OSSEC文件規則分類（級別）

翻譯：

規則分類（級別）

這些規則被分為多個級別。從最低的(00)到最大的15。有些級別現在還沒有使用。其他級別可以在它們之間或之後新增。

這些規則將從最高到最低的級別進行讀取。

00 - 忽略 - 沒有採取行動。用於避免誤報。這些規則在其他所有的規則之前被掃瞄。它們包括沒有安全相關性的事件。

01 - 無 -

02 - 系統低優先順序通知 - 系統通知或狀態訊息。它們沒有安全關聯。

03 - 成功/授權事件 - 包括成功的登入嘗試，防火牆允許事件等等。

04 - 系統低優先順序錯誤 - 錯誤配置或未使用裝置/應用程式的錯誤。它們與安全性無關，通常是由預設安裝或軟體測試引起的。

05 - 使用者生成的錯誤 - 它們包括未被使用的密碼，被拒絕的行為等等，它們本身並沒有安全關聯.

06 - 攻擊低的相關性 - 它們指出了乙個蠕蟲或病毒對系統沒有任何影響(比如apache伺服器的紅色**等等)。它們還包括頻繁的ids事件和頻繁的錯誤。

07 - 「壞詞」匹配. 這些事件包括「壞」、「錯誤」等，這些事件大部分時間都是不保密的，可能與安全有關。

08 - 首次遇見 - 包括第一次看到的事件。第一次啟動ids事件，或者第一次使用者登入。如果您剛剛開始使用ossec hids，這些訊息可能會頻繁出現。在一段時間之後，他們應該離開，它還包含了安全相關的操作(比如嗅探器的啟動或類似的操作)。

09 - 錯誤無效的** - 包括嘗試以未知使用者身份登入或從無效源登入。可能有安全相關性(特別是重複的)。它們還包括關於「admin」(root)帳戶的錯誤。

10 - 多個使用者生成的錯誤 - 它們包括多個糟糕的密碼、多次失敗的登入等等。它們可能表明了攻擊，或者可能只是使用者忘記了他的credencials。

11 - 完整性檢查的警告 - 它們包括關於二進位制檔案的修改或rootkit(由rootcheck)的存在的訊息。如果您只是修改了系統配置，那麼您關注完整性檢查。它們可能預示著一次成功的攻擊。還包括將被忽略的ids事件(大量重複的事件)。

12 - 高重要性的事件 - 它們包括來自系統、核心等的錯誤或警告訊息，它們可能指示針對某個特定應用程式的攻擊。

13 - 不尋常的錯誤(非常重要) - 大多數情況下，它與常見的攻擊模式相匹配。

14 - 高度重視安全事件。大多數時候都是用相關性做的，這表明了攻擊。

15 - 嚴重的攻擊 - 沒有誤報的機會。及時關注是必要的。

規則組我們可以為特定的規則指定組。它被用於積極響應的原因和相關性。

我們目前已有的規則組:

invalid_login

authentication_success

authentication_failed

connection_attempt

attacks

adduser

sshd

idsfirewall

squid

apache

syslog

OSSEC文件 規則分類（級別）