Başarılı SU çağrısı olaylarını toplayan kural
Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.
Bu kural varsayılan olarak devre dışıdır. Belirli Universal Linux örneği, tüm Universal Linux örnekleri veya bir grup Universal Linux örnekleri hedeflenerek geçersiz kılma ile etkinleştirilebilir. Bu kural etkinleştirildiyse, RegExpFilter parametresi, hedef Linux işletim sistemi ve sürümüne uygun bir Regular Expression örneğiyle geçersiz kılınmalıdır. Belirli koşulların sistem günlük iletileri işletim sistemleri ve sürüme göre farklılık gösterir.
Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerinin 'su' kullanımını izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Su.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 SU True -->
<!-- [INPUT] Oct 5 06:55:07 scxcrd-rhel6-01 su: pam_unix(su-l:session): session opened for user root by jeffcof(uid=503) -->
<!-- [EXPECTED] date="Oct 5 06:55:07"; hostname="scxcrd-rhel6-01"; process="su"; subSystem="pam_unix"; clientUser="root"; user="jeffcof" -->
<RegExpFilter>su: \S+\(\S+\): session opened for user \S+ by \S+\(uid=[[:digit:]]+\)</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'su): (?'subSystem'\S+)\(\S+\): session opened for user (?'clientUser'\S+) by (?'user'\S+)\(uid=\d+\)</RegExp>
<EventType>1</EventType>
<EventId>27006</EventId>
</WriteAction>
</WriteActions>
</Rule>