OSSEC文档——规则分类（级别）

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html

规则分类（级别）

这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。


这些规则将从最高到最低的级别进行读取。


00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其他所有的规则之前被扫描。它们包括没有安全相关性的事件。


01 - 无 -


02 - 系统低优先级通知 - 系统通知或状态消息。它们没有安全关联。


03 - 成功/授权事件 - 包括成功的登录尝试，防火墙允许事件等等。


04 - 系统低优先级错误 - 错误配置或未使用设备/应用程序的错误。它们与安全性无关，通常是由默认安装或软件测试引起的。


05 - 用户生成的错误 - 它们包括未被使用的密码，被拒绝的行为等等，它们本身并没有安全关联.


06 - 攻击低的相关性 - 它们指出了一个蠕虫或病毒对系统没有任何影响(比如apache服务器的红色代码等等)。它们还包括频繁的IDS事件和频繁的错误。


07 - “坏词”匹配. 这些事件包括“坏”、“错误”等，这些事件大部分时间都是不保密的，可能与安全有关。


08 - 首次遇见 - 包括第一次看到的事件。第一次启动IDS事件，或者第一次用户登录。如果您刚刚开始使用OSSEC HIDS，这些消息可能会频繁出现。在一段时间之后，他们应该离开，它还包含了安全相关的操作(比如嗅探器的启动或类似的操作)。


09 - 错误无效的来源 - 包括尝试以未知用户身份登录或从无效源登录。可能有安全相关性(特别是重复的)。它们还包括关于“admin”(root)帐户的错误。


10 - 多个用户生成的错误 - 它们包括多个糟糕的密码、多次失败的登录等等。它们可能表明了攻击，或者可能只是用户忘记了他的credencials。


11 - 完整性检查的警告 - 它们包括关于二进制文件的修改或rootkit(由rootcheck)的存在的消息。如果您只是修改了系统配置，那么您关注完整性检查。它们可能预示着一次成功的攻击。还包括将被忽略的IDS事件(大量重复的事件)。


12 - 高重要性的事件 - 它们包括来自系统、内核等的错误或警告消息，它们可能指示针对某个特定应用程序的攻击。


13 - 不寻常的错误(非常重要) - 大多数情况下，它与常见的攻击模式相匹配。


14 - 高度重视安全事件。大多数时候都是用相关性做的，这表明了攻击。


15 - 严重的攻击 - 没有误报的机会。及时关注是必要的。


规则组
我们可以为特定的规则指定组。它被用于积极响应的原因和相关性。
我们目前已有的规则组:
invalid_login
authentication_success
authentication_failed
connection_attempt
attacks
adduser
sshd
ids
firewall
squid
apache
syslog