l.bourdin
/
Wazuh-Custom-rules
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

plein de changements

This commit is contained in:
root 2026-03-26 10:02:20 +01:00
parent 4e7fc6c9f8
commit ce8ad9f5a2
8 changed files with 435 additions and 18 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

55
Suricata.xml
View File

@ -147,6 +147,27 @@
</group> </group>
<!-- Réduction bruit - 3way handshake ack invalid -->
<group name="ids, suricata">
<rule id="100534" level="0">
<if_sid>86601</if_sid>
<field name="alert.signature">^SURICATA STREAM 3way handshake SYNACK with wrong ack$</field>
<description>Suricata: Alert - 3way handshake SYNACK with wrong ack</description>
<options>no_full_log</options>
</rule>
</group>
<!-- Multiple - 3way handshake ack invalid -->
<group name="ids, suricata">
<rule id="100535" level="7" frequency="50" timeframe="300">
<if_matched_sid>100534</if_matched_sid>
<same_field>flow.src_ip</same_field>
<description>Suricata: Alert - Multiple 3way handshake SYNACK with wrong ack</description>
<options>no_full_log</options>
</rule>
</group>
<!-- Reduction bruit TLS Fail --> <!-- Reduction bruit TLS Fail -->
<group name="ids, suricata"> <group name="ids, suricata">
@ -296,7 +317,7 @@
<rule id="100590" level="1"> <rule id="100590" level="1">
<if_sid>86601</if_sid> <if_sid>86601</if_sid>
<field name="alert.signature">^SURICATA SMB too many transactions$</field> <field name="alert.signature">^SURICATA SMB too many transactions$</field>
<field type="pcre2" name="flow.dest_ip">(10.171.101.36|10.172.101.113)</field> <field type="pcre2" name="flow.dest_ip">(10.171.101.36|10.172.101.113|10.172.101.114)</field>
<description>Suricata: Alert - $(alert.signature)</description> <description>Suricata: Alert - $(alert.signature)</description>
<options>no_full_log</options> <options>no_full_log</options>
</rule> </rule>
@ -307,7 +328,7 @@
<rule id="100591" level="1"> <rule id="100591" level="1">
<if_sid>86601</if_sid> <if_sid>86601</if_sid>
<field name="alert.signature">^SURICATA SMB too many transactions$</field> <field name="alert.signature">^SURICATA SMB too many transactions$</field>
<field type="pcre2" name="flow.src_ip">(10.171.101.36|10.172.101.113)</field> <field type="pcre2" name="flow.src_ip">(10.171.101.36|10.172.101.113|10.172.101.114)</field>
<description>Suricata: Alert - $(alert.signature)</description> <description>Suricata: Alert - $(alert.signature)</description>
<options>no_full_log</options> <options>no_full_log</options>
</rule> </rule>
@ -660,3 +681,33 @@
<options>no_full_log</options> <options>no_full_log</options>
</rule> </rule>
</group> </group>
<!-- Filtre bruit : QUIC error (n'arrive pas à récup data protocol quic) -->
<group name="ids, suricata">
<rule id="100710" level="0">
<if_sid>86601</if_sid>
<field name="alert.signature">SURICATA QUIC error on data</field>
<description>Suricata : QUIC ERROR</description>
<options>no_full_log</options>
</rule>
</group>
<!-- Filtre bruit : QUIC failed (n'arrive pas à récup data protocol quic) -->
<group name="ids, suricata">
<rule id="100711" level="0">
<if_sid>86601</if_sid>
<field name="alert.signature">SURICATA QUIC failed decrypt</field>
<description>Suricata : QUIC FAILED</description>
<options>no_full_log</options>
</rule>
</group>
<!-- Filtre alertes de types informational -->
<group name="ids, suricata">
<rule id="100720" level="1">
<if_sid>86601</if_sid>
<field name="alert.metadata.signature_severity">Informational</field>
<description>Suricata : Alertes informationnel</description>
<options>no_full_log</options>
</rule>
</group>

4
brut-force.xml
View File

@ -1,6 +1,6 @@
<!-- Alerte si erreur euthentification X10 en moins de 180 seconde --> <!-- Alerte si erreur euthentification X10 en moins de 180 seconde -->
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100150" level="15" frequency="10" timeframe="60"> <rule id="100150" level="15" frequency="10" timeframe="60" ignore="30">
<if_matched_sid>60122</if_matched_sid> <if_matched_sid>60122</if_matched_sid>
<same_field>win.eventdata.ipAddress</same_field> <same_field>win.eventdata.ipAddress</same_field>
<description>Brut force</description> <description>Brut force</description>
@ -18,7 +18,7 @@
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100152" level="15" frequency="10" timeframe="60"> <rule id="100152" level="15" frequency="10" timeframe="60" ignore="30">
<same_field>win.eventdata.ipAddress</same_field> <same_field>win.eventdata.ipAddress</same_field>
<if_matched_sid>60105</if_matched_sid> <if_matched_sid>60105</if_matched_sid>
<description>Brut force</description> <description>Brut force</description>

50
fim-fs17101.xml
View File

@ -1,4 +1,4 @@
<!-- FILE INTEGRITY MANAGER --> <!-- FILE INTEGRITY MANAGER - SYSMON -->
<!-- Filtre accès objet win - Supression/modif/créa --> <!-- Filtre accès objet win - Supression/modif/créa -->
@ -10,9 +10,27 @@
</rule> </rule>
</group> </group>
<!-- Filtre accès objet win - Supression/modif/créa -->
<group name="windows,windows_security,">
<rule id="100101" level="0">
<if_sid>100100</if_sid>
<field type="pcre2" name="win.eventdata.objectName">.tmp$</field>
<description>Filtre modif fichier temporaire</description>
</rule>
</group>
<!-- Filtre accès objet win - Supression/modif/créa -->
<group name="windows,windows_security,">
<rule id="100102" level="0">
<if_sid>100100</if_sid>
<field type="pcre2" name="win.eventdata.objectName">Zone.Identifier$</field>
<description>Filtre modif fichier temporaire</description>
</rule>
</group>
<!-- Règle alerte lors de la modification d'un fichier --> <!-- Règle alerte lors de la modification d'un fichier -->
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100101" level="5"> <rule id="100103" level="5">
<if_sid>100100</if_sid> <if_sid>100100</if_sid>
<field name="win.system.eventID">^4663$</field> <field name="win.system.eventID">^4663$</field>
<description>Alerte fichier modifié</description> <description>Alerte fichier modifié</description>
@ -22,7 +40,7 @@
<!-- Règle alerte lors de la suppression d'un fichier --> <!-- Règle alerte lors de la suppression d'un fichier -->
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100102" level="5"> <rule id="100104" level="5">
<if_sid>100100</if_sid> <if_sid>100100</if_sid>
<field name="win.system.eventID">^4659$</field> <field name="win.system.eventID">^4659$</field>
<description>Alerte fichier supprimé</description> <description>Alerte fichier supprimé</description>
@ -32,7 +50,7 @@
<!-- Règle alerte lors de la création d'un fichier --> <!-- Règle alerte lors de la création d'un fichier -->
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100103" level="5"> <rule id="100105" level="5">
<if_sid>100100</if_sid> <if_sid>100100</if_sid>
<field name="win.system.message">Écriture données (ou ajout fichier)</field> <field name="win.system.message">Écriture données (ou ajout fichier)</field>
<description>Alerte fichier Créé</description> <description>Alerte fichier Créé</description>
@ -42,11 +60,29 @@
<!-- CHIFFREMENT --> <!-- CHIFFREMENT -->
<!-- Alerte si suppression en masse de fichier par le même utilisateur --> <!-- Alerte si création en masse de fichier par le même utilisateur -->
<group name="windows,windows_security,"> <group name="windows,windows_security,">
<rule id="100110" level="15" frequency="50" timeframe="60" ignore="300"> <rule id="100110" level="15" frequency="50" timeframe="60" ignore="300">
<if_matched_sid>100102</if_matched_sid> <if_matched_sid>100103</if_matched_sid>
<same_field>win.eventdata.subjectUserName</same_field> <same_field>win.eventdata.subjectUserName</same_field>
<description>Fichier supprimer en masse</description> <description>Fichier créer en masse - Chiffrage ?</description>
</rule>
</group>
<!-- Alerte si création en masse de fichier par le même utilisateur -->
<group name="windows,windows_security,">
<rule id="100111" level="15" frequency="50" timeframe="60" ignore="300">
<if_matched_sid>100104</if_matched_sid>
<same_field>win.eventdata.subjectUserName</same_field>
<description>Fichier supprime en masse - Chiffrage ?</description>
</rule>
</group>
<!-- Alerte si création fichier avec extension bloqué -->
<group name="windows,windows_security,">
<rule id="100112" level="15">
<field name="win.system.eventID">8215</field>
<description>Tentative de création de fichier avec extension bloqué</description>
</rule> </rule>
</group> </group>

65
fortigate.xml Normal file
View File

@ -0,0 +1,65 @@
<group name="fortinet,data-evasion,critic">
<!-- 1. Filtre de base : trafic lan -> wan -->
<rule id="100250" level="0">
<if_group>fortigate</if_group>
<field name="srcintfrole">lan</field>
<field name="dstintfrole">wan</field>
<description>Fortigate: trafic lan vers wan</description>
</rule>
<!-- 2. Exclure les IP privées RFC1918 sur la destination -->
<rule id="100251" level="0">
<if_sid>100250</if_sid>
<regex negate="yes">dstip=10\.|dstip=192\.168\.|dstip=172\.1[6-9]\.|dstip=172\.2[0-9]\.|dstip=172\.3[01]\.</regex>
<description>Fortigate: destination IP publique confirmee</description>
</rule>
<!-- 4. Alerte 100MB (pour chunk)-->
<rule id="100252" level="0">
<if_sid>100251</if_sid>
<field type="pcre2" name="sentbyte">^[1-9]\d{8}$</field>
<description>Fortigate: Large outbound transfer ($(sentbyte) bytes) from $(srcip) to $(dstip)</description>
</rule>
<!-- 3. Alerte 500MB -->
<rule id="100253" level="3">
<if_sid>100251</if_sid>
<field type="pcre2" name="sentbyte">^[5-9]\d{8}$</field>
<description>Fortigate: Large outbound transfer ($(sentbyte) bytes) from $(srcip) to $(dstip)</description>
</rule>
<!-- 4. Alerte 1GB critique -->
<rule id="100254" level="8">
<if_sid>100251</if_sid>
<field type="pcre2" name="sentbyte">^\d{10,}$</field>
<description>CRITICAL - Fortigate: Massive outbound transfer 1GB from $(srcip) to $(dstip)</description>
</rule>
<!-- 5. Alerte envoie fragmenté (plateforme de transfert) critique -->
<rule id="100255" level="8" frequency="5" timeframe="600">
<if_matched_sid>100252</if_matched_sid>
<description>Fortigate: Repeated large transfers from $(srcip) - possible large exfiltration in progress</description>
</rule>
</group>
<!-- 6. Alerte 1GB Quiet Hour critique -->
<group name="fortinet,data-evasion,critic,">
<rule id="100256" level="3">
<if_sid>100254</if_sid>
<time>00:00-05:00</time>
<description>Fortigate: Large transfers from $(srcip) in quiet hour - possible large exfiltration</description>
</rule>
</group>
<!-- 7. Alerte 10GB critique -->
<group name="fortinet,data-evasion,critic,">
<rule id="100257" level="8">
<if_sid>100251</if_sid>
<field type="pcre2" name="sentbyte">^\d{11,}$</field>
<description>CRITICAL - Fortigate: Massive outbound transfer 10GB from $(srcip) to $(dstip)</description>
</rule>
</group>

22
linux.xml Normal file
View File

@ -0,0 +1,22 @@
<!-- Custom rules linux -->
<!-- DPKG -->
<!-- Filtre bruit : dpkg status half-configured -->
<group name="linux, dpkg, filtre">
<rule id="101200" level="0">
<if_sid>2904</if_sid>
<field name="dpkg_status">^status half-configured$</field>
<description>Filtre bruit : dpkg linux (maj)</description>
<options>no_full_log</options>
</rule>
</group>
<!-- Filtre bruit : dpkg status -->
<group name="linux, dpkg, filtre">
<rule id="101201" level="0">
<if_sid>2902</if_sid>
<field name="dpkg_status">^status installed$</field>
<description>Filtre bruit : dpkg linux (maj)</description>
<options>no_full_log</options>
</rule>
</group>

194
registre-windows.xml Normal file
View File

@ -0,0 +1,194 @@
<!--
============================================================
RÈGLES WAZUH — SUPPRESSION FAUX POSITIFS REGISTRE WINDOWS
Contexte : Backups VM + comportements système normaux
Emplacement : /var/ossec/etc/rules/local_rules.xml
============================================================
-->
<!-- GROUPE 1a — VSS Diag (Backup VM) -->
<!-- Pourquoi : VSS écrit ses traces binaires de diagnostic à chaque snapshot/backup.
La branche Diag\ change systématiquement — comportement voulu par le système. -->
<group name="syscheck_registry_falsepositive, backup, vss">
<rule id="102000" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\Diag</field>
<description>FP Suppressed - VSS Diag registry keys modified during backup/snapshot operation</description>
</rule>
</group>
<!-- GROUPE 1b — VSS lifecycle values (BACKUPCOMPLETE, PREPAREBACKUP, etc.) -->
<!-- Pourquoi : Ces valeurs tracent les étapes du cycle de vie d'un backup VSS.
Elles sont réécrites à chaque opération Veeam, Acronis, WinServerBackup, etc. -->
<group name="syscheck_registry_falsepositive, backup, vss">
<rule id="102001" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\</field>
<field name="syscheck.value_name" type="pcre2">BACKUPCOMPLETE|BACKUPSHUTDOWN|BACKUPSTART|PREPAREBACKUP|POSTBACKUP|BackupComplete</field>
<description>FP Suppressed - VSS backup lifecycle registry value changed (normal backup operation)</description>
</rule>
</group>
<!-- GROUPE 2a — Windows Update (WindowsUpdate branch) -->
<!-- Pourquoi : Chaque MAJ modifie des dizaines de clés : numéros de version,
états de téléchargement, historique, timestamps — totalement normal. -->
<group name="syscheck_registry_falsepositive, windows_update">
<rule id="102010" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate</field>
<description>FP Suppressed - Windows Update registry keys (normal update activity)</description>
</rule>
</group>
<!-- GROUPE 2b — Windows Update (Component Based Servicing) -->
<!-- Pourquoi : CBS gère l'installation des composants Windows lors des MAJ.
Ses clés sont massivement modifiées pendant chaque mise à jour système. -->
<group name="syscheck_registry_falsepositive, windows_update">
<rule id="102011" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Component Based Servicing</field>
<description>FP Suppressed - CBS registry changes during Windows Update</description>
</rule>
</group>
<!-- GROUPE 2c — Software Protection Platform (licences) -->
<!-- Pourquoi : SPP vérifie les licences périodiquement et met à jour ses clés
lors de chaque vérification d'activation. Comportement normal sur tout Windows. -->
<group name="syscheck_registry_falsepositive, windows_licensing">
<rule id="102012" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform</field>
<description>FP Suppressed - Software Protection Platform registry (licensing checks, normal)</description>
</rule>
</group>
<!-- GROUPE 3a — Performance Counters (Perflib) -->
<!-- Pourquoi : Les compteurs de performance sont mis à jour en continu par l'OS.
Ces clés changent toutes les minutes sur un serveur actif — bruit pur. -->
<group name="syscheck_registry_falsepositive, perflib">
<rule id="102020" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib</field>
<description>FP Suppressed - Performance Library registry keys (updated continuously by OS)</description>
</rule>
</group>
<!-- GROUPE 3b — PerfHost service -->
<!-- Pourquoi : PerfHost héberge les fournisseurs de compteurs de perf tiers.
Ses clés changent à chaque collecte de métriques (monitoring, SCOM, etc.). -->
<group name="syscheck_registry_falsepositive, perflib">
<rule id="102021" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\PerfHost</field>
<description>FP Suppressed - PerfHost service registry (performance counter host, normal activity)</description>
</rule>
</group>
<!-- GROUPE 4 — DHCP Client (renouvellements de bail) -->
<!-- Pourquoi : À chaque renouvellement DHCP, Windows réécrit l'IP, le bail,
les serveurs DNS dans le registre. Sur un réseau actif, c'est très fréquent. -->
<group name="syscheck_registry_falsepositive, dhcp, network">
<rule id="102030" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</field>
<field name="syscheck.value_name" type="pcre2">LeaseObtainedTime|LeaseTerminatesTime|T1|T2|DhcpIPAddress|DhcpNameServer|DhcpSubnetMask|DhcpDefaultGateway</field>
<description>FP Suppressed - DHCP lease renewal registry update (normal network operation)</description>
</rule>
</group>
<!-- GROUPE 5 — EventLog metadata -->
<!-- Pourquoi : Windows met à jour LastWriteTime, CurrentSize, Flags à chaque
événement écrit dans les journaux — soit des milliers de fois par jour. -->
<group name="syscheck_registry_falsepositive, eventlog">
<rule id="102040" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog</field>
<field name="syscheck.value_name" type="pcre2">MajorVersion|MinorVersion|CurrentSize|LastWriteTime|Flags</field>
<description>FP Suppressed - EventLog metadata registry keys (updated on every log write)</description>
</rule>
</group>
<!-- GROUPE 6a — Windows Defender (mises à jour de signatures) -->
<!-- Pourquoi : Defender met à jour ses signatures plusieurs fois par jour.
Chaque update modifie des dizaines de clés — bruit sans valeur sécurité. -->
<group name="syscheck_registry_falsepositive, antivirus, defender">
<rule id="102050" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Signature Updates</field>
<description>FP Suppressed - Windows Defender signature update registry changes</description>
</rule>
</group>
<!-- GROUPE 6b — Windows Defender (états de scan) -->
<!-- Pourquoi : Les scans planifiés et temps réel mettent à jour l'état,
la progression et les résultats dans le registre en permanence. -->
<group name="syscheck_registry_falsepositive, antivirus, defender">
<rule id="102051" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Scans</field>
<description>FP Suppressed - Windows Defender scan state registry keys</description>
</rule>
</group>
<!-- GROUPE 7a — Auto-enrollment certificats (PKI / AD) -->
<!-- Pourquoi : En environnement Active Directory, les certificats sont
renouvelés automatiquement. AutoEnrollment écrit dans le registre
à chaque vérification/renouvellement — comportement normal en domaine. -->
<group name="syscheck_registry_falsepositive, certificates, pki">
<rule id="102060" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\AutoEnrollment</field>
<description>FP Suppressed - Certificate auto-enrollment registry update (normal AD/PKI operation)</description>
</rule>
</group>
<!-- GROUPE 7b — System Certificate Store -->
<!-- Pourquoi : Les mises à jour de CRL (Certificate Revocation List) et les
renouvellements de certificats modifient le store système régulièrement. -->
<group name="syscheck_registry_falsepositive, certificates">
<rule id="102061" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SystemCertificates</field>
<description>FP Suppressed - System certificate store registry changes (CRL updates, renewals)</description>
</rule>
</group>
<!-- GROUPE 8 — Task Scheduler (timestamps d'exécution) -->
<!-- Pourquoi : Le planificateur met à jour LastRunTime/NextRunTime à chaque
exécution de tâche. Sur un serveur, cela arrive toutes les minutes.
ATTENTION : La création de nouvelles tâches doit rester surveillée ! -->
<group name="syscheck_registry_falsepositive, taskscheduler">
<rule id="102070" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks</field>
<field name="syscheck.value_name" type="pcre2">LastRunTime|NextRunTime|LastSuccessfulRunTime</field>
<description>FP Suppressed - Task Scheduler runtime timestamps (updated on every task execution)</description>
</rule>
</group>
<!-- GROUPE 9 — W32Time / NTP synchronisation -->
<!-- Pourquoi : Le service de temps Windows met à jour ses clés à chaque sync NTP.
Sur un DC ou serveur en domaine, c'est toutes les heures voire plus souvent. -->
<group name="syscheck_registry_falsepositive, timesync">
<rule id="102080" level="0">
<if_group>syscheck_registry</if_group>
<field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time</field>
<field name="syscheck.value_name" type="pcre2">LastSyncTime|ClockAdjustment|PhaseOffset|ClockRate</field>
<description>FP Suppressed - W32Time NTP synchronization registry update (normal time sync)</description>
</rule>
</group>

30
unifi-rules.xml
View File

@ -117,10 +117,10 @@
</group> </group>
<group name="unifi,wifi,authentication_failed,"> <group name="unifi,wifi,authentication_failed,">
<rule id="100430" level="2"> <rule id="100430" level="3">
<decoded_as>unifi</decoded_as> <decoded_as>unifi</decoded_as>
<field name="event_type">failure</field> <field name="event_type">failure</field>
<description>UniFi WiFi: assoc/auth failure sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site) wpa_auth_failures=$(wpa_auth_failures)</description> <description>UniFi WiFi: assoc/auth failure sta=$(mac) vap=$(vap) ap=$(device) site=$(site) wpa_auth_failures=$(wpa_auth_failures)</description>
</rule> </rule>
</group> </group>
@ -128,7 +128,7 @@
<rule id="100431" level="0"> <rule id="100431" level="0">
<decoded_as>unifi</decoded_as> <decoded_as>unifi</decoded_as>
<field name="wifi_event">disassociated</field> <field name="wifi_event">disassociated</field>
<description>UniFi WiFi: STA $(wifi_event) sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site)</description> <description>UniFi WiFi: STA $(wifi_event) sta=$(mac) vap=$(vap) ap=$(device) site=$(site)</description>
</rule> </rule>
</group> </group>
@ -136,7 +136,7 @@
<rule id="100432" level="0"> <rule id="100432" level="0">
<decoded_as>unifi</decoded_as> <decoded_as>unifi</decoded_as>
<field name="wifi_event">deauthenticated</field> <field name="wifi_event">deauthenticated</field>
<description>UniFi WiFi: STA $(wifi_event) sta=$(sta_mac) vap=$(vap) ap=$(device) site=$(site)</description> <description>UniFi WiFi: STA $(wifi_event) sta=$(mac) vap=$(vap) ap=$(device) site=$(site)</description>
</rule> </rule>
</group> </group>
@ -144,8 +144,8 @@
<rule id="100433" level="10" frequency="5" timeframe="120"> <rule id="100433" level="10" frequency="5" timeframe="120">
<if_matched_sid>100430</if_matched_sid> <if_matched_sid>100430</if_matched_sid>
<same_field>site</same_field> <same_field>site</same_field>
<same_field>sta_mac</same_field> <same_field>mac</same_field>
<description>UniFi WiFi: repeated auth failures (5x/2min) sta=$(sta_mac) site=$(site) vap=$(vap)</description> <description>UniFi WiFi: repeated auth failures (5x/2min) sta=$(mac) site=$(site) vap=$(vap)</description>
</rule> </rule>
</group> </group>
@ -173,3 +173,21 @@
<description>UniFi WiFi: repeated stuck beacon/reset (3x/10min) site=$(site)</description> <description>UniFi WiFi: repeated stuck beacon/reset (3x/10min) site=$(site)</description>
</rule> </rule>
</group> </group>
<!-- filtre bruit bandwith -->
<group name="unifi,wifi,">
<rule id="100450" level="0">
<decoded_as>unifi</decoded_as>
<field name="kernel_tag">dvlan rate limited</field>
<description>UniFi WiFi: limitation bande passante</description>
</rule>
</group>
<group name="unifi,wifi,radio,stability,">
<rule id="100451" level="7" frequency="10" timeframe="600">
<if_matched_sid>100450</if_matched_sid>
<same_field>mac</same_field>
<description>UniFi WiFi: limitation bande passant répété même client - pb réseau ?</description>
</rule>
</group>

31
web-attack.xml Normal file
View File

@ -0,0 +1,31 @@
<!-- Règles intrusion web -->
<!-- Filtrage POST Zabbix -->
<group name="zabbix, DDOS, Filtrage">
<rule id="101000" level="0">
<if_sid>31530</if_sid>
<srcip>10.172.253.99</srcip>
<description>Filtrage DDOS Zabbix</description>
<options>no_full_log</options>
</rule>
</group>
<group name="zabbix, DDOS, Filtrage">
<rule id="101001" level="0">
<if_sid>31530</if_sid>
<url>/zabbix</url>
<description>Filtrage DDOS Zabbix</description>
<options>no_full_log</options>
</rule>
</group>
<group name="zabbix, DDOS, Filtrage">
<rule id="101002" level="0">
<if_sid>31533</if_sid>
<srcip>10.172.253.99</srcip>
<description>Filtrage DDOS Zabbix</description>
<options>no_full_log</options>
</rule>
</group>