Regra para recolher eventos relativos à eliminação de um utilizador de um grupo
Foi detetado um comando usermod bem sucedido nos ficheiros de registo do sistema.
Foi eliminado um utilizador de um grupo do sistema. Este monitor permite aos administradores de sistema controlar a criação e eliminação de contas/grupos.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Linux.RHEL.7.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.7.Deleting.User.From.Group" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat7 UserDeleteFromGroup True -->
<!-- [INPUT] Sep 14 21:14:21 ostcdev64-rhel7-10 usermod[51303]: delete 'anugup' from group 'dev' -->
<!-- [EXPECTED] date="Sep 14 21:14:21"; hostname="ostcdev64-rhel7-10"; process="usermod"; processId="51303"; clientUser="anugup"; groupName="dev" -->
<RegExpFilter>\s+usermod\[[[:digit:]]+\]: delete '\S+' from group '\S+'</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'usermod)\[(?'processId'\d+)\]: delete '(?'clientUser'\S+)' from group '(?'groupName'\S+)'</RegExp>
<EventType>1</EventType>
<EventId>27005</EventId>
<BackrefOverrides>sessionName="User removed from group"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>