Regra para coletar eventos relacionados à adição de um usuário a um grupo
Foi detectado um comando usermod bem-sucedido nos arquivos de log do sistema.
Essa regra está desabilitada por padrão. Ela pode ser ativada com uma substituição visando uma instância específica Linux Universal, todas as instâncias Linux Universal ou um grupo de instâncias Linux Universal. Se a regra for ativada, o parâmetro RegExpFilter deve ser substituído por um padrão de Expressão Regular que seja apropriado para a versão e o sistema operacional Linux de destino. As mensagens de log do sistema para condições específicas podem variar entre sistemas operacionais e versões.
Um usuário foi adicionado a um grupo existente. Este monitor permite que os administradores de sistemas controlem a criação e a exclusão de conta/grupo.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Adding.User.To.Group" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 UserAddToGroup True -->
<!-- [INPUT] Oct 5 07:59:20 scxcrd-rhel6-01 usermod[20872]: add 'tempuser' to group 'users' -->
<!-- [EXPECTED] date="Oct 5 07:59:20"; hostname="scxcrd-rhel6-01"; process="usermod"; processId="20872"; clientUser="tempuser"; groupName="users" -->
<RegExpFilter>\s+usermod\[[[:digit:]]+\]: add '\S+' to group '\S+'</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'usermod)\[(?'processId'\d+)\]: add '(?'clientUser'\S+)' to group '(?'groupName'\S+)'</RegExp>
<EventType>1</EventType>
<EventId>27004</EventId>
<BackrefOverrides>sessionName="User added to group"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>