Home
  •  

Gebruiker toevoegen aan de groep (Universal Linux)

Microsoft.ACS.Linux.Universal.Adding.User.To.Group (Rule)

Regel voor het verzamelen van gebeurtenissen voor toevoeging van een gebruiker aan een groep

Knowledge Base article:

Samenvatting

Er is een geslaagde usermod-opdracht aangetroffen in de logboekbestanden van het systeem.

Configuratie

Deze regel is standaard uitgeschakeld. De regel kan worden ingeschakeld met een overschrijving die gericht is op een specifiek exemplaar van Universal Linux, alle exemplaren van Universal Linux of een groep exemplaren van Universal Linux. Als deze regel wordt ingeschakeld, moet de parameter RegExpFilter worden overschreven met een reguliere-expressiepatroon dat geschikt is voor de bedoelde combinatie van Linux-besturingssysteem en versie. Systeemlogboekberichten voor specifieke condities kunnen variëren tussen besturingssystemen en versies.

Oorzaken

Er is een gebruiker toegevoegd aan een bestaande groep. Deze monitor stelt systeembeheerders in staat het maken en verwijderen van accounts/groepen bij te houden.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Adding.User.To.Group" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 UserAddToGroup True -->

      <!-- [INPUT] Oct  5 07:59:20 scxcrd-rhel6-01 usermod[20872]: add 'tempuser' to group 'users' -->

      <!-- [EXPECTED] date="Oct  5 07:59:20"; hostname="scxcrd-rhel6-01"; process="usermod"; processId="20872"; clientUser="tempuser"; groupName="users" -->

      <RegExpFilter>\s+usermod\[[[:digit:]]+\]: add '\S+' to group '\S+'</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'usermod)\[(?'processId'\d+)\]: add '(?'clientUser'\S+)' to group '(?'groupName'\S+)'</RegExp>

      <EventType>1</EventType>

      <EventId>27004</EventId>

      <BackrefOverrides>sessionName="User added to group"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>