Regel voor het verzamelen van gebeurtenissen voor een geslaagde wachtwoordwijziging
Er is een geslaagde wachtwoordwijziging aangetroffen in de logboekbestanden van het systeem.
Er is een wachtwoord gewijzigd op het systeem. Deze monitor stelt systeembeheerders in staat wachtwoordwijzigingen bij te houden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Linux.RHEL.5.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.5.Password.Change.Succeeded" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.5.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat5 Password True -->
<!-- [INPUT] Oct 17 11:12:58 scxom64-rhel52-03 passwd: pam_unix(passwd:chauthtok): password changed for root -->
<!-- [EXPECTED] date="Oct 17 11:12:58"; hostname="scxom64-rhel52-03"; process="passwd"; subSystem="pam_unix"; clientUser="root" -->
<RegExpFilter>\s+passwd: \S+\(.*\): password changed for \S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(.*\): password changed for (?'clientUser'\S+)</RegExp>
<EventType>1</EventType>
<EventId>27004</EventId>
<BackrefOverrides>sessionName="Password changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>