Zasada służąca do gromadzenia zdarzeń związanych z niepowodzeniem wywołania operacji sudo
W plikach dziennika systemowego wykryto niepomyślne polecenie sudo.
Ta zasada jest domyślnie wyłączona. Można ją włączyć za pomocą wskazania zastąpienia określonego wystąpienia systemu uniwersalnego Linux, wszystkich wystąpień systemu uniwersalnego Linux lub grupy wystąpień systemu uniwersalnego Linux. Gdy ta reguła jest włączona, parametr RegExpFilter należy zastąpić wzorcem wyrażenia regularnego odpowiednim dla docelowego systemu operacyjnego Linux i jego wersji. Komunikaty dziennika systemowego dotyczące określonych warunków mogą się różnić między systemami operacyjnymi i wersjami.
Użytkownik próbował uzyskać dostęp do kont uprzywilejowanych. Ten monitor umożliwia administratorom systemu śledzenie korzystania z polecenia sudo.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli działanie wydaje się podejrzane, sprawdź szczegóły odpowiedniego zdarzenia oraz inne zdarzenia, które wystąpiły w bliskim czasie.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Sudo.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 SUDO False -->
<!-- [INPUT] Oct 5 07:21:10 scxcrd-rhel6-01 sudo: jeffcof : 3 incorrect password attempts ; TTY=pts/0 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/head /etc/sudoers -->
<!-- [EXPECTED] date="Oct 5 07:21:10"; hostname="scxcrd-rhel6-01"; process="sudo"; user="jeffcof"; clientUser="root"; sessionName="/usr/bin/head /etc/sudoers" -->
<RegExpFilter>sudo: \s*\S+ : [[:digit:]]+ incorrect password attempt(s?) ; TTY=\S+ ; PWD=.* ; USER=\S+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo): \s*(?'user'\S+) : \d+ incorrect password attempt(?:s?) ; TTY=\S+ ; PWD=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>