Правило сбора событий ошибки вызова sudo
В файлах системного журнала обнаружена неуспешная команда "sudo".
Это правило по умолчанию отключено. Его можно включить с помощью переопределения, указав отдельные экземпляры универсального Linux, все экземпляры отдельные экземпляры универсального Linux или группу экземпляров универсального Linux. Если это правило включено, параметр RegExpFilter должен замещаться шаблоном регулярного выражения, подходящим для целевой ОС Linux и ее версии. Сообщения об отдельных проблемах в системном журнале могут зависеть от ОС и версии.
Пользователь попытался получить доступ к привилегированным учетным записям. Этот монитор дает администраторам возможность отслеживать использование команды "sudo".
В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если это действие выглядит подозрительно, просмотрите сведения о связанном событии и любых других событиях, произошедших примерно в то же время.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Sudo.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 SUDO False -->
<!-- [INPUT] Oct 5 07:21:10 scxcrd-rhel6-01 sudo: jeffcof : 3 incorrect password attempts ; TTY=pts/0 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/head /etc/sudoers -->
<!-- [EXPECTED] date="Oct 5 07:21:10"; hostname="scxcrd-rhel6-01"; process="sudo"; user="jeffcof"; clientUser="root"; sessionName="/usr/bin/head /etc/sudoers" -->
<RegExpFilter>sudo: \s*\S+ : [[:digit:]]+ incorrect password attempt(s?) ; TTY=\S+ ; PWD=.* ; USER=\S+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo): \s*(?'user'\S+) : \d+ incorrect password attempt(?:s?) ; TTY=\S+ ; PWD=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>