Home
  •  

Su con éxito (Universal Linux)

Microsoft.ACS.Linux.Universal.Su.Succeeded (Rule)

Regla para recopilar eventos de llamada correcta a su

Knowledge Base article:

Resumen

Se ha detectado un comando "su" correcto en los archivos de registro del sistema.

Configuración

Esta regla está deshabilitada de forma predeterminada. Se puede habilitar con una invalidación dirigida a una instancia específica de Universal Linux, todas las instancias de Universal Linux o un grupo de instancias de Universal Linux. Si esta regla está habilitada, el parámetro RegExpFilter debe reemplazarse con un patrón de expresión regular que sea adecuado para el sistema operativo Linux de destino y la versión. Los mensajes de registro del sistema para condiciones específicas pueden variar entre sistemas operativos y versiones.

Causas

Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de "su".

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Su.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 SU True -->

      <!-- [INPUT] Oct  5 06:55:07 scxcrd-rhel6-01 su: pam_unix(su-l:session): session opened for user root by jeffcof(uid=503) -->

      <!-- [EXPECTED] date="Oct  5 06:55:07"; hostname="scxcrd-rhel6-01"; process="su"; subSystem="pam_unix"; clientUser="root"; user="jeffcof" -->

      <!-- [TYPE] RHEL8 SU True -->

      <!-- [INPUT] Nov  7 07:11:52 ost64-rh8-01 su[230905]: pam_unix(su:session): session opened for user saurav by root(uid=0) -->

      <!-- [EXPECTED] date="Nov  7 07:11:52"; hostname="ost64-rh8-01"; process="su"; processId="230905"; subSystem="pam_unix"; clientUser="saurav"; user="root" -->

      <RegExpFilter>su\[*[[:digit:]]*\]*: \S+\(\S+\): session opened for user \S+ by \S+\(uid=[[:digit:]]+\)</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'su)\[*(?'processId'\d*)\]*: (?'subSystem'\S+)\(\S+\): session opened for user (?'clientUser'\S+) by (?'user'\S+)\(uid=\d+\)</RegExp>

      <EventType>1</EventType>

      <EventId>27006</EventId>

    </WriteAction>

  </WriteActions>

</Rule>