Regra para recolher eventos de falha de chamada de su
Foi detetado um comando "su" sem êxito nos ficheiros de registo do sistema.
Esta regra está desativada por predefinição. Pode ser ativada com uma substituição de uma instância específica do Universal Linux, todas as instâncias do Universal Linux ou um grupo de instâncias do Universal Linux. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído com um padrão de Expressão Regular adequado para o sistema operativo Linux e versão alvo. As mensagens do registo de sistema para condições específicas podem variar entre sistemas operativos e versão.
O utilizador tentou obter acesso a contas com privilégios. Este monitor permite aos administradores do sistema controlar a utilização de "su".
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Su.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 SU False -->
<!-- [INPUT] Oct 5 06:56:33 scxcrd-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=jeffcof uid=503 euid=0 tty=pts/0 ruser=jeffcof rhost= user=root -->
<!-- [EXPECTED] date="Oct 5 06:56:33"; hostname="scxcrd-rhel6-01"; process="su"; subSystem="pam_unix"; user="jeffcof"; clientUser="root" -->
<RegExpFilter>su: \S+\(\S+\): authentication failure; logname=\S+ .* user=\S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'su): (?'subSystem'\S+)\(\S+\): authentication failure; logname=(?'user'\S+) .* user=(?'clientUser'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>