Regla para recopilar eventos para eliminar un grupo
Se ha detectado un comando "groupdel" completado correctamente en los archivos de registro del sistema.
Esta regla está deshabilitada de forma predeterminada. Se puede habilitar con una invalidación dirigida a una instancia específica de Universal Linux, todas las instancias de Universal Linux o un grupo de instancias de Universal Linux. Si esta regla está habilitada, el parámetro RegExpFilter debe reemplazarse con un patrón de expresión regular que sea adecuado para el sistema operativo Linux de destino y la versión. Los mensajes de registro del sistema para condiciones específicas pueden variar entre sistemas operativos y versiones.
Se eliminó un grupo del sistema. Este monitor permite a los administradores de sistemas realizar un seguimiento de la creación y eliminación de cuentas y grupos.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Deleting.Group" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 GroupDelete True -->
<!-- [INPUT] Oct 5 08:05:29 scxcrd-rhel6-01 groupdel[20970]: group 'tempgroup' removed -->
<!-- [EXPECTED] date="Oct 5 08:05:29"; hostname="scxcrd-rhel6-01"; process="groupdel"; processId="20970"; groupName="tempgroup" -->
<RegExpFilter>\s+groupdel\[[[:digit:]]+\]: group '\S+' removed</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'groupdel)\[(?'processId'\d+)\]: group '(?'groupName'\S+)' removed</RegExp>
<EventType>1</EventType>
<EventId>27005</EventId>
<BackrefOverrides>sessionName="Group removed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>