98 lines
3.2 KiB
XML
98 lines
3.2 KiB
XML
<!-- FILE INTEGRITY MANAGER - SYSMON -->
|
|
|
|
|
|
<!-- Filtre accès objet win - Supression/modif/créa -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100100" level="0">
|
|
<if_sid>60103</if_sid>
|
|
<field type="pcre2" name="win.system.eventID">(4663|4659)</field>
|
|
<description>Alerte fichier modifié</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Filtre accès objet win - Supression/modif/créa -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100101" level="0">
|
|
<if_sid>100100</if_sid>
|
|
<field type="pcre2" name="win.eventdata.objectName">.tmp$</field>
|
|
<description>Filtre modif fichier temporaire</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Filtre accès objet win - Supression/modif/créa -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100102" level="0">
|
|
<if_sid>100100</if_sid>
|
|
<field type="pcre2" name="win.eventdata.objectName">.db$</field>
|
|
<description>Filtre modif fichier temporaire</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Filtre accès objet win - Supression/modif/créa -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100103" level="0">
|
|
<if_sid>100100</if_sid>
|
|
<field type="pcre2" name="win.eventdata.objectName">Zone.Identifier$</field>
|
|
<description>Filtre modif fichier temporaire</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Règle alerte lors de la modification d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100104" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.eventID">^4663$</field>
|
|
<description>Alerte fichier modifié</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la suppression d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100105" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.eventID">^4659$</field>
|
|
<description>Alerte fichier supprimé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la création d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100106" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.message">Écriture données (ou ajout fichier)</field>
|
|
<description>Alerte fichier Créé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- CHIFFREMENT -->
|
|
|
|
<!-- Alerte si création en masse de fichier par le même utilisateur -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100110" level="15" frequency="50" timeframe="60" ignore="300">
|
|
<if_matched_sid>100103</if_matched_sid>
|
|
<same_field>win.eventdata.subjectUserName</same_field>
|
|
<description>Fichier créer en masse - Chiffrage ?</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Alerte si création en masse de fichier par le même utilisateur -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100111" level="15" frequency="50" timeframe="60" ignore="300">
|
|
<if_matched_sid>100104</if_matched_sid>
|
|
<same_field>win.eventdata.subjectUserName</same_field>
|
|
<description>Fichier supprime en masse - Chiffrage ?</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Alerte si création fichier avec extension bloqué -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100112" level="15">
|
|
<field name="win.system.eventID">8215</field>
|
|
<description>Tentative de création de fichier avec extension bloqué</description>
|
|
</rule>
|
|
</group>
|