Regra para coletar eventos relacionados a logons com êxito em consoles
Foi detectada uma operação de logon do console com êxito nos arquivos de log do sistema.
Foi concedido ao usuário acesso ao sistema por meio do console do sistema. Este monitor permite que os administradores de sistemas controlem o uso do console do sistema.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário desse evento.
Target | Microsoft.ACS.Solaris.11.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.11.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris ConsoleLogin True -->
<!-- [INPUT] Jan 17 10:06:14 chrispau-sol11-x86 login: [ID 644210 auth.notice] ROOT LOGIN /dev/console -->
<!-- [EXPECTED] date="Jan 17 10:06:14"; hostname="chrispau-sol11-x86"; process="login" -->
<RegExpFilter>[[:space:]]+login: \[.*\] ROOT LOGIN \/</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): \[.*\] ROOT LOGIN \/</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
<BackrefOverrides>user="root"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>