Правило сбора событий удаления пользователя из группы
В файлах системного журнала обнаружена успешная команда "usermod".
Это правило по умолчанию отключено. Его можно включить с помощью переопределения, указав отдельные экземпляры универсального Linux, все экземпляры отдельные экземпляры универсального Linux или группу экземпляров универсального Linux. Если это правило включено, параметр RegExpFilter должен замещаться шаблоном регулярного выражения, подходящим для целевой ОС Linux и ее версии. Сообщения об отдельных проблемах в системном журнале могут зависеть от ОС и версии.
Пользователь был удален из группы в системе. Этот монитор дает администраторам возможность отслеживать создание и удаление учетных записей и групп.
В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если это действие выглядит подозрительно, просмотрите сведения о связанном событии и любых других событиях, произошедших примерно в то же время.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Deleting.User.From.Group" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 UserDeleteFromGroup True -->
<!-- [INPUT] Oct 5 08:01:44 scxcrd-rhel6-01 usermod[20903]: delete 'tempuser' from group 'users' -->
<!-- [EXPECTED] date="Oct 5 08:01:44"; hostname="scxcrd-rhel6-01"; process="usermod"; processId="20903"; clientUser="tempuser"; groupName="users" -->
<RegExpFilter>\s+usermod\[[[:digit:]]+\]: delete '\S+' from group '\S+'</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'usermod)\[(?'processId'\d+)\]: delete '(?'clientUser'\S+)' from group '(?'groupName'\S+)'</RegExp>
<EventType>1</EventType>
<EventId>27005</EventId>
<BackrefOverrides>sessionName="User removed from group"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>