Home
  •  

Falha na Alteração da Senha (SUSE Linux Enterprise Server 10)

Microsoft.ACS.Linux.SLES.10.Password.Change.Failed (Rule)

Regra para coletar eventos relacionados a alterações de senha com falha

Knowledge Base article:

Resumo

Foi detectada uma operação de alteração de senha nos arquivos de log do sistema.

Causas

Uma senha não foi alterada com êxito no sistema. Este monitor permite que os administradores de sistemas controlem alterações de senhas.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.

Element properties:

TargetMicrosoft.ACS.Linux.SLES.10.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.SLES.10.Password.Change.Failed" Enabled="true" Target="Microsoft.ACS.Linux.SLES.10.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <!-- [TYPE] SUSE Password False -->

      <!-- [INPUT] Oct 19 13:57:26 scxcore-suse01 passwd[20399]: User jeffcof: Authentication failure-->

      <!-- [EXPECTED] date="Oct 19 13:57:26"; hostname="scxcore-suse01"; process="passwd"; processId="20399"; clientUser="jeffcof" -->

      <RegExpFilter>\s+passwd\[[[:digit:]]+\]: User \S+: Authentication failure</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd)\[(?'processId'\d+)\]: User (?'clientUser'\S+): Authentication failure</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

      <BackrefOverrides>sessionName="Password not changed"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>