Hatalı parola nedeniyle başarısız SUDO çağrısı olaylarını toplayan kural
Sistem günlük dosyalarında başarısız bir 'sudo' komutu algılandı.
Kullanıcı ayrıcalıklı hesaplara erişim izni almaya çalışmış. Bu izleyici sistem yöneticilerinin 'sudo' kullanımını izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.Linux.SLES.9.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.9.Sudo.Failed" Enabled="true" Target="Microsoft.ACS.Linux.SLES.9.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE SUDO False -->
<!-- [INPUT] Oct 15 11:23:41 scxsles9-01 sudo: a-yataog : 3 incorrect password attempts ; TTY=pts/0 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/tail /var/log/messages -->
<!-- [INPUT] Nov 30 10:14:16 scxsles9-03b sudo: jonas : 1 incorrect password attempt ; TTY=pts/0 ; PWD=/home/jonas ; USER=root ; COMMAND=/bin/ls -->
<!-- [EXPECTED] date="Oct 15 11:23:41"; hostname="scxsles9-01"; user="a-yataog"; clientUser="root"; sessionName="/usr/bin/tail /var/log/messages" -->
<!-- [EXPECTED] date="Nov 30 10:14:16"; hostname="scxsles9-03b"; user="jonas"; clientUser="root"; sessionName="/bin/ls" -->
<RegExpFilter>:\s+\S+ : [[:digit:]]+ incorrect password attempt(s)? ; TTY=.* ; USER=\S+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+.*:\s+(?'user'\S+) : \d+ incorrect password attempt(?:s)? ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefDefaults>process="sudo"</BackrefDefaults>
</WriteAction>
</WriteActions>
</Rule>