Regola per raccogliere gli eventi per una chiamata con password non valida non riuscita a sudo
Nei file log di sistema è stato rilevato un errore di conversazione "sudo".
L'utente ha tentato di ottenere l'accesso agli account con privilegi. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo di "sudo".
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.
Target | Microsoft.ACS.Solaris.10.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.10.Sudo.Conversation.Failure" Enabled="false" Target="Microsoft.ACS.Solaris.10.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris SUDO False -->
<!-- [INPUT] Nov 13 13:35:15 scxcrd-sol10-01 sudo: [ID 702911 local2.alert] jeffcof : pam_authenticate: Conversation failure ; TTY=pts/3 ; PWD=/export/home/jeffcof ; USER=root ; COMMAND=/usr/bin/ls -->
<!-- [EXPECTED] date="Nov 13 13:35:15"; hostname="scxcrd-sol10-01"; process="sudo"; user="jeffcof"; subSystem="pam_authenticate"; clientUser="root"; sessionName="/usr/bin/ls" -->
<RegExpFilter>[[:space:]]sudo: \[.*\][[:space:]]+[^[:space:]]+ : pam_authenticate: Conversation failure ; TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo): \[.*\]\s+(?'user'\S+) : (?'subSystem'pam_authenticate): Conversation failure ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>