Home
  •  

A eliminar utilizador do grupo (Servidor Red Hat Enterprise Linux 7)

Microsoft.ACS.Linux.RHEL.7.Deleting.User.From.Group (Rule)

Regra para recolher eventos relativos à eliminação de um utilizador de um grupo

Knowledge Base article:

Resumo

Foi detetado um comando usermod bem sucedido nos ficheiros de registo do sistema.

Causas

Foi eliminado um utilizador de um grupo do sistema. Este monitor permite aos administradores de sistema controlar a criação e eliminação de contas/grupos.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.Linux.RHEL.7.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.RHEL.7.Deleting.User.From.Group" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat7 UserDeleteFromGroup True -->

      <!-- [INPUT] Sep 14 21:14:21 ostcdev64-rhel7-10 usermod[51303]: delete 'anugup' from group 'dev' -->

      <!-- [EXPECTED] date="Sep 14 21:14:21"; hostname="ostcdev64-rhel7-10"; process="usermod"; processId="51303"; clientUser="anugup"; groupName="dev" -->

      <RegExpFilter>\s+usermod\[[[:digit:]]+\]: delete '\S+' from group '\S+'</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'usermod)\[(?'processId'\d+)\]: delete '(?'clientUser'\S+)' from group '(?'groupName'\S+)'</RegExp>

      <EventType>1</EventType>

      <EventId>27005</EventId>

      <BackrefOverrides>sessionName="User removed from group"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>