Regra para recolher eventos relativos à alteração bem sucedida da palavra-passe
Foi detetada uma alteração bem sucedida da palavra-passe nos ficheiros de registo do sistema.
Esta regra está desativada por predefinição. Pode ser ativada com uma substituição de uma instância específica do Universal Linux, todas as instâncias do Universal Linux ou um grupo de instâncias do Universal Linux. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído com um padrão de Expressão Regular adequado para o sistema operativo Linux e versão alvo. As mensagens do registo de sistema para condições específicas podem variar entre sistemas operativos e versão.
Uma palavra-passe foi alterada com êxito no sistema. Este monitor permite aos administradores de sistema controlar as alterações de palavra-passe.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Password.Change.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 Password True -->
<!-- [INPUT] Oct 5 08:23:45 scxcrd-rhel6-01 passwd: pam_unix(passwd:chauthtok): password changed for jeffcof -->
<!-- [EXPECTED] date="Oct 5 08:23:45"; hostname="scxcrd-rhel6-01"; process="passwd"; subSystem="pam_unix"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd: \S+\(.*\): password changed for \S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(.*\): password changed for (?'clientUser'\S+)</RegExp>
<EventType>1</EventType>
<EventId>27004</EventId>
<BackrefOverrides>sessionName="Password changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>