Home
  •  

Başarılı su (Universal Linux)

Microsoft.ACS.Linux.Universal.Su.Succeeded (Rule)

Başarılı SU çağrısı olaylarını toplayan kural

Knowledge Base article:

Özet

Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Belirli Universal Linux örneği, tüm Universal Linux örnekleri veya bir grup Universal Linux örnekleri hedeflenerek geçersiz kılma ile etkinleştirilebilir. Bu kural etkinleştirildiyse, RegExpFilter parametresi, hedef Linux işletim sistemi ve sürümüne uygun bir Regular Expression örneğiyle geçersiz kılınmalıdır. Belirli koşulların sistem günlük iletileri işletim sistemleri ve sürüme göre farklılık gösterir.

Nedenler

Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu izleyici sistem yöneticilerinin 'su' kullanımını izleyebilmesini sağlar.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Su.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 SU True -->

      <!-- [INPUT] Oct  5 06:55:07 scxcrd-rhel6-01 su: pam_unix(su-l:session): session opened for user root by jeffcof(uid=503) -->

      <!-- [EXPECTED] date="Oct  5 06:55:07"; hostname="scxcrd-rhel6-01"; process="su"; subSystem="pam_unix"; clientUser="root"; user="jeffcof" -->

      <RegExpFilter>su: \S+\(\S+\): session opened for user \S+ by \S+\(uid=[[:digit:]]+\)</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'su): (?'subSystem'\S+)\(\S+\): session opened for user (?'clientUser'\S+) by (?'user'\S+)\(uid=\d+\)</RegExp>

      <EventType>1</EventType>

      <EventId>27006</EventId>

    </WriteAction>

  </WriteActions>

</Rule>