Pravidlo shromažďování událostí úspěšného přihlášení prostřednictvím konzoly
V souborech systémových protokolů byla zjištěna operace přihlášení prostřednictvím konzoly.
Toto pravidlo je ve výchozím nastavení vypnuto. Může být povoleno přepsáním zacíleným na konkrétní instanci systému Universal Linux, na všechny instance systému Universal Linux, nebo na skupinu instancí systému Universal Linux. Pokud je toto pravidlo aktivní, pak by měl být parametr RegExpFilter přepsán pomocí vzorce regulárního výrazu, který je vhodný pro cílový operační systém Linux a verzi. Zprávy systémového protokolu se za určitých podmínek mohou lišit podle operačních systémů a verzí.
Uživateli byl udělen přístup k systému prostřednictvím systémové konzoly. Toto monitorování umožňuje správcům systémů sledovat používání systémové konzoly.
Popis výstrahy a/nebo položky výstupních dat obsahuje informace o vzniklé události. Pokud je tato činnost podezřelá, zkontrolujte přidružené podrobnosti události a všechny ostatní události, které se vyskytly přibližně v době této události.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 ConsoleLogin True -->
<!-- [INPUT] Oct 5 08:38:53 jeffcof-rh6 login: pam_unix(login:session): session opened for user jeffcof by LOGIN(uid=0) -->
<!-- [EXPECTED] date="Oct 5 08:38:53"; hostname="jeffcof-rh6"; process="login"; subSystem="pam_unix"; user="jeffcof" -->
<RegExpFilter>\s+login: \S+\(\S+\): session opened for user \S+ by LOGIN\(uid=[[:digit:]]+\)</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): (?'subSystem'\S+)\(\S+\): session opened for user (?'user'\S+) by LOGIN\(uid=\d+\)</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
</WriteAction>
</WriteActions>
</Rule>