- Alto (rojo): Firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. La mayoría de estas firmas son específicas de ataques de explotación claramente identificados y son principalmente de tipo no dependiente del comportamiento. Deberían evitarse en todos los hosts.
- Medio (naranja): Firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para agentes que protegen servidores Web y Microsoft SQL Server 2000). En servidores críticos, se recomienda evitar estas firmas después de realizar los ajustes.
- Bajo (amarillo): Firmas más relacionadas con el comportamiento y que protegen a las aplicaciones. La protección implica el bloqueo de los recursos del sistema y las aplicaciones para que no se puedan modificar. Si se evitan las firmas amarillas, se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes adicionales.
- Información (azul): Indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Los eventos de este nivel se producen durante las actividades normales del sistema y, generalmente, no constituyen prueba de que se esté produciendo un ataque.