做网站的图片取材,wordpress建网站的优点,淘宝运营团队怎么找,巩义郑州网站建设前言 Wazuh 规则是一组用XML格式编写的条件#xff0c;它们定义了应该如何解释日志数据。这些规则由Wazuh Manager使用#xff0c;用于在日志消息中检测特定的模式或行为#xff0c;并相应地生成警报或响应。它们在威胁检测中扮演着至关重要的角色#xff0c;因为它们允许系…前言 Wazuh 规则是一组用XML格式编写的条件它们定义了应该如何解释日志数据。这些规则由Wazuh Manager使用用于在日志消息中检测特定的模式或行为并相应地生成警报或响应。它们在威胁检测中扮演着至关重要的角色因为它们允许系统根据预定义的标准识别潜在的安全事件。 文章目录 前言1 规则1.1 规则示例1.2 规则格式1.2.1 group1.2.2 rule1.2.3 match1.2.4 regex1.2.5 decoded_as1.2.6 category1.2.7 field1.2.8 srcip1.2.9 dstip1.2.10 srcport1.2.11 dstport1.2.12 data1.2.13 extra_data1.2.14 user、system_name、program_name、protocol、hostname、id、url、action、status1.2.15 time1.2.16 weekday1.2.17 location1.2.18 if_sid1.2.19 if_group1.2.20 if_level1.2.21 if_matched_sid1.2.22 if_matched_group1.2.23 same_id1.2.24 different_id1.2.25 same_srcip、different_srcip、same_dstip、different_dstip、same_srcport、different_srcport、same_dstport、different_dstport、same_location、different_location、same_srcuser、different_srcuser、same_user、different_user、same_protocol、different_protocol、same_action、different_action、same_data、different_data、same_extra_data、ifferent_extra_data、same_status、different_status、same_system_name、different_system_name、same_url、different_url1.2.26 same_field1.2.27 different_field1.2.28 global_frequency1.2.29 description1.2.30 info1.2.31 options1.2.32 mitre1.2.33 var 1.3 规则类型1.3.1 默认规则1.3.2 自定义规则1.3.2.1 新增自定义规则1.3.2.2 修改默认规则 1.4 规则分类 1 规则
Wazuh 默认规则是随 Wazuh 安装包一起提供的内置规则。这些规则可以在 Wazuh 服务器的/var/ossec/ruleset/rules/目录下找到。这些规则涵盖了广泛的安全事件和日志来源为常见的安全威胁提供了一个基准。默认规则旨在检测各种类型的攻击、漏洞或可疑活动。它们由Wazuh团队不断更新和维护以应对新出现的威胁并确保安全检测能力的有效性。
1.1 规则示例
下面是Wazuh内置的对网络入侵检测引擎Suricata日志解析的规则示例该规则示例在/var/ossec/ruleset/rules/0475-suricata_rules.xml文件中。
group nameids,suricata,!--{timestamp:2016-05-02T17:46:48.5152620000,flow_id:1234,in_iface:eth0,event_type:alert,src_ip:16.10.10.10,src_port:5555,dest_ip:16.10.10.11,dest_port:80,proto:TCP,alert:{action:allowed,gid:1,signature_id:2019236,rev:3,signature:ET WEB_SERVER Possible CVE-2014-6271 Attempt in HTTP Version Number,category:Attempted Administrator Privilege Gain,severity:1},payload:abcde,payload_printable:hi test,stream:0,host:suricata.com}--rule id86600 level0decoded_asjson/decoded_asfield nametimestamp\./fieldfield nameevent_type\./fielddescriptionSuricata messages./descriptionoptionsno_full_log/options/rulerule id86601 level3if_sid86600/if_sidfield nameevent_type^alert$/fielddescriptionSuricata: Alert - $(alert.signature)/descriptionoptionsno_full_log/options/rulerule id86602 level0if_sid86600/if_sidfield nameevent_type^http$/fielddescriptionSuricata: HTTP./descriptionoptionsno_full_log/options/rulerule id86603 level0if_sid86600/if_sidfield nameevent_type^dns$/fielddescriptionSuricata: DNS./descriptionoptionsno_full_log/options/rulerule id86604 level0if_sid86600/if_sidfield nameevent_type^tls$/fielddescriptionSuricata: TLS./descriptionoptionsno_full_log/options/rule/group1.2 规则格式
Wazuh的规则是由XML格式文件配置实现下面是对配置规则的XML标签的介绍。
1.2.1 group
该标签用于对警报进行分类。它允许用户在Wazuh仪表板中筛选相关联的警报。每个规则必须至少属于一个组。通过为规则指定一个或多个组可以将相似的警报归类到一起从而便于管理和分析。下面规则示例中规则所属组的名称为limits。
group namelimitsrule id100234 level3if_sid230/if_sidfield namealert_typenormal/fielddescriptionThe file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored./description/rule
/group如果该规则属于多个组可以将多个组名以逗号分割赋值给name属性下面规则示例中规则所属组的名称为limits_1、“limits_2”、“limits_3”。
group namelimits_1,limits_2,limits_3rule id100234 level3if_sid230/if_sidfield namealert_typenormal/fielddescriptionThe file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored./description/rule
/group除此之外还可以在规则内容中使用group标签定义其所属组名称示例如下
group namelimits_1rule id100234 level3if_sid230/if_sidfield namealert_typenormal/fielddescriptionThe file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored./descriptiongroup,limits_2,limits_3/group/rule
/group1.2.2 rule
该标签用于定义一个检测规则它指定了何时以及如何生成安全警报。每个rule标签内包含了一系列定义特定规则行为的选项例如匹配日志事件的条件、规则的严重性级别、描述和其他相关设置。下表为该标签支持的属性
属性取值范围描述id1~999999指定规则的唯一标识符。level0~16指定规则的警报级别这个级别用于确定警报的严重性。数字越大表示严重性越高。maxsize1~9999指定事件的最大大小。frequency2~9999指定该规则产生告警前需要达到匹配的次数。timeframe1~99999时间范围(以秒为单位)此属性和frequency配合使用。ignore1~999999触发此规则后忽略此规则的时间(以秒为单位)一般用于避免告警泛洪。overwriteyes/no用于使用当前规则覆盖同名规则。noalert0(告警默认值) 1(不告警)标识当事件命中当前规则时是否产生告警。
下面是规则示例该规则的标识ID为3151且此规则在过去120s的时间如果命中了8次则产生等级为10的警告
rule id3151 level10 frequency8 timeframe120if_matched_sid3102/if_matched_sidsame_source_ip /descriptionsendmail: Sender domain has bogus MX record. /descriptiondescriptionIt should not be sending email./descriptionmitreidT1114/ididT1499/id/mitregroupmultiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,/group
/rule1.2.3 match
该标签用于定义一个正则表达式该表达式会在日志事件的内容中进行搜索以查找匹配项。如果日志中的文本与match标签中定义的正则表达式相匹配那么规则就可能会被触发从而生成一个安全警报。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略用来设置命中还是未命中所包含的正则表达式时命中该规则。typeosmatch(默认值) osregex pcre2所包含正则表达式格式。
下面是规则示例事件信息中如果包含Queue flood!短句则该规则触发等级为3的告警。
rule id100001 maxsize300 level3if_sid100200/if_sidmatchQueue flood!/matchdescriptionFlooded events queue./description
/rule1.2.4 regex
该标签的作用与match标签类似但它专门用于定义一个正则表达式用于在日志事件中搜索匹配项。regex标签提供了更多的灵活性和强大的模式匹配能力因为它允许使用更复杂的正则表达式语法。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略用来设置命中还是未命中所包含的正则表达式时命中该规则。typeosmatch osregex(默认值) pcre2所包含正则表达式格式。
下面是规则示例事件信息中如果包含IPv4地址则该规则触发等级为3的告警。
rule id100001 level3if_sid100500/if_sidregex\b(?:\d{1,3}\.){3}\d{1,3}\b/regexdescriptionMatches any valid IP/description
/rule1.2.5 decoded_as
该标签用于指定规则应该触发的解码器。解码器decoder是Wazuh中用于解析和提取日志文件中特定信息的组件。当日志事件被特定的解码器解析后decoded_as 标签确保只有那些被特定解码器处理过的日志才会触发相应的规则。下面是规则示例该规则只有成功经过名为smtpd的解码器解码触发此规则
rule id53500 level0decoded_assmtpd/decoded_asdescriptionOpenSMTPd grouping./description
/rule1.2.6 category
标签用于指定规则应该触发的日志类别。这个标签允许规则只对特定类型的日志事件生效从而提高规则的针对性和减少误报。下面是规则示例只有日志消息已经被syslog解码器处理过当前规则才能被触发。
rule id1 level0 noalert1categorysyslog/categorydescriptionGeneric template for all syslog rules./description
/rule1.2.7 field
标签用于指定规则应该匹配的特定字段。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。field标签允许安全分析师和系统管理员创建更具体和精确的规则以便在检测到特定字段值时触发警报。下表为该标签支持的属性
属性取值范围描述name指定解码器所提取的字段名称。negateyes no(默认值)是否反转匹配策略。typeosregex(默认值) osmatch pcre2所包含正则表达式格式。
下面是规则示例该规则要求使用json解码器对日志内容进行解码且检查被解码为“integration”字段的内容如果这个字段的内容是“virustotal”那么规则就会被触发
rule id87100 level0decoded_asjson/decoded_asfield nameintegrationvirustotal/fielddescriptionVirusTotal integration messages./descriptionoptionsno_full_log/options
/rule1.2.8 srcip
该标签用于指定规则应该匹配的源IP地址。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。
下面是规则示例只有经过解码器解码并从日志信息中提取到源IP地址为10.25.23.12时命中此规则
rule id100105 level8if_sid100100/if_sidsrcip10.25.23.12/srcipdescriptionForbidden srcip has been detected./description
/rule1.2.9 dstip
该标签用于指定规则应该匹配的目的IP地址。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。
下面是规则示例只有经过解码器解码并从日志信息中提取到目的IP地址不为198.168.41.30时命中此规则
rule id100110 level5if_sid100100/if_siddstip negate”yes”198.168.41.30/dstipdescriptionA different dstip has been detected./description
/rule1.2.10 srcport
该标签用于指定规则应该匹配的源端口号。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。typeosregex osmatch pcre2所包含正则表达式格式。
下面是规则示例只有经过解码器解码并从日志信息中提取到源端口号在50000~50007范围时命中此规则
rule id100110 level5if_sid100100/if_sidsrcport typepcre2^5000[0-7]$/srcportdescriptionSource port $(srcport) is detected./description
/rule1.2.11 dstport
该标签用于指定规则应该匹配的目的端口号。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。typeosregex osmatch pcre2所包含正则表达式格式。
下面是规则示例只有经过解码器解码并从日志信息中提取到目的端口号在50000~50007范围时命中此规则
rule id100110 level5if_sid100100/if_siddstport typepcre2^5000[0-7]$/dstportdescriptionDestination port $(dstport) is detected./description
/rule1.2.12 data
该标签用于定义规则应该匹配的特定数据内容。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。typeosregex osmatch pcre2所包含正则表达式格式。
1.2.13 extra_data
该标签用于定义规则应该匹配的额外数据内容。这个标签通常与解码器结合使用解码器负责从日志事件中提取信息并将这些信息存储在字段中。下表为该标签支持的属性
属性取值范围描述negateyes no(默认值)是否反转匹配策略。typeosregex osmatch pcre2所包含正则表达式格式。
下面是规则示例当日志文件属于Windows类别并且解码后的字段extra_data显示为“Symantec AntiVirus”时命中当前规则
rule id7301 level0categorywindows/categoryextra_data^Symantec AntiVirus/extra_datadescriptionGrouping of Symantec AV rules from eventlog./description
/rule1.2.14 user、system_name、program_name、protocol、hostname、id、url、action、status
同上面介绍的、标签的功能一样这些标签与解码器结合使用解码器负责从日志中提取字段信息存储而在规则匹配中提取这些字段值并与该标签内容进行匹配。
1.2.15 time
该标签用于指定规则应该触发的时间范围。这个标签允许您定义一个特定的时间窗口例如您可以设置规则仅在工作日的特定时间段内触发或者在夜间不触发以此来减少误报或针对特定时间段的威胁进行监控。下面是该标签允许的赋值格式 hh:mm-hh:mm, hh:mm am-hh:mm pm, hh-hh, hh am-hh pm 下面是规则示例该规则只有在下午6点到次日8点30命中时才算有效命中。
rule id17101 level9if_groupauthentication_success/if_grouptime6 pm - 8:30 am/timedescriptionSuccessful login during non-business hours./descriptiongrouplogin_time/group
/rule1.2.16 weekday
该标签用于指定规则应该在哪些工作日触发警报。这个标签可以帮助管理员设置在特定日子例如工作日或周末才需要关注的安全规则从而更有效地管理和响应可能的安全事件。下面是该标签允许的赋值格式 monday - sunday, weekdays, weekends 下面是规则示例该规则只有在周六日命中时才算有效命中。
rule id17102 level9if_groupauthentication_success/if_groupweekdayweekends/weekdaydescriptionSuccessful login during weekend./descriptiongrouplogin_day,/group
/rule1.2.17 location
该标签用于指定规则应该在哪个数据源或日志文件中触发警报。这个标签可以帮助管理员定义规则的适用范围例如只针对来自特定应用程序或服务的日志。
1.2.18 if_sid
该标签用于创建派生规则它指定当前规则是依赖于另一个规则父规则的。如果父规则被触发并且满足当前规则的其他条件那么当前规则也会被触发。这允许基于其他规则的结果来创建更具体的过滤和匹配从而实现更复杂的检测逻辑。如果包含多个父规则则将规则ID以逗号分隔。下面是规则示例规则ID为100110的父规则时ID为100100和100101的规则。
rule id100110 level5if_sid100100, 100101/if_sidmatchError/matchdescriptionThere is an error in the log./description
/rule1.2.19 if_group
该标签标识当前规则只有在特定组的规则已经匹配的情况下才会生效。下面是规则示例当前规则命中的条件有两个 1日志信息经过解码器解码提sysmon.image字段后其值为lsm.exe 2日志信息命中规则组sysmon_event1中的规则
rule id184676 level12if_groupsysmon_event1/if_groupfield namesysmon.imagelsm.exe/fielddescriptionSysmon - Suspicious Process - lsm.exe/descriptiongrouppci_dss_10.6.1,pci_dss_11.4,gdpr_IV_35.7.d,hipaa_164.312.b,nist_800_53_AU.6,nist_800_53_SI.4,/group
/rule1.2.20 if_level
该标签用于指定当前规则是否命中取决于在之前是否有规则触发了指定级别的警报时触发。这个标签允许规则之间建立一种基于警报级别的依赖关系。
1.2.21 if_matched_sid
该标签用于指定当前规则是否命中取决于在之前某个指定的规则ID在一定时间范围内被触发了若干次后才触发。这个标签与frequency和timeframe标签一起使用用于创建基于事件频率和时间范围的复合规则。下面是规则示例当规则30315在120秒内被触发了10次并且这些请求都是由同一个源IP地址发起的那么就会触发当前规则。简单来说就是如果一个IP地址在两分钟内连续触发了某个安全规则10次那么就会触发另一个规则。这通常用于检测和防御网络攻击比如DDoS攻击。
rule id30316 level10 frequency10 timeframe120if_matched_sid30315/if_matched_sidsame_source_ip /descriptionApache: Multiple Invalid URI requests from same source./descriptionmitreidT1499/id/mitregroupgdpr_IV_35.7.d,hipaa_164.312.b,invalid_request,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_SI.4,pci_dss_10.2.4,pci_dss_11.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,/group
/rule1.2.22 if_matched_group
该标签用于指定当前规则是否命中取决于某个指定的组在一定时间范围内被触发了若干次后才触发。这个标签与frequency和timeframe标签一起使用用于创建基于事件频率和时间范围的复合规则。下面是规则示例当某个被定义为“病毒组”中的规则在过去的360秒内被匹配了8次时就会触发当前的规则。这通常用于网络安全或数据监控系统中用来识别和响应潜在的威胁或异常行为。
rule id40113 level12 frequency8 timeframe360if_matched_groupvirus/if_matched_groupdescriptionMultiple viruses detected - Possible outbreak./descriptiongroupvirus,pci_dss_5.1,pci_dss_5.2,pci_dss_11.4,gpg13_4.2,gdpr_IV_35.7.d,nist_800_53_SI.3,nist_800_53_SI.4,/group
/rule1.2.23 same_id
该标签用于指定解码器中提取的ID字段值要相同这个标签与if_match_id、frequency和timeframe标签一起使用。下面是规则示例该规则要求在3800s内规则ID为20152的规则命中至少5次并且日志内容经过解码器解码后提取的id字段值要相同。
rule id20162 level11 frequency5 timeframe3800if_matched_sid20152/if_matched_sidsame_id /ignoreid/ignoredescriptionMultiple IDS alerts for same id /descriptiondescription(ignoring now this id)./descriptiongrouppci_dss_10.6.1,pci_dss_11.4,gdpr_IV_35.7.d,/group/rule1.2.24 different_id
与same_id相反要求解码器解码提取的id字段值不同。
1.2.25 same_srcip、different_srcip、same_dstip、different_dstip、same_srcport、different_srcport、same_dstport、different_dstport、same_location、different_location、same_srcuser、different_srcuser、same_user、different_user、same_protocol、different_protocol、same_action、different_action、same_data、different_data、same_extra_data、ifferent_extra_data、same_status、different_status、same_system_name、different_system_name、same_url、different_url
这些字段值都是由解码器解码的静态字段值这些标签的作用可参考上面对same_id、different_id标签的说明。
1.2.26 same_field
该标签用于指定一个动态字段的值必须在一定数量的先前事件中出现这个标签与frequency和timeframe标签一起使用用于创建基于事件频率和时间范围的复合规则。下面是使用示例。规则100001是规则100002的父规则规则100002命中的条件是300s内规则100001规则命中至少4次且经过解码器解码后的key2字段值相同。
!-- {key:value, key2:AAAA} --
rule id100001 level3decoded_asjson/decoded_asfield namekeyvalue/fielddescriptionTesting JSON alert/description
/rulerule id100002 level10 frequency4 timeframe300if_matched_sid100001/if_matched_sidsame_fieldkey2/same_fielddescriptionTesting same_field option/description
/rule
1.2.27 different_field
与same_field相反要求不同字段值。
1.2.28 global_frequency
该标签用于指定当规则使用频率和时间范围选项时会考虑所有代理的事件。默认情况下只有由同一个代理生成的事件才会被计算在内以增加规则的频率计数器。简单来说就是用户可以选择是否将所有代理的事件都考虑在内还是只考虑单个代理的事件来决定某个规则的触发频率。
1.2.29 description
该标签用于给当前规则添加描述信息。示例如下
rule id100015 level2descriptionA timeout occurred./description
/rulerule id100035 level4descriptionFile missing. Root access unrestricted./description
/rule在3.3版本后可以在描述中添加解码器解码后的动态字段值和静态字段值。示例如下
rule id100005 level8matchillegal user|invalid user/matchdescriptionsshd: Attempt to login using a non-existent user from IP $(attempt_ip)/descriptionoptionsno_log/options
/rule1.2.30 info
该标签用于为当前规则添加额外的信息。下表是该标签支持的属性
属性取值范围描述typetext link cve ovsdb文本描述 该规则相关的链接 与该规则相关的CVE编号
1.2.31 options
该标签用于其它规则选项。下表是该选项支持的属性
属性描述alert_by_email规则命中时邮件提醒。no_email_alert规则命中时从不邮件提醒。no_log不记录此规则日志。no_full_log不包含full_log字段的信息。no_counter省略JSON格式的告警中rule.firedtimes中的值。
下面是使用示例
rule id9800 level8matchillegal user|invalid user/matchdescriptionsshd: Attempt to login using a non-existent user/descriptionoptionsno_log/options
/rule1.2.32 mitre
该标签用于将特定的安全规则与MITRE ATTCK框架中的战术和技术关联起来。MITRE ATTCK是一个知名的网络安全模型它详细列出了网络攻击者可能使用的战术、技术和程序TTPs这些信息被广泛用于安全防御和威胁情报领域。
1.2.33 var
该标签用于定义一个变量且该变量在当前规则文件中全局可用。下面是使用示例
var namejoe_folder/home/joe//vargroup namelocal,rule id100001 level5if_sid550/if_sidfield namefile^$joe_folder/fielddescriptionA Joes file was modified./descriptiongroupossec,pci_dss_10.6.1,gpg13_10.1,gdpr_IV_35.7.d,/group/rule/group1.3 规则类型
1.3.1 默认规则
Wazuh 默认规则是随 Wazuh 安装包一起提供的内置规则。这些规则可以在 Wazuh 服务器的 /var/ossec/ruleset/rules/ 目录下找到。这些规则涵盖了广泛的安全事件和日志来源为常见的安全威胁提供了一个基准。默认规则旨在检测各种类型的攻击、漏洞或可疑活动。它们由 Wazuh 团队不断更新和维护以应对新出现的威胁并确保安全检测能力的有效性。
1.3.2 自定义规则
Wazuh中的自定义规则允许用户定义特定条件或模式这些条件或模式与他们独特的环境、应用程序或安全需求相关。虽然Wazuh自带一组默认规则覆盖了广泛的安全事件但自定义规则使用户能够根据他们的具体需求定制系统并增强其能力。Wazuh有两种方式供用户选择分别是新增自定义规则和修改默认规则。
1.3.2.1 新增自定义规则
新增规则可参考上面对规则格式的介绍来进行编写。自定义规则有以下三点需要注意
新增的规则ID应该设置为100000~120000范围。如果新增规则数量较少可以在/var/ossec/etc/rules/local_rules.xml文件中添加如果规则数量较多建议在/var/ossec/etc/rules/文件夹下创建规则文件。更改规则后需要执行systemctl restart wazuh-manager命令重启wazuh-manager才能生效。
1.3.2.2 修改默认规则
Wazuh默认的规则文件在/var/ossec/ruleset/rules文件夹下如果想要修改默认规则先将默认的规则文件拷贝复制到/var/ossec/etc/rules/文件夹下然后进行修改并添加overwriteyes属性。需要注意的是尽量不要在/var/ossec/ruleset/rules文件夹下直接修改规则文件因为这样在Wazuh升级的时候很有可能会将之前的修改覆盖掉。
1.4 规则分类
Wazuh规则被分为多个级别从最低的0级到最高的16级。下面的表格概述了每个级别提供了对每个触发警报的严重性的见解并帮助创建自定义规则。
下面是对不同等级规则的介绍
这段内容描述了一个安全事件管理系统中不同级别的事件及其描述。每个级别代表了事件的严重性及其对安全的影响。以下是对每个级别的简要解释 0 - Ignored: 无操作。用于避免误报。这些规则在其他所有规则之前被扫描包括没有安全相关性的事件并且不会出现在安全事件仪表板中。 2 - System low priority notification: 系统低优先级通知。系统通知或状态消息。这些没有安全相关性不会出现在安全事件仪表板中。 3 - Successful/Authorized events: 成功/授权事件。包括成功的登录尝试、防火墙允许事件等。 4 - System low priority error: 系统低优先级错误。与不良配置或未使用的设备/应用程序相关的错误。这些没有安全相关性通常由默认安装或软件测试引起。 5 - User generated error: 用户生成的错误。包括错过的密码、被拒绝的操作等。就其本身而言这些没有安全相关性。 6 - Low relevance attack: 低相关性攻击。表明对系统没有影响的蠕虫或病毒例如对Apache服务器的代码红等。这也包括频繁的IDS事件和频繁的错误。 7 - “Bad word” matching: “坏词”匹配。包括“坏”、“错误”等词。这些事件大多数时候是未分类的可能有一定的安全相关性。 8 - First time seen: 第一次看到。包括第一次看到的事件。第一次IDS事件被触发或用户第一次登录。它还包括安全相关的操作如激活嗅探器或类似活动。 9 - Error from invalid source: 来自无效源的错误。包括作为未知用户或来自无效源的登录尝试。可能具有安全相关性特别是如果重复出现。这也包括关于“管理员”root账户的错误。 10 - Multiple user generated errors: 多个用户生成的错误。包括多个错误的密码、多次失败的登录等。这可能表明攻击或者仅仅是用户忘记了他们的凭据。 11 - Integrity checking warning: 完整性检查警告。包括有关二进制文件修改或存在rootkit由Rootcheck检测的消息。这可能表明成功的攻击。还包括将被忽略的IDS事件重复次数高。 12 - High importance event: 高重要性事件。包括来自系统、内核等的错误或警告消息。这可能表明针对特定应用程序的攻击。 13 - Unusual error (high importance): 不寻常的错误高重要性。大多数时候匹配常见的攻击模式。 14 - High importance security event: 高重要性安全事件。大多数时候通过相关性触发表明攻击。 15 - Severe attack: 严重攻击。没有误报的可能性。需要立即关注。
