OSSEC HIDS v0.7
Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
                                        <dcid@ossec.net>
                                        


--- Classidicao das regras ---


-- Classificao --

As regras so classificadas em vrios niveis, indo do menos (00) para o maior (16). 
Alguns nveis no esto sendo usados. Voc pode adicionar mais entre ou aps estes.

**As regras sero lidas partindo do menor nivel para o maior. **

00 - Ignorado - No h nehum ao. Usado para evitar falso positivos. Estas regras
     so escaneadas antes das demias e incluem eventos sem relevncia de segurana.
01 - Nenhuma -
02 - Notificao do sistema com baixa prioridade - Notificaes do sistema ou mensagens
     de status. Estas regras no posseum relevncia de segurana.
03 - Eventos de sucesso/Autorizado - Estes incluem tentativas de logins com sucesso,
     eventos permitidos pelo, etc.
04 - Erros de sistema com baixa prioridade - Erros relatados por m configurao ou
     devices/aplicaes no usadas. Estas no apresentam relevncia de segurana e
     normalmente so causadas por instalaes padres ou software em testes.
05 - Erros gerados pelo usurio - Este incluem senhas erradas, aes no permitidas,
     etc, mas no tem relevncia de segurana.
06 - Ataque de baixa relevncia - Estas indicam que um worm ou vrus que no afetam
     o sistema (como o code red para servidores apache, etc). Incluem tambm eventos
     de IDS ou erros frequentes.
07 - Combinao de "Bad word". Estas incluem palavras como "bad", "error", etc. Estes
     eventos normalmente no so classificados e possuem alguma relevncia de segurana.
08 - Visto pela primeira vez - Incluem eventos vistos pela primeira vez, primeira vez 
     de ventos de IDS ou primeira vez que um usurio loga. Se voc estiver comeando a
     usar o OSSEC HIDS, estas mensagens sero frequntes mas depois devem diminuir.
     Estas incluem tambm aes de segurana relevantes (como iniciar um sniffer ou
     algo do gnero).
09 - Erro de fonte invlida - Inclue tentativas de login com um usurio desconhecido
     ou de uma fonte invlida. Pode haver relevncia de segurana (princilmente se ocorrer
     repetidamente). Incluem tambm erros a respeito do usurio "root".
10 - Erros gerador por vrios usurios - Estas incluem vrios bad passwords,
     vrios logins falhos, etc. Podem indicar um ataque ou um usurio que esqueceu
     suas credenciais.
11 - Advertncia de checagem de integridade -Estas incluem mensagens a respeito da
     modificao de binrios ou a presena de rootkits (pelo rootcheck). Se voc
     houver modificado apenas a configurao do seu sistema, deve ficar atento as mensagens
     do "syscheck". Pode indicar um ataque com sucesso.
12 - Evento de alta importncia - Estas incluem erros ou avisos vindos do sistema, kernel,
     etc. Podem indicar um ataque a uma aplicao especfica.
13 - Erros incomuns (alta importncia) -  A maioria das vezes mostra um ataque padro.
14 - Evendo de segurana de alta importncia - Na maioria das vezes so eventos de 
     corelao e indicam um ataque.
15 - Ataque severo - No h chanses de falso positivo.  necessria ateno imediata.


== Grupos de regras ==

-Ns podemos especificar grupos para regras especficas. Isto  usado para
razes de resposta ativa ou para corelao.

     
== Configurao das regras ==

http://www.ossec.net/en/manual.html#rules

