Regel voor het verzamelen van gebeurtenissen voor geslaagde aanroepen naar sudo
Er is een geslaagde sudo-opdracht aangetroffen in de logboekbestanden van het systeem.
Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Met deze monitor kunnen systeembeheerders het gebruik van 'sudo' bijhouden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Solaris.9.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.9.Sudo.Succeeded" Enabled="false" Target="Microsoft.ACS.Solaris.9.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris SUDO True -->
<!-- [INPUT] Nov 2 15:46:04 scxsun14 sudo: [ID 702911 local2.notice] jeffcof : TTY=pts/2 ; PWD=/export/home/jeffcof ; USER=root ; COMMAND=/usr/bin/ls -->
<!-- [EXPECTED] date="Nov 2 15:46:04"; hostname="scxsun14"; user="jeffcof"; clientUser="root"; sessionName="/usr/bin/ls" -->
<RegExpFilter>: \[.*\][[:space:]]+[^[:space:]]+ : TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+.*: \[.*\]\s+(?'user'\S+) : TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>1</EventType>
<EventId>27006</EventId>
<BackrefDefaults>process="sudo"</BackrefDefaults>
</WriteAction>
</WriteActions>
</Rule>