Regel voor het verzamelen van gebeurtenissen voor mislukte aanroepen naar su
Er is een mislukte su-opdracht aangetroffen in de logboekbestanden van het systeem.
De gebruiker heeft geprobeerd toegang te krijgen tot beschermde accounts. Met deze monitor kunnen systeembeheerders het gebruik van 'su' bijhouden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.AIX.5.3.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.AIX.5.3.Su.Failed" Enabled="false" Target="Microsoft.ACS.AIX.5.3.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<!-- [TYPE] AIX SU False -->
<!-- [INPUT] Oct 30 14:54:46 scxaix3-1 auth|security:crit su: BAD SU from scxuser to ccrammo at /dev/pts/1 -->
<!-- [EXPECTED] date="Oct 30 14:54:46"; hostname="scxaix3-1"; process="su"; clientUser="ccrammo"; user="scxuser" -->
<!-- [INPUT] Nov 12 14:28:51 scxaix3-1 auth|security:crit su: BAD SU from scxuser to ccrammo at vty1 -->
<!-- [EXPECTED] date="Nov 12 14:28:51"; hostname="scxaix3-1"; process="su"; clientUser="ccrammo"; user="scxuser" -->
<RegExpFilter>[[:space:]]+su:[[:space:]]*BAD SU from [^[:space:]]+ to [^[:space:]]+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+).+\s+(?'process'su)\s*:\s*BAD SU from (?'user'\S+)\s+to\s+(?'clientUser'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>