61 lines
1.7 KiB
XML
61 lines
1.7 KiB
XML
<!-- Local rules -->
|
|
|
|
<!-- Modify it at your will. -->
|
|
<!-- Copyright (C) 2015, Wazuh Inc. -->
|
|
|
|
<!-- Example -->
|
|
<group name="local,syslog,sshd,">
|
|
|
|
<!--
|
|
Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
|
|
-->
|
|
<rule id="100001" level="5">
|
|
<if_sid>5716</if_sid>
|
|
<srcip>1.1.1.1</srcip>
|
|
<description>sshd: authentication failed from IP 1.1.1.1.</description>
|
|
<group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
|
|
</rule>
|
|
|
|
</group>
|
|
|
|
<!-- Règle alerte lors de la modification d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100146" level="9">
|
|
<if_sid>60103</if_sid>
|
|
<field name="win.system.eventID">^4663$</field>
|
|
<description>Alerte fichier modifié</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la suppression d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100147" level="9">
|
|
<if_sid>60103</if_sid>
|
|
<field name="win.system.eventID">^4659$</field>
|
|
<description>Alerte fichier supprimé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la suppression d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100148" level="9">
|
|
<if_sid>100146</if_sid>
|
|
<field name="win.system.message">Écriture données (ou ajout fichier)</field>
|
|
<description>Alerte fichier Créé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Alerte si modif en masse de fichier par le même utilisateur -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100149" level="15" frequency="50" timeframe="60" ignore="300">
|
|
<if_matched_sid>100146</if_matched_sid>
|
|
<same_field>win.eventdata.subjectUserName</same_field>
|
|
<description>Fichier modifier en masse</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
|