Regla para recopilar eventos sin privilegios para las operaciones sudo
Se ha detectado un comando "sudo" no válido en los archivos de registro del sistema.
El usuario intentó que se le concediera acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de "sudo".
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.ACS.HPUX.11iv3.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.HPUX.11iv3.Sudo.Invalid" Enabled="true" Target="Microsoft.ACS.HPUX.11iv3.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<!-- [TYPE] HP SUDO False -->
<!-- [INPUT] Oct 30 15:03:24 scxhpi1 sudo: jonas : user NOT in sudoers ; TTY=pts/0 ; PWD=/storage/home/jonas ; USER=root ; COMMAND=/usr/bin/tail /var/adm/syslog/syslog.log -->
<!-- [INPUT] Oct 30 15:14:36 1S:scxhpr2 sudo: jonas : user NOT in sudoers ; TTY=pts/2 ; PWD=/storage/home/jonas ; USER=root ; COMMAND=/usr/bin/tail /var/adm/syslog/syslog.log -->
<!-- [EXPECTED] date="Oct 30 15:03:24"; hostname="scxhpi1"; process="sudo"; user="jonas"; clientUser="root"; sessionName="/usr/bin/tail /var/adm/syslog/syslog.log" -->
<!-- [EXPECTED] date="Oct 30 15:14:36"; hostname="scxhpr2"; process="sudo"; user="jonas"; clientUser="root"; sessionName="/usr/bin/tail /var/adm/syslog/syslog.log" -->
<RegExpFilter>[[:space:]]sudo:[[:space:]]+[^[:space:]]+ : user NOT in sudoers ; TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo):\s+(?'user'\S+) : user NOT in sudoers ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>