suppr local_rules & créa FIM

2026-02-11 16:44:25 +01:00 · 2026-02-11 16:44:25 +01:00 · e455f35cd2
parent 8a7ee960a2
commit e455f35cd2
2 changed files with 53 additions and 37 deletions
--- a/fim-fs17101.xml
+++ b/fim-fs17101.xml
@ -0,0 +1,52 @@
+<!-- FILE INTEGRITY MANAGER -->
+
+
+<!-- Filtre accès objet win - Supression/modif/créa -->
+<group name="windows,windows_security,">
+  <rule id="100100" level="0">
+    <if_sid>60103</if_sid>
+    <field type=pcre2 name="win.system.eventID">(4663|4659)</field>
+    <description>Alerte fichier modifié</description>
+  </rule>
+</group>
+
+<!-- Règle alerte lors de la modification d'un fichier -->
+<group name="windows,windows_security,">
+  <rule id="100101" level="5">
+    <if_sid>100100</if_sid>
+    <field name="win.system.eventID">^4663$</field>
+    <description>Alerte fichier modifié</description>
+  </rule>
+</group>
+
+
+<!-- Règle alerte lors de la suppression d'un fichier -->
+<group name="windows,windows_security,">
+  <rule id="100102" level="5">
+    <if_sid>100100</if_sid>
+    <field name="win.system.eventID">^4659$</field>
+    <description>Alerte fichier supprimé</description>
+  </rule>
+</group>
+
+
+<!-- Règle alerte lors de la création d'un fichier -->
+<group name="windows,windows_security,">
+  <rule id="100103" level="5">
+    <if_sid>100100</if_sid>
+    <field name="win.system.message">Écriture données (ou ajout fichier)</field>
+    <description>Alerte fichier Créé</description>
+  </rule>
+</group>
+
+
+<!-- CHIFFREMENT -->
+
+<!-- Alerte si suppression en masse de fichier par le même utilisateur -->
+<group name="windows,windows_security,">
+  <rule id="100110" level="15" frequency="50" timeframe="60" ignore="300">
+    <if_matched_sid>100102</if_matched_sid>
+    <same_field>win.eventdata.subjectUserName</same_field>
+    <description>Fichier supprimer en masse</description>
+  </rule>
+</group>
--- a/local_rules.xml
+++ b/local_rules.xml
@ -18,43 +18,7 @@

 </group>

-<!-- Règle alerte lors de la modification d'un fichier -->
-<group name="windows,windows_security,">
-  <rule id="100146" level="9">
-    <if_sid>60103</if_sid>
-    <field name="win.system.eventID">^4663$</field>
-    <description>Alerte fichier modifié</description>
-  </rule>
-</group>
-
-
-<!-- Règle alerte lors de la suppression d'un fichier -->
-<group name="windows,windows_security,">
-  <rule id="100147" level="9">
-    <if_sid>60103</if_sid>
-    <field name="win.system.eventID">^4659$</field>
-    <description>Alerte fichier supprimé</description>
-  </rule>
-</group>
-
-
-<!-- Règle alerte lors de la suppression d'un fichier -->
-<group name="windows,windows_security,">
-  <rule id="100148" level="9">
-    <if_sid>100146</if_sid>
-    <field name="win.system.message">Écriture données (ou ajout fichier)</field>
-    <description>Alerte fichier Créé</description>
-  </rule>
-</group>
-
-<!-- Alerte si modif en masse de fichier par le même utilisateur -->
-<group name="windows,windows_security,">
-  <rule id="100149" level="15" frequency="50" timeframe="60" ignore="300">
-    <if_matched_sid>100146</if_matched_sid>
-    <same_field>win.eventdata.subjectUserName</same_field>
-    <description>Fichier modifier en masse</description>
-  </rule>
-</group>
+