Başarılı SU çağrısı olaylarını toplayan kural
Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerinin 'su' kullanımını izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.AIX.7.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.AIX.7.Su.Succeeded" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<!-- [TYPE] AIX SU True -->
<!-- [INPUT] Oct 4 17:21:49 scxomd-aix7-01 auth|security:notice su: from jeffcof to root at /dev/pts/0 -->
<!-- [EXPECTED] date="Oct 4 17:21:49"; hostname="scxomd-aix7-01"; process="su"; clientUser="root"; user="jeffcof" -->
<!-- [INPUT] Oct 4 17:22:06 scxomd-aix7-01 auth|security:notice su: from root to jeffcof at /dev/pts/0 -->
<!-- [EXPECTED] date="Oct 4 17:22:06"; hostname="scxomd-aix7-01"; process="su"; clientUser="jeffcof"; user="root" -->
<RegExpFilter>[[:space:]]+su:[[:space:]]*from [^[:space:]]+ to [^[:space:]]+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+).+\s+(?'process'su)\s*:\s*from (?'user'\S+)\s+to\s+(?'clientUser'\S+)</RegExp>
<EventType>1</EventType>
<EventId>27006</EventId>
</WriteAction>
</WriteActions>
</Rule>