Home
  •  

Alteração de senha bem-sucedida (Linux Universal)

Microsoft.ACS.Linux.Universal.Password.Change.Succeeded (Rule)

Regra para coletar eventos relacionados a alterações de senha bem-sucedidas

Knowledge Base article:

Resumo

Foi detectada uma operação de alteração de senha com êxito nos arquivos de log do sistema.

Configuração

Essa regra está desabilitada por padrão. Ela pode ser ativada com uma substituição visando uma instância específica Linux Universal, todas as instâncias Linux Universal ou um grupo de instâncias Linux Universal. Se a regra for ativada, o parâmetro RegExpFilter deve ser substituído por um padrão de Expressão Regular que seja apropriado para a versão e o sistema operacional Linux de destino. As mensagens de log do sistema para condições específicas podem variar entre sistemas operacionais e versões.

Causas

Uma senha foi alterada com êxito no sistema. Este monitor permite que os administradores de sistemas controlem alterações de senhas.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Password.Change.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 Password True -->

      <!-- [INPUT] Oct  5 08:23:45 scxcrd-rhel6-01 passwd: pam_unix(passwd:chauthtok): password changed for jeffcof -->

      <!-- [EXPECTED] date="Oct  5 08:23:45"; hostname="scxcrd-rhel6-01"; process="passwd"; subSystem="pam_unix"; clientUser="jeffcof" -->

      <RegExpFilter>\s+passwd: \S+\(.*\): password changed for \S+</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(.*\): password changed for (?'clientUser'\S+)</RegExp>

      <EventType>1</EventType>

      <EventId>27004</EventId>

      <BackrefOverrides>sessionName="Password changed"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>