Home
  •  

sudo 失敗 (Universal Linux)

Microsoft.ACS.Linux.Universal.Sudo.Failed (Rule)

sudo の失敗した呼び出しイベントを収集するルール。

Knowledge Base article:

概要

失敗した sudo コマンドがシステム ログ ファイルで検出されました。

構成

このルールは、既定では無効になっています。 このルールを有効にするには、特定の Universal Linux インスタンスか、すべての Universal Linux インスタンス、または Universal Linux インスタンスのグループをターゲットにした上書きを使います。 このルールを有効にした場合は、RegExpFilter パラメーターをターゲットの Linux オペレーティング システムとバージョンに適した正規表現パターンで上書きする必要があります。 特定の条件のシステム ログ メッセージは、オペレーティング システムとバージョンによって異なる場合があります。

原因

ユーザーが特権アカウントへのアクセス許可を取得しようとしました。このモニターは、システム管理者が sudo コマンドの使用を追跡できるようにします。

解決策

アラートや出力データ項目の説明には、発生したイベントに関する情報が含まれています。アクティビティに疑問がある場合は、関連イベントの詳細およびこのイベントとほぼ同時刻に発生したその他のイベントを確認してください。

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Sudo.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 SUDO False -->

      <!-- [INPUT] Oct  5 07:21:10 scxcrd-rhel6-01 sudo:  jeffcof : 3 incorrect password attempts ; TTY=pts/0 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/head /etc/sudoers -->

      <!-- [EXPECTED] date="Oct  5 07:21:10"; hostname="scxcrd-rhel6-01"; process="sudo"; user="jeffcof"; clientUser="root"; sessionName="/usr/bin/head /etc/sudoers" -->

      <RegExpFilter>sudo: \s*\S+ : [[:digit:]]+ incorrect password attempt(s?) ; TTY=\S+ ; PWD=.* ; USER=\S+ ; COMMAND=.*</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo): \s*(?'user'\S+) : \d+ incorrect password attempt(?:s?) ; TTY=\S+ ; PWD=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>