Wazuh-Custom-rules/registre-windows.xml

<!--
  ============================================================
  RÈGLES WAZUH — SUPPRESSION FAUX POSITIFS REGISTRE WINDOWS
  Contexte : Backups VM + comportements système normaux
  Emplacement : /var/ossec/etc/rules/local_rules.xml
  ============================================================
-->

<!-- GROUPE 1a — VSS Diag (Backup VM) -->
<!-- Pourquoi : VSS écrit ses traces binaires de diagnostic à chaque snapshot/backup.
     La branche Diag\ change systématiquement — comportement voulu par le système. -->
<group name="syscheck_registry_falsepositive, backup, vss">
  <rule id="102000" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\Diag</field>
    <description>FP Suppressed - VSS Diag registry keys modified during backup/snapshot operation</description>
    
  </rule>
</group>

<!-- GROUPE 1b — VSS lifecycle values (BACKUPCOMPLETE, PREPAREBACKUP, etc.) -->
<!-- Pourquoi : Ces valeurs tracent les étapes du cycle de vie d'un backup VSS.
     Elles sont réécrites à chaque opération Veeam, Acronis, WinServerBackup, etc. -->
<group name="syscheck_registry_falsepositive, backup, vss">
  <rule id="102001" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VSS\\</field>
    <field name="syscheck.value_name" type="pcre2">BACKUPCOMPLETE|BACKUPSHUTDOWN|BACKUPSTART|PREPAREBACKUP|POSTBACKUP|BackupComplete</field>
    <description>FP Suppressed - VSS backup lifecycle registry value changed (normal backup operation)</description>
    
  </rule>
</group>

<!-- GROUPE 2a — Windows Update (WindowsUpdate branch) -->
<!-- Pourquoi : Chaque MAJ modifie des dizaines de clés : numéros de version,
     états de téléchargement, historique, timestamps — totalement normal. -->
<group name="syscheck_registry_falsepositive, windows_update">
  <rule id="102010" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate</field>
    <description>FP Suppressed - Windows Update registry keys (normal update activity)</description>
    
  </rule>
</group>

<!-- GROUPE 2b — Windows Update (Component Based Servicing) -->
<!-- Pourquoi : CBS gère l'installation des composants Windows lors des MAJ.
     Ses clés sont massivement modifiées pendant chaque mise à jour système. -->
<group name="syscheck_registry_falsepositive, windows_update">
  <rule id="102011" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Component Based Servicing</field>
    <description>FP Suppressed - CBS registry changes during Windows Update</description>
    
  </rule>
</group>

<!-- GROUPE 2c — Software Protection Platform (licences) -->
<!-- Pourquoi : SPP vérifie les licences périodiquement et met à jour ses clés
     lors de chaque vérification d'activation. Comportement normal sur tout Windows. -->
<group name="syscheck_registry_falsepositive, windows_licensing">
  <rule id="102012" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SoftwareProtectionPlatform</field>
    <description>FP Suppressed - Software Protection Platform registry (licensing checks, normal)</description>
    
  </rule>
</group>

<!-- GROUPE 3a — Performance Counters (Perflib) -->
<!-- Pourquoi : Les compteurs de performance sont mis à jour en continu par l'OS.
     Ces clés changent toutes les minutes sur un serveur actif — bruit pur. -->
<group name="syscheck_registry_falsepositive, perflib">
  <rule id="102020" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib</field>
    <description>FP Suppressed - Performance Library registry keys (updated continuously by OS)</description>
    
  </rule>
</group>

<!-- GROUPE 3b — PerfHost service -->
<!-- Pourquoi : PerfHost héberge les fournisseurs de compteurs de perf tiers.
     Ses clés changent à chaque collecte de métriques (monitoring, SCOM, etc.). -->
<group name="syscheck_registry_falsepositive, perflib">
  <rule id="102021" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\PerfHost</field>
    <description>FP Suppressed - PerfHost service registry (performance counter host, normal activity)</description>
    
  </rule>
</group>

<!-- GROUPE 4 — DHCP Client (renouvellements de bail) -->
<!-- Pourquoi : À chaque renouvellement DHCP, Windows réécrit l'IP, le bail,
     les serveurs DNS dans le registre. Sur un réseau actif, c'est très fréquent. -->
<group name="syscheck_registry_falsepositive, dhcp, network">
  <rule id="102030" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</field>
    <field name="syscheck.value_name" type="pcre2">LeaseObtainedTime|LeaseTerminatesTime|T1|T2|DhcpIPAddress|DhcpNameServer|DhcpSubnetMask|DhcpDefaultGateway</field>
    <description>FP Suppressed - DHCP lease renewal registry update (normal network operation)</description>
    
  </rule>
</group>

<!-- GROUPE 5 — EventLog metadata -->
<!-- Pourquoi : Windows met à jour LastWriteTime, CurrentSize, Flags à chaque
     événement écrit dans les journaux — soit des milliers de fois par jour. -->
<group name="syscheck_registry_falsepositive, eventlog">
  <rule id="102040" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\EventLog</field>
    <field name="syscheck.value_name" type="pcre2">MajorVersion|MinorVersion|CurrentSize|LastWriteTime|Flags</field>
    <description>FP Suppressed - EventLog metadata registry keys (updated on every log write)</description>
    
  </rule>
</group>

<!-- GROUPE 6a — Windows Defender (mises à jour de signatures) -->
<!-- Pourquoi : Defender met à jour ses signatures plusieurs fois par jour.
     Chaque update modifie des dizaines de clés — bruit sans valeur sécurité. -->
<group name="syscheck_registry_falsepositive, antivirus, defender">
  <rule id="102050" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Signature Updates</field>
    <description>FP Suppressed - Windows Defender signature update registry changes</description>
    
  </rule>
</group>

<!-- GROUPE 6b — Windows Defender (états de scan) -->
<!-- Pourquoi : Les scans planifiés et temps réel mettent à jour l'état,
     la progression et les résultats dans le registre en permanence. -->
<group name="syscheck_registry_falsepositive, antivirus, defender">
  <rule id="102051" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Scans</field>
    <description>FP Suppressed - Windows Defender scan state registry keys</description>
    
  </rule>
</group>

<!-- GROUPE 7a — Auto-enrollment certificats (PKI / AD) -->
<!-- Pourquoi : En environnement Active Directory, les certificats sont
     renouvelés automatiquement. AutoEnrollment écrit dans le registre
     à chaque vérification/renouvellement — comportement normal en domaine. -->
<group name="syscheck_registry_falsepositive, certificates, pki">
  <rule id="102060" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\AutoEnrollment</field>
    <description>FP Suppressed - Certificate auto-enrollment registry update (normal AD/PKI operation)</description>
    
  </rule>
</group>

<!-- GROUPE 7b — System Certificate Store -->
<!-- Pourquoi : Les mises à jour de CRL (Certificate Revocation List) et les
     renouvellements de certificats modifient le store système régulièrement. -->
<group name="syscheck_registry_falsepositive, certificates">
  <rule id="102061" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SystemCertificates</field>
    <description>FP Suppressed - System certificate store registry changes (CRL updates, renewals)</description>
    
  </rule>
</group>

<!-- GROUPE 8 — Task Scheduler (timestamps d'exécution) -->
<!-- Pourquoi : Le planificateur met à jour LastRunTime/NextRunTime à chaque
     exécution de tâche. Sur un serveur, cela arrive toutes les minutes.
     ATTENTION : La création de nouvelles tâches doit rester surveillée ! -->
<group name="syscheck_registry_falsepositive, taskscheduler">
  <rule id="102070" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tasks</field>
    <field name="syscheck.value_name" type="pcre2">LastRunTime|NextRunTime|LastSuccessfulRunTime</field>
    <description>FP Suppressed - Task Scheduler runtime timestamps (updated on every task execution)</description>
    
  </rule>
</group>

<!-- GROUPE 9 — W32Time / NTP synchronisation -->
<!-- Pourquoi : Le service de temps Windows met à jour ses clés à chaque sync NTP.
     Sur un DC ou serveur en domaine, c'est toutes les heures voire plus souvent. -->
<group name="syscheck_registry_falsepositive, timesync">
  <rule id="102080" level="0">
    <if_group>syscheck_registry</if_group>
    <field name="syscheck.path" type="pcre2">HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time</field>
    <field name="syscheck.value_name" type="pcre2">LastSyncTime|ClockAdjustment|PhaseOffset|ClockRate</field>
    <description>FP Suppressed - W32Time NTP synchronization registry update (normal time sync)</description>
    
  </rule>
</group>