Kök olmayan kullanıcıdan başarılı parola değişimi olaylarını toplayan kural
Sistem günlük dosyalarında kullanıcı hesabından başarılı bir parola değiştirme işlemi algılandı.
Sistemde bir parola başarıyla değiştirildi. Bu izleyici sistem yöneticilerinin parola değişikliklerini izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.Linux.SLES.11.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.11.Password.Change.From.User.Succeeded" Enabled="true" Target="Microsoft.ACS.Linux.SLES.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE Password True -->
<!-- [INPUT] Oct 19 09:58:36 scxcr-sles11-03 passwd[5589]: password changed - account=jeffcof, uid=1005, by=1005 -->
<!-- [EXPECTED] date="Oct 19 09:58:36"; hostname="scxcr-sles11-03"; process="passwd"; processId="5589"; user="jeffcof"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd\[[[:digit:]]+\]: password changed - account=\S+,</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd)\[(?'processId'\d+)\]: password changed - account=(?=(?'clientUser'\S+),)(?'user'\S+), uid=\d+, by=(?!0)\d+</RegExp>
<EventType>1</EventType>
<EventId>27004</EventId>
<BackrefOverrides>sessionName="Password changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>