53 lines
1.6 KiB
XML
53 lines
1.6 KiB
XML
<!-- FILE INTEGRITY MANAGER -->
|
|
|
|
|
|
<!-- Filtre accès objet win - Supression/modif/créa -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100100" level="0">
|
|
<if_sid>60103</if_sid>
|
|
<field type=pcre2 name="win.system.eventID">(4663|4659)</field>
|
|
<description>Alerte fichier modifié</description>
|
|
</rule>
|
|
</group>
|
|
|
|
<!-- Règle alerte lors de la modification d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100101" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.eventID">^4663$</field>
|
|
<description>Alerte fichier modifié</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la suppression d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100102" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.eventID">^4659$</field>
|
|
<description>Alerte fichier supprimé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- Règle alerte lors de la création d'un fichier -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100103" level="5">
|
|
<if_sid>100100</if_sid>
|
|
<field name="win.system.message">Écriture données (ou ajout fichier)</field>
|
|
<description>Alerte fichier Créé</description>
|
|
</rule>
|
|
</group>
|
|
|
|
|
|
<!-- CHIFFREMENT -->
|
|
|
|
<!-- Alerte si suppression en masse de fichier par le même utilisateur -->
|
|
<group name="windows,windows_security,">
|
|
<rule id="100110" level="15" frequency="50" timeframe="60" ignore="300">
|
|
<if_matched_sid>100102</if_matched_sid>
|
|
<same_field>win.eventdata.subjectUserName</same_field>
|
|
<description>Fichier supprimer en masse</description>
|
|
</rule>
|
|
</group>
|