Regola per raccogliere gli eventi per nessun privilegio per le operazioni di sudo
Nei file di registro di sistema è stato rilevato un comando "sudo" non valido.
L'utente ha tentato di ottenere l'accesso agli account con privilegi. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo di "sudo".
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.
Target | Microsoft.ACS.Linux.SLES.11.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.11.Sudo.Invalid" Enabled="true" Target="Microsoft.ACS.Linux.SLES.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE SUDO False -->
<!-- [INPUT] Oct 15 15:05:41 scxcr64-sle11-03 sudo: test3 : user NOT in sudoers ; TTY=pts/0 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/tail /var/log/messages -->
<!-- [EXPECTED] date="Oct 15 15:05:41"; hostname="scxcr64-sle11-03"; process="sudo"; user="test3"; clientUser="root"; sessionName="/usr/bin/tail /var/log/messages" -->
<RegExpFilter>\ssudo:\s+\S+ : user NOT in sudoers ; TTY=.* ; USER=\S+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo):\s+(?'user'\S+) : user NOT in sudoers ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>