101" level="0">
+    <if_sid>100100</if_sid>
+    <field type="pcre2" name="win.eventdata.objectName">.tmp$</field>
+    <description>Filtre modif fichier temporaire</description>
+  </rule>
+</group>
+
+<!-- Filtre accès objet win - Supression/modif/créa -->
+<group name="windows,windows_security,">
+  <rule id="100102" level="0">
+    <if_sid>100100</if_sid>
+    <field type="pcre2" name="win.eventdata.objectName">Zone.Identifier$</field>
+    <description>Filtre modif fichier temporaire</description>
+  </rule>
+</group>
+
 <!-- Règle alerte lors de la modification d'un fichier -->
 <group name="windows,windows_security,">
-  <rule id="100101" level="5">
+  <rule id="100103" level="5">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^4663$</field>
    <description>Alerte fichier modifié</description>
@ -22,7 +40,7 @@

 <!-- Règle alerte lors de la suppression d'un fichier -->
 <group name="windows,windows_security,">
-  <rule id="100102" level="5">
+  <rule id="100104" level="5">
    <if_sid>100100</if_sid>
    <field name="win.system.eventID">^4659$</field>
    <description>Alerte fichier supprimé</description>
@ -32,7 +50,7 @@

 <!-- Règle alerte lors de la création d'un fichier -->
 <group name="windows,windows_security,">
-  <rule id="100103" level="5">
+  <rule id="100105" level="5">
    <if_sid>100100</if_sid>
    <field name="win.system.message">Écriture données (ou ajout fichier)</field>
    <description>Alerte fichier Créé</description>
@ -42,11 +60,29 @@

 <!-- CHIFFREMENT -->

-<!-- Alerte si suppression en masse de fichier par le même utilisateur -->
+<!-- Alerte si création en masse de fichier par le même utilisateur -->
 <group name="windows,windows_security,">
  <rule id="100110" level="15" frequency="50" timeframe="60" ignore="300">
-    <if_matched_sid>100102</if_matched_sid>
+    <if_matched_sid>100103</if_matched_sid>
    <same_field>win.eventdata.subjectUserName</same_field>
-    <description>Fichier supprimer en masse</description>
+    <description>Fichier créer en masse - Chiffrage ?</description>
+  </rule>
+</group>
+
+<!-- Alerte si création en masse de fichier par le même utilisateur -->
+<group name="windows,windows_security,">
+  <rule id="100111" level="15" frequency="50" timeframe="60" ignore="300">
+    <if_matched_sid>100104</if_matched_sid>
+    <same_field>win.eventdata.subjectUserName</same_field>
+    <description>Fichier supprime en masse - Chiffrage ?</description>
+  </rule>
+</group>
+
+
+<!-- Alerte si création fichier avec extension bloqué -->
+<group name="windows,windows_security,">
+  <rule id="100112" level="15">
+    <field name="win.system.eventID">8215</field>
+    <description>Tentative de création de fichier avec extension bloqué</description>
  </rule>
 </group>
--- a/fortigate.xml
+++ b/fortigate.xml
@ -0,0 +1,65 @@
+<group name="fortinet,data-evasion,critic">
+
+  <!-- 1. Filtre de base : trafic lan -> wan -->
+  <rule id="100250" level="0">
+    <if_group>fortigate</if_group>
+    <field name="srcintfrole">lan</field>
+    <field name="dstintfrole">wan</field>
+    <description>Fortigate: trafic lan vers wan</description>
+  </rule>
+
+
+  <!-- 2. Exclure les IP privées RFC1918 sur la destination -->
+  <rule id="100251" level="0">
+    <if_sid>100250</if_sid>
+    <regex negate="yes">dstip=10\.|dstip=192\.168\.|dstip=172\.1[6-9]\.|dstip=172\.2[0-9]\.|dstip=172\.3[01]\.</regex>
+    <description>Fortigate: destination IP publique confirmee</description>
+  </rule>
+  
+  <!-- 4. Alerte 100MB (pour chunk)-->
+  <rule id="100252" level="0">
+    <if_sid>100251</if_sid>
+    <field type="pcre2" name="sentbyte">^[1-9]\d{8}$</field>
+    <description>Fortigate: Large outbound transfer ($(sentbyte) bytes) from $(srcip) to $(dstip)</description>
+  </rule>
+
+  <!-- 3. Alerte 500MB -->
+  <rule id="100253" level="3">
+    <if_sid>100251</if_sid>
+    <field type="pcre2" name="sentbyte">^[5-9]\d{8}$</field>
+    <description>Fortigate: Large outbound transfer ($(sentbyte) bytes) from $(srcip) to $(dstip)</description>
+  </rule>
+
+  <!-- 4. Alerte 1GB critique -->
+  <rule id="100254" level="8">
+    <if_sid>100251</if_sid>
+    <field type="pcre2" name="sentbyte">^\d{10,}$</field>
+    <description>CRITICAL - Fortigate: Massive outbound transfer 1GB from $(srcip) to $(dstip)</description>
+  </rule>
+
+  <!-- 5. Alerte envoie fragmenté (plateforme de transfert) critique -->
+  <rule id="100255" level="8" frequency="5" timeframe="600">
+    <if_matched_sid>100252</if_matched_sid>
+    <description>Fortigate: Repeated large transfers from $(srcip) - possible large exfiltration in progress</description>
+  </rule>
+  
+</group>
+  
+  <!-- 6. Alerte 1GB Quiet Hour critique -->
+<group name="fortinet,data-evasion,critic,">
+  <rule id="100256" level="3">
+    <if_sid>100254</if_sid>
+    <time>00:00-05:00</time>
+    <description>Fortigate: Large transfers from $(srcip) in quiet hour - possible large exfiltration</description>
+  </rule>
+</group>
+
+  <!-- 7. Alerte 10GB critique -->
+<group name="fortinet,data-evasion,critic,">
+  <rule id="100257" level="8">
+    <if_sid>100251</if_sid>
+    <field type="pcre2" name="sentbyte">^\d{11,}$</field>
+    <description>CRITICAL - Fortigate: Massive outbound transfer 10GB from $(srcip) to $(dstip)</description>
+  </rule>
+</group>
+
--- a/linux.xml
+++ b/linux.xml
@ -0,0 +1,22 @@
+<!-- Custom rules linux -->
+
+<!-- DPKG -->
+<!-- Filtre bruit : dpkg status half-configured -->
+<group name="linux, dpkg, filtre">
+    <rule id="101200" level="0">
+        <if_sid>2904</if_sid>
+        <field name="dpkg_status">^status half-configured$</field>
+        <description>Filtre bruit : dpkg linux (maj)</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+<!-- Filtre bruit : dpkg status  -->
+<group name="linux, dpkg, filtre">
+    <rule id="101201" level="0">
+        <if_sid>2902</if_sid>
+        <field name="dpkg_status">^status installed$</field>
+        <description>Filtre bruit : dpkg linux (maj)</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
--- a/registre-windows.xml
+++ b/registre-windows.xml
@ -0,0 +1,194 @@
+<!--
+  ============================================================
+  RÈGLES WAZUH — SUPPRESSION FAUX POSITIFS REGISTRE WINDOWS
+  Contexte : Backups VM + comportements système normaux
+  Emplacement : /var/ossec/etc/rules/local_rules.xml
+  ============================================================
+-->
+
+<!-- GROUPE 1a — VSS Diag (Backup VM) -->
+<!-- Pourquoi : VSS écrit ses traces binaires de diagnostic à chaque snapshot/backup.
+     La branche Diag\ change systématiquement — comportement voulu par le système. -->
+<group name="syscheck_registry_falsepositive, backup, vss">
+  <rule id="102000" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\Diag</field>
+    <description>FP Suppressed - VSS Diag registry keys modified during backup/snapshot operation</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 1b — VSS lifecycle values (BACKUPCOMPLETE, PREPAREBACKUP, etc.) -->
+<!-- Pourquoi : Ces valeurs tracent les étapes du cycle de vie d'un backup VSS.
+     Elles sont réécrites à chaque opération Veeam, Acronis, WinServerBackup, etc. -->
+<group name="syscheck_registry_falsepositive, backup, vss">
+  <rule id="102001" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\</field>
+    <field name="syscheck.value_name" type="pcre2">BACKUPCOMPLETE|BACKUPSHUTDOWN|BACKUPSTART|PREPAREBACKUP|POSTBACKUP|BackupComplete</field>
+    <description>FP Suppressed - VSS backup lifecycle registry value changed (normal backup operation)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 2a — Windows Update (WindowsUpdate branch) -->
+<!-- Pourquoi : Chaque MAJ modifie des dizaines de clés : numéros de version,
+     états de téléchargement, historique, timestamps — totalement normal. -->
+<group name="syscheck_registry_falsepositive, windows_update">
+  <rule id="102010" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate</field>
+    <description>FP Suppressed - Windows Update registry keys (normal update activity)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 2b — Windows Update (Component Based Servicing) -->
+<!-- Pourquoi : CBS gère l'installation des composants Windows lors des MAJ.
+     Ses clés sont massivement modifiées pendant chaque mise à jour système. -->
+<group name="syscheck_registry_falsepositive, windows_update">
+  <rule id="102011" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Component Based Servicing</field>
+    <description>FP Suppressed - CBS registry changes during Windows Update</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 2c — Software Protection Platform (licences) -->
+<!-- Pourquoi : SPP vérifie les licences périodiquement et met à jour ses clés
+     lors de chaque vérification d'activation. Comportement normal sur tout Windows. -->
+<group name="syscheck_registry_falsepositive, windows_licensing">
+  <rule id="102012" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform</field>
+    <description>FP Suppressed - Software Protection Platform registry (licensing checks, normal)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 3a — Performance Counters (Perflib) -->
+<!-- Pourquoi : Les compteurs de performance sont mis à jour en continu par l'OS.
+     Ces clés changent toutes les minutes sur un serveur actif — bruit pur. -->
+<group name="syscheck_registry_falsepositive, perflib">
+  <rule id="102020" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib</field>
+    <description>FP Suppressed - Performance Library registry keys (updated continuously by OS)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 3b — PerfHost service -->
+<!-- Pourquoi : PerfHost héberge les fournisseurs de compteurs de perf tiers.
+     Ses clés changent à chaque collecte de métriques (monitoring, SCOM, etc.). -->
+<group name="syscheck_registry_falsepositive, perflib">
+  <rule id="102021" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\PerfHost</field>
+    <description>FP Suppressed - PerfHost service registry (performance counter host, normal activity)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 4 — DHCP Client (renouvellements de bail) -->
+<!-- Pourquoi : À chaque renouvellement DHCP, Windows réécrit l'IP, le bail,
+     les serveurs DNS dans le registre. Sur un réseau actif, c'est très fréquent. -->
+<group name="syscheck_registry_falsepositive, dhcp, network">
+  <rule id="102030" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</field>
+    <field name="syscheck.value_name" type="pcre2">LeaseObtainedTime|LeaseTerminatesTime|T1|T2|DhcpIPAddress|DhcpNameServer|DhcpSubnetMask|DhcpDefaultGateway</field>
+    <description>FP Suppressed - DHCP lease renewal registry update (normal network operation)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 5 — EventLog metadata -->
+<!-- Pourquoi : Windows met à jour LastWriteTime, CurrentSize, Flags à chaque
+     événement écrit dans les journaux — soit des milliers de fois par jour. -->
+<group name="syscheck_registry_falsepositive, eventlog">
+  <rule id="102040" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog</field>
+    <field name="syscheck.value_name" type="pcre2">MajorVersion|MinorVersion|CurrentSize|LastWriteTime|Flags</field>
+    <description>FP Suppressed - EventLog metadata registry keys (updated on every log write)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 6a — Windows Defender (mises à jour de signatures) -->
+<!-- Pourquoi : Defender met à jour ses signatures plusieurs fois par jour.
+     Chaque update modifie des dizaines de clés — bruit sans valeur sécurité. -->
+<group name="syscheck_registry_falsepositive, antivirus, defender">
+  <rule id="102050" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Signature Updates</field>
+    <description>FP Suppressed - Windows Defender signature update registry changes</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 6b — Windows Defender (états de scan) -->
+<!-- Pourquoi : Les scans planifiés et temps réel mettent à jour l'état,
+     la progression et les résultats dans le registre en permanence. -->
+<group name="syscheck_registry_falsepositive, antivirus, defender">
+  <rule id="102051" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Scans</field>
+    <description>FP Suppressed - Windows Defender scan state registry keys</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 7a — Auto-enrollment certificats (PKI / AD) -->
+<!-- Pourquoi : En environnement Active Directory, les certificats sont
+     renouvelés automatiquement. AutoEnrollment écrit dans le registre
+     à chaque vérification/renouvellement — comportement normal en domaine. -->
+<group name="syscheck_registry_falsepositive, certificates, pki">
+  <rule id="102060" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\AutoEnrollment</field>
+    <description>FP Suppressed - Certificate auto-enrollment registry update (normal AD/PKI operation)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 7b — System Certificate Store -->
+<!-- Pourquoi : Les mises à jour de CRL (Certificate Revocation List) et les
+     renouvellements de certificats modifient le store système régulièrement. -->
+<group name="syscheck_registry_falsepositive, certificates">
+  <rule id="102061" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SystemCertificates</field>
+    <description>FP Suppressed - System certificate store registry changes (CRL updates, renewals)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 8 — Task Scheduler (timestamps d'exécution) -->
+<!-- Pourquoi : Le planificateur met à jour LastRunTime/NextRunTime à chaque
+     exécution de tâche. Sur un serveur, cela arrive toutes les minutes.
+     ATTENTION : La création de nouvelles tâches doit rester surveillée ! -->
+<group name="syscheck_registry_falsepositive, taskscheduler">
+  <rule id="102070" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks</field>
+    <field name="syscheck.value_name" type="pcre2">LastRunTime|NextRunTime|LastSuccessfulRunTime</field>
+    <description>FP Suppressed - Task Scheduler runtime timestamps (updated on every task execution)</description>
+    
+  </rule>
+</group>
+
+<!-- GROUPE 9 — W32Time / NTP synchronisation -->
+<!-- Pourquoi : Le service de temps Windows met à jour ses clés à chaque sync NTP.
+     Sur un DC ou serveur en domaine, c'est toutes les heures voire plus souvent. -->
+<group name="syscheck_registry_falsepositive, timesync">
+  <rule id="102080" level="0">
+    <if_group>syscheck_registry</if_group>
+    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time</field>
+    <field name="syscheck.value_name" type="pcre2">LastSyncTime|ClockAdjustment|PhaseOffset|ClockRate</field>
+    <description>FP Suppressed - W32Time NTP synchronization registry update (normal time sync)</description>
+    
+  </rule>
+</group>
--- a/unifi-rules.xml
+++ b/unifi-rules.xml
@ -117,10 +117,10 @@
 </group>

 <group name="unifi,wifi,authentication_failed,">
-  <rule id="100430" level="2">
+  <rule id="100430" level="3">
    <decoded_as>unifi</decoded_as>
    <field name="event_type">failure</field>
-    <description>UniFi WiFi: assoc/auth failure sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site) wpa_auth_failures=$(wpa_auth_failures)</description>
+    <description>UniFi WiFi: assoc/auth failure sta=$(mac) vap=$(vap) ap=$(device) site=$(site) wpa_auth_failures=$(wpa_auth_failures)</description>
  </rule>
 </group>

@ -128,7 +128,7 @@
  <rule id="100431" level="0">
    <decoded_as>unifi</decoded_as>
    <field name="wifi_event">disassociated</field>
-    <description>UniFi WiFi: STA $(wifi_event) sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site)</description>
+    <description>UniFi WiFi: STA $(wifi_event) sta=$(mac) vap=$(vap) ap=$(device) site=$(site)</description>
  </rule>
 </group>

@ -136,7 +136,7 @@
  <rule id="100432" level="0">
    <decoded_as>unifi</decoded_as>
    <field name="wifi_event">deauthenticated</field>
-    <description>UniFi WiFi: STA $(wifi_event) sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site)</description>
+    <description>UniFi WiFi: STA $(wifi_event) sta=$(mac) vap=$(vap) ap=$(device) site=$(site)</description>
  </rule>
 </group>

@ -144,8 +144,8 @@
  <rule id="100433" level="10" frequency="5" timeframe="120">
    <if_matched_sid>100430</if_matched_sid>
    <same_field>site</same_field>
-    <same_field>sta_mac</same_field>
-    <description>UniFi WiFi: repeated auth failures (5x/2min) sta=$(sta_mac) site=$(site) vap=$(vap)</description>
+    <same_field>mac</same_field>
+    <description>UniFi WiFi: repeated auth failures (5x/2min) sta=$(mac) site=$(site) vap=$(vap)</description>
  </rule>
 </group>

@ -173,3 +173,21 @@
    <description>UniFi WiFi: repeated stuck beacon/reset (3x/10min) site=$(site)</description>
  </rule>
 </group>
+
+
+<!-- filtre bruit bandwith --> 
+<group name="unifi,wifi,">
+  <rule id="100450" level="0">
+    <decoded_as>unifi</decoded_as>
+    <field name="kernel_tag">dvlan rate limited</field>
+    <description>UniFi WiFi: limitation bande passante</description>
+  </rule>
+</group>
+
+<group name="unifi,wifi,radio,stability,">
+  <rule id="100451" level="7" frequency="10" timeframe="600">
+    <if_matched_sid>100450</if_matched_sid>
+    <same_field>mac</same_field>
+    <description>UniFi WiFi: limitation bande passant répété même client - pb réseau ?</description>
+  </rule>
+</group>
--- a/web-attack.xml
+++ b/web-attack.xml
@ -0,0 +1,31 @@
+<!-- Règles intrusion web -->
+
+
+<!-- Filtrage POST Zabbix -->
+
+<group name="zabbix, DDOS, Filtrage">
+    <rule id="101000" level="0">
+        <if_sid>31530</if_sid>
+        <srcip>10.172.253.99</srcip>
+        <description>Filtrage DDOS Zabbix</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+<group name="zabbix, DDOS, Filtrage">
+    <rule id="101001" level="0">
+        <if_sid>31530</if_sid>
+        <url>/zabbix</url>
+        <description>Filtrage DDOS Zabbix</description>
+        <options>no_full_log</options>
+    </rule>
+</group>
+
+<group name="zabbix, DDOS, Filtrage">
+    <rule id="101002" level="0">
+        <if_sid>31533</if_sid>
+        <srcip>10.172.253.99</srcip>
+        <description>Filtrage DDOS Zabbix</description>
+        <options>no_full_log</options>
+    </rule>
+</group>